Con fecha 5 de julio de 2022 se ha suscrito el Convenio entre la Tesorería General de la Seguridad Social y la Diputación Foral de Bizkaia, a través del departamento de acción social, en materia de cesión de datos y, en cumplimiento de lo dispuesto en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, procede la publicación en el «Boletín Oficial del Estado» del citado convenio, que figura como anexo de esta resolución.
Madrid, 11 de julio de 2022.–La Secretaria General Técnica, Iria Álvarez Besteiro.
En Madrid, a 5 de julio de 2022.
REUNIDOS
De una parte, don Andrés Harto Martínez, Director General de la Tesorería General de la Seguridad Social, nombrado mediante Real Decreto 132/2020, de 21 de enero (BOE de 22 de enero), actuando en virtud de lo establecido en el artículo 48.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, y artículos 1 y 3 del Real Decreto 1314/1984, de 20 de junio, por el que se regula la estructura y competencias de la Tesorería General de la Seguridad Social.
Y de otra, don Sergio Murillo Corzo, Diputado Foral de Acción Social de la Diputación Foral de Bizkaia, en virtud de su nombramiento por Decreto Foral del Diputado General de Bizkaia 102/2019, de 1 de julio, actuando en virtud de lo establecido en el artículo en el artículo 17.1.11 de la Norma Foral 13/1987, de 13 de febrero, sobre Elección, Organización, Régimen y Funcionamiento de las Instituciones Forales del territorio Histórico de Bizkaia, en relación con el artículo 7.2.b) de la misma norma foral, en nombre y representación de la Diputación Foral de Bizkaia en virtud del acuerdo de fecha 14 de junio de 2022.
Las partes se reconocen con capacidad suficiente para suscribir el presente convenio y a tal efecto
EXPONEN
1. Fundamentos de competencia en la materia. La Tesorería General de la Seguridad Social (en adelante TGSS) es un Servicio Común de la Seguridad Social, con personalidad jurídica propia, en el que, por aplicación de los principios de solidaridad financiera y caja única, se unifican todos los recursos financieros, tanto por operaciones presupuestarias como extrapresupuestarias, teniendo a su cargo la custodia de los fondos, valores y créditos y las atenciones generales y de los servicios de recaudación de derechos y pagos de las obligaciones del sistema de la Seguridad Social.
El Real Decreto 1314/84, de 20 de junio, por el que se regula la estructura y competencias de la Tesorería General de la Seguridad Social (en adelante TGSS), atribuye en su artículo 1.a) las competencias en materia de inscripción de empresas y la afiliación, altas y bajas de los trabajadores, materia regulada posteriormente por el artículo 3 del Reglamento General sobre inscripción de empresas y afiliación, altas y bajas de los trabajadores en la Seguridad Social, aprobado por el Real Decreto 84/1996, de 26 de enero. A tales efectos, en virtud de lo establecido en el artículo 52 del citado Reglamento, corresponde a la TGSS el mantenimiento de un registro de trabajadores con la correspondiente identificación por cada Régimen del Sistema de la Seguridad Social, así como los beneficiarios y demás personas sujetas a la obligación de cotizar. Asimismo, el citado Real Decreto 1314/1984 en su artículo 1.b) atribuye a la TGSS las competencias en materia de gestión y control de la cotización y de la recaudación de las cuotas y demás recursos de financiación del sistema de la Seguridad Social. Materias reguladas posteriormente en el Reglamento General de Recaudación de la Seguridad Social, aprobado por el Real Decreto 1415/2004, de 11 de junio y en el Real Decreto 2064/1995 de 22 de diciembre, por el que se aprueba el Reglamento General sobre Cotización y Liquidación de otros derechos de la Seguridad Social.
El marco competencial de las Instituciones del Territorio Histórico de Bizkaia viene establecido por la Disposición Adicional Primera de la Constitución Española de 27 de diciembre de 1978, el Estatuto de Autonomía para el País Vasco, aprobado por la Ley Orgánica 3/1979, de 18 de diciembre y la Ley 27/1983, de 25 de noviembre, de relaciones entre las instituciones comunes de la comunidad autónoma y los órganos forales de sus territorios históricos.
El Departamento de Acción Social tiene como función principal garantizar los derechos de la ciudadanía y contribuir a mejorar las condiciones de vida, tanto en el plano personal, familiar o social, ofreciendo una atención personalizada y cercana además de una respuesta integral a sus necesidades, objetivo que comparte con el Departamento de Empleo, Inclusión Social e Igualdad.
El artículo 2 del Decreto Foral de la Diputación Foral de Bizkaia 70/2012, de 3 de abril, por el que se aprueba el Reglamento Orgánico del Departamento de Acción Social, atribuye al Departamento de Acción Social, entre otras, las áreas de actuación y funciones relativas a la gestión de las pensiones de invalidez y jubilación en su modalidad no contributiva; a la asistencia a personas mayores; servicios sociales comunitarios; centros asistenciales propios o concertados; discapacidad; atención a la dependencia; políticas activas de empleo; acción comunitaria e inserción social; protección a la infancia, adolescencia y familias; adopciones, y demás facultades asignadas por la normativa de aplicación.
Por su parte, el artículo 1 del Reglamento Orgánico del Departamento de Empleo, Inclusión Social e Igualdad, aprobado mediante Decreto Foral de la Diputación Foral de Bizkaia 6/2016, de 26 de enero, atribuye al mismo el conocimiento de los servicios sociales forales, tanto prestaciones como servicios, mediante los cuales se dé respuesta a las necesidades derivadas de las situaciones de exclusión o estén orientados hacia la inclusión social y hacia la protección de mujeres víctimas de violencia de género en el ámbito familiar y sus hijos, así como todos los orientados a la intervención social con familias.
Dado que el Departamento de Acción Social realiza las labores de administración del sistema de información de ambos departamentos, Ardatz, el intercambio de información se realizará a través de dicho Departamento de Acción Social.
2. Normas que amparan y justifican la suscripción: Conforme el artículo 8.1 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales «El tratamiento de datos personales solo podrá considerarse fundado en el cumplimiento de una obligación legal exigible al responsable, en los términos previstos en el artículo 6.1.c) del Reglamento (UE) 2016/679, de 27 de abril, cuando así lo prevea una norma de Derecho de la Unión Europea o una norma con rango de ley, que podrá determinar las condiciones generales del tratamiento y los tipos de datos objeto del mismo así como las cesiones que procedan como consecuencia del cumplimiento de la obligación legal. Dicha norma podrá igualmente imponer condiciones especiales al tratamiento, tales como la adopción de medidas adicionales de seguridad u otras establecidas en el capítulo IV del Reglamento (UE) 2016/679».
Además, el artículo 155 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP) regula expresamente la transmisión de datos entre administraciones públicas en desarrollo de su artículo 3.1.k).
3. Para llevar a cabo una mayor eficiencia y eficacia en el ejercicio de sus competencias, al Departamento de Acción Social le sería necesario poder disponer de cierta información contenida en la base de datos de la TGSS, todo ello en el marco de colaboración mutua que debe presidir las relaciones entre las Administraciones Públicas, de conformidad con lo dispuesto en el artículo 141 de la LRJSP, y más concretamente en la letra c): las Administraciones Públicas deberán facilitar a las otras Administraciones la información que precisen sobre la actividad que desarrollen en el ejercicio de sus propias competencias.
4. Se trata de una cesión de información y de una colaboración cuyo amparo se encuentra en el artículo 3.1.k) de la LRJSP, que establece que los principios que deben presidir las relaciones entre las Administraciones Públicas son los de cooperación, colaboración y coordinación. No debe obviarse, además, que, conforme al artículo 3 de la citada Ley, las Administraciones Públicas sirven con objetividad los intereses generales y deberán respetar en su actuación y relaciones los principios de servicio efectivo, simplicidad, claridad y proximidad a los ciudadanos y de racionalización y agilidad en los procedimientos administrativos y de las actividades materiales de gestión. Además, las Administraciones Públicas se relacionarán entre sí a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas, garantizarán la protección de los datos de carácter personal, y facilitarán preferentemente la prestación conjunta de servicios a los interesados.
5. No obstante, el suministro de información efectuado en el ámbito de aplicación de este convenio deberá respetar el derecho al honor y a la intimidad personal y familiar de los ciudadanos que prescribe el artículo 18 de la Constitución Española, en los términos establecidos por la normativa en materia de protección de datos de carácter personal.
6. De conformidad con lo dispuesto en el artículo 77.1 del texto refundido de la Ley General de la Seguridad Social, aprobado por Real Decreto Legislativo 8/2015, de 30 de octubre, (TRLGSS) los datos, informes o antecedentes obtenidos por la Administración de la Seguridad Social en el ejercicio de sus funciones tienen carácter reservado y solo podrán utilizarse para los fines encomendados a las distintas entidades gestoras, servicios comunes y órganos que integran la Administración de la Seguridad Social, sin que puedan ser cedidos o comunicados a terceros, salvo que la cesión o comunicación tenga por objeto, entre otros:
«d) La colaboración con cualesquiera otras administraciones públicas para la lucha contra el fraude en la obtención o percepción de ayudas o subvenciones a cargo de fondos públicos, incluidos los de la Unión Europea, para la obtención o percepción de prestaciones incompatibles en los distintos regímenes del sistema de la Seguridad Social y, en general, para el ejercicio de las funciones encomendadas legal o reglamentariamente a las mismas para las que los datos obtenidos por la Administración de la Seguridad Social resulten relevantes.»
7. Los firmantes aplicarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad en el tratamiento de la información adecuado al riesgo, de conformidad con lo dispuesto en el artículo 32 del Reglamento (UE) 2016/679, de 27 de abril de 2016, y, en particular, las contenidas en Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
A este respecto, el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, vigente en tanto no contradiga, se oponga, o resulte incompatible con lo dispuesto en el Reglamento (UE) 2016/679 y en la actual Ley Orgánica, contiene las normas básicas de seguridad que han de cumplir todos los ficheros que contengan datos de carácter personal, a fin de garantizar la integridad y confidencialidad de la información, preservando el derecho al honor y a la intimidad de los ciudadanos.
8. El suministro de información que efectúe la TGSS en el marco de este convenio se regirá por las reglas y principios contemplados en el Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.
9. Con fecha 17 de mayo de 2007, la Tesorería General de la Seguridad Social y la Diputación foral de Bizkaia suscribieron un convenio que, al haberse producido el vencimiento del plazo para la adaptación de los convenios establecido en la disposición adicional octava de la LRJSP, se ha producido la pérdida de su vigencia lo que hace necesaria la suscripción de un nuevo convenio.
En consecuencia, dentro del espíritu de mutua colaboración para el cumplimiento de los fines públicos, las partes se reconocen mutuamente la capacidad legal necesaria en la representación en la que actúan para suscribir este convenio de acuerdo con las siguientes:
CLÁUSULAS
El presente convenio tiene por objeto establecer las condiciones y términos por los que se debe regir la cesión de información contenida en las bases de datos del Fichero General de Afiliación, al Departamento de Acción Social de la Diputación Foral de Bizkaia, en los supuestos en los que, como excepción al carácter reservado conforme al ordenamiento jurídico, sea procedente dicha cesión, preservando en todo caso los derechos de las personas a que se refiera la misma.
1. La cesión de información procedente de las bases de datos de la TGSS tiene como finalidad exclusiva el desarrollo de las concretas funciones sobre las competencias señaladas en el último párrafo del exponen 1, atribuidas por el ordenamiento jurídico al Departamento de Acción Social, tal y como contemplan en el Decreto Foral de la Diputación Foral de Bizkaia 70/2012, de 3 de abril, que justifican su cesión.
2. Podrán realizarse cesiones de información con finalidades diferentes a las indicadas en el apartado anterior, siempre que estén motivadas por funciones atribuidas por el ordenamiento jurídico a la entidad cesionaria.
3. La TGSS autoriza al Departamento de Acción Social el acceso a las siguientes transacciones del Fichero General de Afiliación:
ATT64: Consulta de situación de afiliados.
ATT30: Situaciones Adicionales de afiliación.
ATT 31: Consulta de situaciones adicionales de afiliación.
Respecto a los datos que facilita la TGSS, estarán limitados al ámbito de competencias del Departamento de Acción Social para el ejercicio de las funciones encomendadas legal o reglamentariamente a dicho Departamento para las que los datos obtenidos por la Administración de la Seguridad Social resulten relevantes.
Si el acceso a los datos no estuviera amparado en el ejercicio de sus funciones o en el supuesto de que una ley especial exigiera especialmente el consentimiento del interesado para el tratamiento de sus datos, deberán recabar la autorización expresa del interesado, cumplimentando los anexos I y/o II.
El control y seguridad de los datos suministrados se regirá por lo dispuesto en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, vigente en tanto no contradiga, se oponga, o resulte incompatible con lo dispuesto en el Reglamento (UE) 2016/679 y en la actual Ley Orgánica, ya que relaciona las normas básicas de seguridad que han de cumplir todos los ficheros que contengan datos de carácter personal, a fin de garantizar la integridad y confidencialidad de la información, preservando el derecho al honor y a la intimidad de los ciudadanos, y en el Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 3/2010, de 8 de enero, en la Orden de 17 de enero de 1996 sobre control de accesos al sistema informático de la Seguridad Social y en los Documentos de Seguridad aprobados por la TGSS.
Sin perjuicio del cumplimiento de las medidas previstas en la normativa citada, con carácter previo a la interconexión informática es imprescindible la adopción de las siguientes medidas:
1. Los responsables técnicos de ambas Administraciones habilitarán los mecanismos telemáticos necesarios para que los accesos y autorizaciones correspondientes a los usuarios de ambas Administraciones se adecuen integrándose en los sistemas de administración y confidencialidad de cada una de ellas.
2. Los órganos competentes de ambas Administraciones autorizarán la interconexión informática.
3. Autorizada la conexión, se procederá por los órganos técnicos al enlace telemático de los sistemas informáticos que, en el caso de la TGSS se realizará a la Gerencia Informática de la Seguridad Social y en el caso del Departamento de Acción Social, se realizará a través del medio propio Lantik, SAMP, bajo la supervisión de la jefatura de la Sección de Innovación y Sistemas del Departamento de Acción Social.
4. El responsable o responsables del ente cesionario asumirán directamente, respecto de sus usuarios, el alta, la autorización de accesos y su permanente actualización y adecuación, con independencia de la supervisión que pueda efectuarse por el organismo responsable del fichero objeto de cesión.
La Administración cesionaria será responsable respecto de la utilización que sus usuarios realicen de los ficheros, en especial de la proporcionalidad, adecuación y pertinencia de los datos a los que accedan.
Para el acceso a las bases de datos de la TGSS, ésta y el Departamento de Acción Social deberán ajustarse a lo estipulado en los siguientes puntos:
1.º La TGSS realizará la autorización inicial de acceso a las transacciones del Fichero General de Afiliación y demás información a que se refiere el presente convenio.
2.º La configuración del acceso objeto del presente convenio habrá de cumplir los siguientes principios establecidos por el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica:
– Confidencialidad, de manera que se asegure que la información está disponible solamente para aquellos usuarios que estén debidamente autorizados para acceder a la misma y que se utiliza exclusivamente por aquéllos para sus cometidos concretos de gestión en la forma, tiempo y condiciones determinados en la autorización respectiva.
– Integridad, garantizando que únicamente los usuarios autorizados, y en la forma y con los límites de la autorización, pueden crear, utilizar, modificar o suprimir información.
– Disponibilidad, de forma que los usuarios autorizados tengan acceso a la información en la forma y cuando lo requieran para los exclusivos cometidos de la gestión encomendada.
– Trazabilidad, de forma que las actuaciones realizadas por los usuarios autorizados pueden ser imputadas exclusivamente a la entidad a la que están adscritos.
– Autenticidad, garantizando que los usuarios autorizados son quienes dice ser, al tiempo que se garantiza la fuente de la que proceden los datos.
3.º La Administración del sistema se basará en la asignación de perfiles de autorización a los distintos usuarios de acuerdo con las funciones desempeñadas por los mismos. En este sentido, la TGSS asignará un perfil de usuario administrador/autorizador con nivel 4 al Departamento de Acción Social y éste a su vez dará de alta tantos códigos de usuario como sean necesarios para la realización de las funciones de gestión encomendadas.
Una vez que el presente convenio sea eficaz el Departamento de Acción Social comunicará a la TGSS el nombre completo, DNI, dirección de correo electrónico y teléfono de las personas que asuman el perfil de usuario autorizador. Igual obligación existirá cuando se produzca un cambio en dichas personas.
A los efectos del presente punto se denomina «usuario» a las personas autorizadas para acceder al sistema informático, pero sin facultad para dar de alta en SILCON a otros usuarios ni transferir autorización alguna. Estos serán identificados con el nivel U.
El usuario autorizador dado de alta realizará la asignación de perfiles, entendiéndose como tal la anotación en SILCON de las transacciones a las que puede acceder un determinado autorizado (usuario) por razón de su puesto de trabajo.
4.º El usuario administrador/autorizador y, subsidiariamente, la Administración de la Diputación Foral de Bizikaia es responsable de la asignación de perfiles de autorización a los usuarios, que deben corresponderse con las necesidades de gestión y vigilará la correcta utilización de las autorizaciones concedidas.
5.º Todos los usuarios autorizados a acceder al sistema deberán quedar identificados y autentificados, de forma que en todo momento pueda conocerse el usuario y los motivos por los que se accedió a la correspondiente información contenida en el sistema. Para ello, en el momento de autorizar a un usuario, se cumplimentarán todos los campos exigidos tales como, características del puesto de trabajo e información complementaria, número de teléfono, etc.
6.º Cada usuario tendrá un único código de acceso y será responsable de los accesos que se realicen con su código y contraseña personal.
7.º Cuando algún usuario, ya sea autorizador o autorizado, pase a desempeñar un nuevo puesto de trabajo en distinta unidad de gestión o cause baja en el trabajo de forma voluntaria, o sea objeto de suspensión de empleo, se procederá a la baja del código de usuario. Por otra parte se establecerán controles en cuanto al tiempo de inactividad de los usuarios que pasarán a la situación de cancelados una vez transcurridos seis meses sin acceder al Fichero General de Afiliación. También se dispondrá de la posibilidad de establecer fechas de caducidad de acceso al sistema por parte de usuarios y limitaciones en el horario de conexión.
8.º Se designará una persona como interlocutor único en las relaciones y comunicaciones entre las partes. Cada vez que considere oportuno nombrar a otra persona, deberá comunicarlo formalmente a la otra.
A través de los sistemas y medios informáticos de auditoría que facilite la TGSS, el Departamento de Acción Social deberá realizar las actividades de control que garanticen la debida custodia y adecuada utilización de los datos recibidos y cualquier otra actividad encaminada a garantizar la correcta forma y justificación del acceso a los ficheros o bases en que aquéllos figuren incluidos.
El órgano cesionario se compromete a que cada acceso quede justificado con la causa o expediente que lo hubiera motivado.
Las partes implicadas en el proceso de auditoria son las siguientes:
1. Auditor Delegado del Departamento de Acción Social. Sus funciones y competencias son:
a) Será el interlocutor con la TGSS en el ámbito de su competencia y su función principal será efectuar la auditoria mensual a los usuarios autorizados en su organismo.
b) Tendrá como mínimo un nivel 26 de complemento de destino, salvo petición justificada del órgano cesionario que solicitará la excepción de nivel y que deberá ser aprobada por la Unidad Nacional de Auditorias.
c) Se le asignará en SILCON un perfil de usuario auditor, dándosele de alta a estos efectos por la TGSS en el Departamento correspondiente. Las altas, bajas o sustituciones que se produzcan en la persona designada como Auditor Delegado deberán ser comunicados a la mayor brevedad posible al Auditor Delegado de la TGSS en Bizkaia, quien lo pondrá en conocimiento de la Unidad Nacional de Auditorias.
La Unidad Nacional de Auditorias, previa solicitud del Organismo externo, podrá autorizar la figura de auditor delegado suplente en los supuestos de vacante, ausencia o enfermedad del auditor delegado.
d) El perfil de usuario auditor no comporta el cargo de usuario administrador, a pesar de que ambos usuarios tengan el mismo perfil SILCON. Ello es debido a que la tarea de auditoría no es informática, sino de justificación documental de los accesos.
En ningún caso podrán coincidir en la misma persona los cargos de Administrador SILCON y Auditor Delegado.
2. Auditor Delegado Provincial de la TGSS. En la Dirección Provincial de la TGSS, el Auditor Delegado Provincial tendrá las siguientes funciones:
a) Realizar las auditorias de los accesos del Auditor Delegado del Organismo externo.
b) Recibir, sistematizar y analizar los datos facilitados en el informe mensual de auditoria elaborado por el Auditor Delegado del Organismo externo.
c) Asignación/desasignación de un Departamento al Auditor Delegado del Organismo externo.
d) Información y resolución de dudas e incidencias al Auditor Delegado del Organismo externo.
e) Comunicar el resultado de las auditorias e incidencias a la Unidad Nacional de Auditorias.
3. Unidad Nacional de Auditorias. Serán funciones de la Unidad Nacional de Auditoria las siguientes:
a) Velar por la adecuada transmisión de instrucciones y contribuir a la aclaración de dudas sobre accesos indebidos, con el fin de que las auditorias se lleven a efecto por las unidades competentes, con unos criterios unificados.
b) Formular propuestas y recomendaciones, en materias relacionadas con la adecuación de los accesos a los ficheros informáticos y bases de datos gestionados por la TGSS, en particular de:
1) Propuesta de modificación de contenidos de las transacciones, si por razón de los mismos pudiera concurrir alguna situación de riesgo en la protección de datos personales.
2) Control específico de las autorizaciones de los usuarios, pudiendo comportar su suspensión o retirada definitiva cuando se advierta un uso inadecuado de las mismas.
c) Administrar las transacciones SILCON, específicamente referidas al sistema de auditorías, así como las diseñadas para la creación, mantenimiento y cese de auditores, activación y desactivación de perfiles y seguimiento de rastros de los accesos. A tal fin, la Unidad Nacional de Auditorias elaborará las solicitudes y propuestas necesarias a la Gerencia de Informática de la Seguridad Social.
d) Realizar auditorías específicas de accesos indebidos al Sistema de Confidencialidad, cuando se produzcan denuncias por los titulares de los datos accedidos, cualquiera que sea su lugar de presentación, y tramitar de forma centralizada todas las denuncias y comunicaciones que tengan entrada sobre cualquier forma de vulneración de protección de datos o accesos indebidos a los ficheros a cargo de la TGSS.
e) Coordinar y preparar la información que requiera la Dirección General para su relación institucional centralizada con la Agencia Española de Protección de Datos. A este fin, deberá ser remitido a la Unidad Nacional de Auditorias cualquier escrito o solicitud que se reciba de dicha agencia.
El procedimiento concreto de auditoria se pondrá en conocimiento del Organismo externo por parte de la Dirección Provincial de la TGSS, antes del inicio de la auditoria mensual que proceda, la cual explicará dicho proceso y solicitará los datos personales del auditor delegado.
Sin perjuicio de lo anterior, la TGSS se reserva la facultad de:
a) Controlar, supervisar y/o auditar los accesos o la utilización que se dé a los datos recibidos, para lo cual podrán llevarse a efecto cualesquiera otros controles accesorios.
b) Solicitar, en cualquier momento, las aclaraciones o la información complementaria que se estime precisa.
c) Suspender las autorizaciones y desactivar los perfiles de aquellos usuarios que hubieren realizado accesos de riesgo, entendiendo por tales todos aquellos en los que no quede acreditada su correspondencia con los fines para los que hubieran sido autorizados.
El órgano cesionario acepta someterse a todas las actuaciones de control y supervisión que puedan acordarse por el órgano cedente, al objeto de verificar la adecuada obtención y utilización de la información cedida y de las condiciones normativas o convencionales que resultan de aplicación.
La TGSS se reserva la facultad de revisar en cualquier momento posterior a la firma del presente convenio, las formas de acceso a los datos protegidos ya sea a través de acceso directo a ficheros, soporte físico o conexión telemática o electrónica, y la limitación de las mismas por razones técnicas, por modificación de los contenidos de los ficheros a raíz de mejoras introducidas en los mismos, por falta de uso de las transacciones o por otras razones que pudieran suponer alteración de las condiciones pactadas en este convenio.
1. Cuantas autoridades, funcionarios y resto de personal tengan conocimiento de los datos o información suministrados en virtud de este convenio estarán obligados al más estricto y completo sigilo respecto de ellos. Además, estarán obligados a no hacer públicos o enajenar cuantos datos conozcan, incluso después de finalizar el plazo de vigencia de este convenio.
2. La violación de esta obligación implicará incurrir en las responsabilidades penales, administrativas y civiles que resulten procedentes, así como el sometimiento al ejercicio de las competencias que corresponden a la Agencia Española de Protección de Datos.
3. El órgano cesionario será responsable frente a la TGSS y frente a terceros de cualquier reclamación derivada del uso indebido que se haga por los usuarios de los datos cedidos. La TGSS podrá repetir contra el órgano cesionario por cualquier indemnización que deba satisfacer derivado de dicho incumplimiento.
4. Si como consecuencia de las actuaciones de control o auditoria o por causa de denuncia o comunicación, se detectase cualquier tipo de irregularidad relacionada con la utilización de datos, antecedentes, registros o informes, con finalidad distinta a la propia gestión del órgano cesionario, se abrirán de inmediato diligencias en orden al completo esclarecimiento y, en su caso, a la exigencia de responsabilidades con traslado, si procede, a la autoridad judicial correspondiente.
5. La Entidad cesionaria deberá, si no hay un precepto legal en contra, borrar los datos cuando hayan dejado de ser necesarios o pertinentes para la finalidad para lo cual fueron solicitados.
6. El órgano cesionario debe garantizar que informará adecuadamente a todas las personas para las que solicita la autorización de acceso al menos de:
a) Las responsabilidades que asumen.
b) La finalidad concreta de la autorización.
c) Que el órgano cedente almacena rastros de cada una de las peticiones realizadas.
d) Que en cualquier momento se podrá solicitar la justificación de peticiones de datos realizadas, de acuerdo a los requisitos legales y a la finalidad para la que se autorizó la cesión de datos.
e) Las medidas de seguridad que deberá tener en cuenta para garantizar la seguridad de la información.
De esta manera, todos los usuarios identificados, así como sus responsables deben tener el conocimiento de que la copia de programas y/o uso de datos de carácter personal, en tareas impropias, son operaciones ilegales que pueden dar lugar a responsabilidades administrativas y de cualquier otra naturaleza, incluso penales, razón por la cual cuando, por cualquier medio, se tengan indicios de la utilización de datos, antecedentes, registros o informes con finalidad distinta a la propia gestión asignada al usuario, o su difusión indebida, infringiendo así el deber de secreto profesional, se pondrán dichos hechos en conocimiento del interlocutor de la parte correspondiente definido a estos efectos, al objeto de procurar la adopción de las medidas pertinentes entre ambas partes.
A fin de dar a conocer estas responsabilidades, en todas las altas de usuarios realizadas se deberá cumplimentar un documento donde se especificarán los compromisos adoptados por el usuario, en los términos que se indican en esta cláusula y en el anexo III que se adjunta a este convenio. Dicho documento quedará en poder del autorizador SILCON, si bien podrá ser remitido a la TGSS.
Con el fin de coordinar las actividades necesarias para la ejecución del presente convenio, así como para llevar a cabo su supervisión, seguimiento y control, se creará una Comisión Mixta de Coordinación y Seguimiento, compuesta por tres representantes nombrados por el Director General de la TGSS, uno de los cuales pertenecerá a la Gerencia de Informática y otros tres nombrados por la Diputación Foral de Bizkaia. Sus acuerdos requerirán el voto favorable de todos los representantes. Asimismo, podrá incorporarse, con derecho a voz, cualquier otro personal al servicio de la Administración Pública que se considere necesario.
Será competencia de la Comisión Mixta de Coordinación y Seguimiento establecer los procedimientos más eficaces que posibiliten la cesión de información prevista en este convenio, así como adoptar las medidas de control pertinentes para asegurar la custodia y correcta utilización de la información recibida.
La Comisión Mixta de Coordinación y Seguimiento podrá limitar el número máximo de usuarios autorizados para el acceso por parte del Departamento de Acción Social a la base de datos de la Tesorería General de la Seguridad Social, así como el número máximo de accesos directos autorizados.
La Comisión Mixta de Coordinación y Seguimiento se reunirá a instancia de cualquiera de las partes, siempre que los temas a tratar o las circunstancias lo aconsejen y, al menos una vez al año para examinar los resultados e incidencias de la colaboración realizada.
La Comisión Mixta de Coordinación y Seguimiento se regirá, en cuanto a su funcionamiento y régimen jurídico, en lo no establecido expresamente en la presente cláusula, por lo dispuesto para el funcionamiento de órganos colegiados en la sección 3.ª del capítulo II del Título Preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Las controversias que puedan surgir en la interpretación y cumplimiento del presente convenio serán resueltas por la Comisión Mixta de Coordinación y Seguimiento. Subsidiariamente, ambas partes, para las cuestiones derivadas del cumplimiento o interpretación del presente convenio, aceptan la sumisión a los Juzgados y Tribunales, según están determinados por la normativa que regula la Jurisdicción Contencioso-administrativa.
1. De conformidad con lo establecido en el apartado 1.º del artículo 49.h) de la LRJSP, el presente convenio tendrá una vigencia de 4 años, desde su inscripción en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación. Asimismo será publicado en el «Boletín Oficial del Estado», de conformidad con lo dispuesto en el artículo 48.8 de la misma norma legal. Con anterioridad a la finalización del plazo de duración previsto se podrá prorrogar el convenio, por acuerdo unánime de las partes, por un periodo de hasta cuatro años adicionales.
2. El contenido del presente convenio podrá ser actualizado o modificado, de mutuo acuerdo, en cualquier momento, a cuyo efecto las partes suscribirán la correspondiente Adenda al mismo.
3. No obstante, por lo que se refiere al suministro de información regulado en este convenio, el ente titular del fichero podrá acordar la suspensión unilateral o la limitación de los accesos cuando advierta incumplimientos de la obligación de sigilo por parte de las autoridades, funcionarios o resto de personal del ente cesionario, anomalías o irregularidades en los accesos o en el régimen de control o incumplimientos de los principios y reglas que deben presidir el suministro de información, de acuerdo con lo previsto en este convenio.
En el caso de que se detecte una incidencia de seguridad, se podrá determinar la suspensión unilateral o limitación de los accesos, con arreglo al siguiente procedimiento:
a) La entidad que haya detectado la incidencia informará inmediatamente al responsable de seguridad de la otra entidad para recabar su opinión o información adicional.
b) Si existe acuerdo de los respectivos responsables de seguridad sobre las medidas correctoras aplicables, se adoptarán éstas, notificándolo si procede a la Agencia Española de Protección de Datos, y se dará noticia de las mismas a la Comisión Mixta en la próxima reunión.
c) Si no se recibe respuesta, o no existe acuerdo de los respectivos responsables de seguridad sobre las medidas correctoras aplicables, se adoptarán éstas con carácter provisional, notificándolo si procede a la Agencia Española de Protección de Datos.
d) Con carácter previo a dicha suspensión unilateral o limitación de los accesos, se deberá convocar, con una antelación mínima de 48 horas, a la Comisión Mixta de Coordinación y Seguimiento, a quien se informará de los incumplimientos de la obligación de sigilo o de las anomalías o irregularidades en los accesos.
4. Son causas de extinción del convenio las relacionadas en el artículo 51 de la Ley 40/2015. En el supuesto de incumplimiento de las obligaciones, cualquiera de las partes podrá notificar a la parte incumplidora un requerimiento para que lleve a término, en un plazo de quince días, las obligaciones o compromisos que se consideran incumplidos. Ese requerimiento será comunicado al responsable del mecanismo de seguimiento, vigilancia y control designado en la cláusula séptima. Si transcurrido el plazo indicado en el requerimiento, persistiera el incumplimiento, la parte que lo dirigió notificará, a la otra parte firmante, la concurrencia de la causa de resolución y se entenderá resuelto el convenio.
El presente convenio tiene carácter interadministrativo, y se rige por lo dispuesto en los artículos 47 a 53 del capítulo VI del título preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
El presente convenio no contempla la existencia de gastos que requieran el establecimiento de un sistema de financiación en el mismo.
En prueba de conformidad, las partes implicadas firman el presente documento, en la fecha indicada al comienzo, tomándose como fecha de formalización del presente documento la fecha del último firmante.–El Director de la Tesorería General de la Seguridad Social, Andrés Harto Martínez.–El Diputado Foral de Acción Social de la Diputación Foral de Bizkaia, Sergio Murillo Corzo.
D. ........................................................... con DNI/NIE/Pasaporte número ....................
Autoriza a la Diputación Foral de Bizkaia para que, en mi nombre, acceda a los datos e información referida a mi persona y contenida en los ficheros de la Tesorería General de la Seguridad Social, en virtud del convenio y en relación con la finalidad que en el mismo está prevista.
El tratamiento de esta información, en tanto que contempla datos personales está sujeto a las garantías establecidas en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
En ........................, a ....... de ........................... de ...........
D. ........................................................... con DNI/NIE/Pasaporte número ..................., en representación de ..........................., con copia de poder o documento .........................
Autoriza a la Diputación Foral de Bizkaia para que, en mi nombre, acceda a los datos e información contenida en los ficheros de la Tesorería General de la Seguridad Social, en virtud del convenio suscrito al efecto.
El tratamiento de esta información, en tanto que contempla datos de personas jurídicas, está sujeto a las garantías establecidas en la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.
En ........................, a ....... de ........................... de ...........
Nombre y apellidos:
DNI:
Unidad de adscripción:
Por el presente documento
COMUNICA
Que, de conformidad con lo dispuesto en la normativa vigente en materia de protección de datos personales y seguridad en el tratamiento de la información y en la Orden de 17 de enero de 1996, sobre control de accesos al sistema informático de la Seguridad social, en el caso de que las funciones que desarrolle o los trabajos que realice conlleven su alta como usuario del sistema informático, adquiere el compromiso de utilizar las transacciones con los fines exclusivos de gestión para los que sea autorizado y está obligado a guardar el secreto profesional sobre los datos de que tenga conocimiento, siendo responsable de todos los accesos que se realicen a los ficheros informáticos mediante su contraseña personal y el código de acceso facilitado.
Que el incumplimiento de las obligaciones indicadas, el acceso a la información por usuario no autorizado, la asignación de procesos o transacciones no necesarios para la función encomendada y la falta de custodia o secreto de la identificación personal de acceso dará lugar a la exigencia de responsabilidades administrativas, así como a responsabilidades de cualquier otra naturaleza, incluso penales.
En ........................, a ....... de ........................... de ...........
Nota: la firma podrá ser sustituida por una declaración de haber leído y aceptado el documento a través de un formulario web cuyo acceso requiera autenticación.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid