Agencia Estatal Boletín Oficial del Estado
Habiéndose suscrito el 5 de julio de 2023 el Convenio entre el Ministerio del Interior, a través de la Secretaría General de Instituciones Penitenciarias y el Servicio de Salud de las Islas Baleares dependiente de la Conselleria de Salut i Consum de les Illes Balears en materia de asistencia sanitaria a personas privadas de libertad en centros penitenciarios, procede la publicación en el «Boletín Oficial del Estado» de dicho convenio que figura como anexo a esta resolución.
Madrid, 11 de julio de 2023.–El Secretario General Técnico, Juan Antonio Puigserver Martínez.
Madrid, 5 de julio de 2023.
REUNIDOS
De una parte, don Ángel Luis Ortiz González, Secretario General de Instituciones Penitenciarias por Real Decreto de nombramiento 504/2018, de 18 de junio, a tenor de lo dispuesto en el Real Decreto 952/2018, de 27 de julio, por el que se desarrolla la estructura orgánica básica del Ministerio del Interior, y con competencia para firmar convenios según el apartado noveno de la Orden INT/985/2005, de 7 de abril, por la que se delegan determinadas atribuciones y se aprueban las delegaciones efectuadas por otras autoridades.
Y de otra, don Manuel Palomino Chacón, Director General del Servicio de Salud de las Islas Baleares, nombrado en virtud del Decreto 26/2022, de 25 de julio, de nombramiento de Director General, que ejerce las competencias que le atribuye el artículo 69.7 de la Ley 5/2003, de 4 de abril, de Salud de las Islas Baleares, en relación con el artículo 12, apartados b y j), del Decreto 39/2006, de 21 de abril, por el cual se aprueban los Estatutos del ente público Servicio de Salud de las Islas Baleares.
Ambas partes, en la representación que ostentan, se reconocen mutua capacidad para obligarse y convenir y, a tal efecto,
EXPONEN
La Constitución Española de 1978 reconoce, en su artículo 43, el derecho de todos los españoles a la protección de la salud y atribuye a los poderes públicos las competencias para organizar y tutelar la salud pública a través de medidas preventivas y de las prestaciones y servicios necesarios, así mismo, y a través de las previsiones contenidas en el Título VIII, organiza las atribuciones y competencias del Estado sobre la base de la institucionalización de las Comunidades Autónomas.
El artículo 25.2 de la Constitución Española establece que las penas privativas de libertad y las medidas de seguridad estarán orientadas hacia la reeducación y reinserción social, siendo éste el fin primordial de las Instituciones Penitenciarias de acuerdo con el artículo 1 de la Ley Orgánica 1/1979, de 26 de septiembre, General Penitenciaria (LOGP).
Conforme a la distribución constitucional de competencias en materia penitenciaria, el Ministerio del Interior, a través de la Secretaría General de Instituciones Penitenciarias, tiene asignada la administración y régimen de las instituciones penitenciarias a su cargo, siendo una de sus competencias velar por la vida, integridad y salud de los internos (artículo 3.4 de la LOGP).
A este respecto, la Administración Penitenciaria mantiene, en los establecimientos de ella dependientes, la cobertura sanitaria correspondiente al nivel de Atención Primaria de la Salud (artículo 209 del Reglamento Penitenciario, aprobado por el Real Decreto 190/1996, de 9 de febrero).
La asistencia sanitaria a las personas privadas de libertad se presta por el Servicio de Salud de las Islas Baleares (en adelante, Ib-Salut). Ello incluye la asistencia en hospitales y centros de especialidades con el desplazamiento de internos/as cuando es necesario a dichos centros o con el desplazamiento de algunos especialistas a los centros penitenciarios, con el fin de evitar el traslado de internos/as. Asimismo, los establecimientos penitenciarios estarán incluidos en la planificación de programas de actividades de Promoción, Protección de la Salud y de Educación para la Salud de la CC.AA. que facilitará las correspondientes pruebas de cribado o screening.
El Ib-Salut, ostenta la cualidad de Responsable de la Actividad de Tratamiento de los diferentes Sistemas de información sanitaria pública que contienen datos de carácter personal de categoría especial tal como consta en el Registro de Actividades de Tratamiento, de acuerdo a la legislación vigente de protección de datos de carácter personal.
El Ib-Salut es un organismo autónomo que se adscribe al Departamento responsable en materia de Salud de la Administración de la Comunidad Autónoma.
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, califica a los datos relativos a la salud como especialmente sensibles y determina un régimen jurídico de especial protección para los mismos, cuestión que a su vez protagoniza también la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de los derechos y obligaciones en materia de información y documentación clínica.
Los datos de la historia clínica son datos personales de categoría especial. En consecuencia, su tratamiento habrá de efectuarse con plena observancia de las disposiciones vigentes en esta materia.
Establecido el amparo competencial, serán las leyes sectoriales reguladoras de los diferentes ámbitos de la acción pública las que establezcan los concretos términos en que dichas funciones se desarrollan, atendida la especialidad técnica de sus funciones.
La Agencia Española de Protección de Datos, en su informe 018/2006, relativo a tratamiento de datos en servicios de salud penitenciaria, dice en su literalidad: «debe indicarse que los servicios de salud penitenciaria han de ser considerados como establecimientos sanitarios incorporados al sistema nacional de salud, a los efectos establecido en la Ley 16/2003, de 28 de mayo, de Cohesión y Calidad del Sistema Nacional de Salud».
El informe extrae, además, las siguientes conclusiones:
1. No será necesario el consentimiento del interno para que el personal sanitario penitenciario pueda consultar los datos que pudieran existir en los sistemas de información clínica. Tampoco será preciso informar al interno acerca de dicha consulta.
2. No será necesario el consentimiento para el tratamiento de los datos por parte del personal sanitario penitenciario ni para su inclusión en el fichero centralizado de historias clínicas, no obstante, deberá evitarse la inclusión de cualquier dato que permita dar a conocer el hecho de que el tratamiento ha sido prestado por un servicio sanitario penitenciario.
3. Deberá informarse al interesado del tratamiento y cesión de sus datos en caso de que se refieran al tratamiento o diagnóstico realizados en el centro penitenciario.
4. En cuanto a los supuestos de telemedicina no será preciso el consentimiento del afectado, pero sí la información al mismo, debiendo implantarse las medidas de seguridad de nivel alto previstas en el Real Decreto 994/1999 en todo caso para los ficheros automatizados y en cuanto resulte posible su aplicación para los ficheros manuales.
Como consecuencia de todo lo anterior, las partes estiman conveniente la formalización del presente convenio para la mejora de la asistencia sanitaria a las personas privadas de libertad mediante la compartición de la información clínica necesaria y relevante, la formación común de los profesionales, así como la puesta en funcionamiento de la telemedicina entre centros penitenciarios y la red de asistencia sanitaria del Servicio de Salud de las Islas Baleares.
CLÁUSULAS
El objeto del presente convenio es la mejora de la asistencia sanitaria que se presta en los centros penitenciarios de la Comunidad Autónoma de las Islas Baleares facilitando, con cumplimiento de las medidas de seguridad y confidencialidad exigidas:
1. El acceso a las historias clínicas informatizadas hospitalarias que existen en el Ib-Salut por parte del sanitario de Instituciones Penitenciarias (actualmente titulados en Medicina y Enfermería) que prestan sus servicios en los centros penitenciarios de Islas Baleares, exclusivamente para la consulta de la historia clínica de pacientes atendidos por ellos en su atención sanitaria habitual. El acceso queda acotado, única y exclusivamente, a los pacientes compartidos, durante el periodo de internamiento u otras situaciones ajustadas a la ley. El acceso comporta, adicionalmente, la capacidad del personal sanitario de Instituciones Penitenciarias para realizar además consulta y registros en la historia clínica de los pacientes en el nivel de Atención Primaria.
2. La implementación de la telemedicina evitando de este modo desplazamientos innecesarios y proporcionando una mayor accesibilidad clínica tanto para pacientes como para profesionales.
3. La formación compartida entre ambas instituciones de los profesionales sanitarios, de cara a estandarizar, según los estándares de calidad más actualizados y adecuados, la asistencia sanitaria.
1. El Ministerio del Interior, se compromete a establecer los mecanismos que aseguren que la utilización del acceso al sistema informático se restrinja a la estrictamente necesaria para la atención sanitaria de los pacientes compartidos y a mantener el deber de secreto y confidencialidad, así como el riguroso cumplimiento de la legislación de protección de datos personales.
2. La Secretaría General de Instituciones Penitenciarias establecerá un sistema de gestión de usuarios transmitiendo puntualmente y sin dilación al Ib-Salut las altas o bajas que se puedan presentar entre sus profesionales sanitarios y que ocupen puesto en la asistencia sanitaria de los centros penitenciarios de Baleares. Dicho sistema deberá ser acorde a la Instrucción 2/2020, del Director General del Servicio de Salud de las Illes Balears, relativa al acceso a los sistemas de información corporativos del Ib-Salut de los profesionales asistenciales de los hospitales adscritos a convenios singulares y vinculados a la red sanitaria pública de las Illes Balears
3. Ambas partes se comprometen a facilitar sistemas de comunicación que permitan el desarrollo de Telemedicina entre los centros penitenciarios del Ministerio del Interior en la Comunidad Autónoma de Baleares y sus centros sanitarios de referencia.
4. El Ministerio del Interior facilitará la realización de periodos de rotación en los centros penitenciarios a los profesionales en formación sanitaria especializada (MIR, FIR, EIR, PIR) que estén realizando su formación en el Ib-Salut y que así lo soliciten de acuerdo con la correspondiente Unidad de Formación.
1. El Ib-Salut se compromete a autorizar al personal sanitario dependiente de la Secretaría General de Instituciones Penitenciarias, que presta sus servicios en los centros penitenciarios de Baleares, el acceso a los sistemas de información de historia clínica digital del Servicio de Salud, a través de un adecuado procedimiento de control de accesos, con la finalidad de que éstos puedan prestar la adecuada asistencia sanitaria a pacientes ingresados en establecimientos penitenciarios.
Para ello, será necesario que dicho personal firme un Acuerdo de Confidencialidad donde aparezcan especificadas las obligaciones y normativa aplicable (anexo II).
Dicho Acuerdo de Confidencialidad deberá ser previamente autorizado en cada caso, por personal de la Dirección General de Asistencia Sanitaria del Departamento de Sanidad, y autorizado finalmente por el Responsable del Tratamiento, el Director Gerente del Ib-Salut. A este Acuerdo de Confidencialidad se le acompañará para el conocimiento de los firmantes, el Decálogo de Protección de Datos para el personal sanitario. Se advertirá, asimismo, que en ningún caso podrá accederse a la Historia Clínica de pacientes a los que no se esté autorizado.
2. Ambas partes se comprometen a facilitar sistemas de comunicación que permitan el desarrollo de Telemedicina entre los centros penitenciarios del Ministerio del Interior en la Comunidad Autónoma de Baleares y sus centros sanitarios de referencia.
3. El Ib-Salut ofertará a los funcionarios sanitarios de Instituciones Penitenciarias la posibilidad de acudir a los cursos de formación continuada que el Ib-Salut oferte a sus profesionales, en función de la disponibilidad de plazas.
1. Las partes se comprometen a mantener la confidencialidad de todos los datos e informaciones facilitado por la otra parte y que sean concernientes a la ejecución del objeto del presente convenio, debiendo las partes mantener dicha información en reserva y secreto y no revelarla de ninguna forma, total o parcialmente, a ninguna persona física o jurídica que no sea parte del mismo, salvo los casos y mediante la forma legalmente previstos.
Con el fin de garantizar los extremos del párrafo anterior, el acceso a la Historia Clínica Electrónica se realizará únicamente por parte de personal médico y de enfermería (funcionarios de carrera) que prestan sus servicios en los centros penitenciarios de Baleares.
Los responsables de los sistemas de información de Historia Clínica Digital del Servicio de Salud identificarán de forma inequívoca y personalizada a todo profesional que intente acceder a la información contenida en dichos sistemas de información de una persona como paciente o persona usuaria y verificarán su autorización. Se deberá dejar constancia de todo acceso en términos que permitan tener conocimiento de la persona que accede, la fecha y la finalidad, debiéndose guardar de cada intento de acceso, como mínimo, la identificación del profesional, el paciente al que se accede, fecha, hora y la documentación de la historia clínica a la que se ha accedido, además del tipo de acceso.
2. La Secretaría General de Instituciones Penitenciarias actúa como encargado del tratamiento y, por tanto, tiene el deber de cumplir con la normativa vigente en cada momento, con especial mención a la Ley 41/2002, de 14 de noviembre, reguladora de la autonomía del paciente y derechos y obligaciones en materia de información y documentación clínica. En concreto con lo dispuesto en el artículo 16 de la mencionada ley. Si destinase los datos a otra finalidad, los comunicara o los utilizara incumpliendo las estipulaciones del presente convenio y/o la normativa vigente, será considerado también como responsable del tratamiento, respondiendo de las infracciones en que hubiera podido incurrir.
El anexo 1 «Tratamiento de Datos Personales» describe en detalle los datos personales a proteger, así como el tratamiento a realizar y las medidas a implementar por la Secretaría General de Instituciones Penitenciarias, como Encargado de Tratamiento.
3. El Departamento de Sanidad, así como el Ib-Salut, para el cumplimiento de la normativa sobre protección de datos, y para la «tutela de la garantía de los derechos de los ciudadanos en materia de autonomía del paciente y los derechos y obligaciones en materia de información y documentación clínica» realizará las auditorías que considere necesarias para la verificación de la correcta utilización de las historias clínicas informatizadas, comprobando el acceso a las mismas únicamente del personal autorizado para ello y su uso exclusivo en el marco de sus competencias profesionales.
4. Asimismo, los profesionales sanitarios de Instituciones Penitenciarias en C.A. de Baleares, dispondrán de un protocolo de acceso a sus sistemas informáticos que garantice el cumplimiento de las normativas de protección de datos.
Las instituciones firmantes desarrollarán y asumirán en su ámbito todas las tareas que sean necesarias para la consecución de los objetivos indicados en las cláusulas 1 y 2. Se emplearán infraestructuras seguras para la conexión por la Red SARA, entre los centros penitenciarios y los centros sanitarios que se precisen del Ib-Salut.
El presente convenio no generará ningún tipo de vínculo contractual ni laboral entre las partes firmantes y las personas físicas que desempeñen las actividades propias del mismo.
1. Para el adecuado seguimiento, coordinación, control e interpretación de lo establecido en el presente convenio, se crea una Comisión de Seguimiento paritaria integrada por dos miembros designados por cada una de las instituciones firmantes y un/a representante de la Delegación del Gobierno en la Comunidad Autónoma de Baleares, que forma parte de la representación del Ministerio de Justicia en la citada Comisión. La Comisión se reunirá cuando lo determinen las partes.
2. La Comisión se regirá, en cuanto a su funcionamiento, periodicidad de las reuniones y vinculación de sus acuerdos, por lo dispuesto en el capítulo II del título preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, que regula el funcionamiento de los órganos colegiados.
3. Considerando la evolución profesional en este ámbito, la Comisión de Seguimiento valorará y, en su caso, acordará ampliar el acceso a la Historia Clínica a otras categorías profesionales contempladas en la Ley 44/2003, de 21 de noviembre, de Ordenación de las Profesiones Sanitarias, con niveles de acceso iguales a sus equivalentes en el Ib-Salut.
4. Igualmente, las partes acordarán en el seno de esta Comisión aquellos detalles relativos a la ejecución del contenido del convenio, incluidos los referidos al tratamiento de los datos personales, siempre que no afecte al contenido mínimo y esencial del convenio.
El presente convenio no conlleva gastos ni para la Secretaría General de instituciones Penitenciarias, ni para el Ib-Salut del Gobierno de Islas Baleares.
1. De conformidad con lo dispuesto en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, el convenio se entenderá perfeccionado por la prestación del consentimiento de las partes y resultará eficaz una vez sea inscrito en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación del sector público estatal. Asimismo, será publicado en el plazo de diez días hábiles desde su formalización en el «Boletín Oficial del Estado».
La vigencia de este convenio será de cuatro años. Antes de la finalización de la vigencia del convenio, la Secretaría General de Instituciones Penitenciarias y el Ib-Salut podrán acordar, expresamente y por escrito, su prórroga por hasta otros cuatro años adicionales.
2. Por otra parte, cualquiera de las partes firmantes podrá proceder a su denuncia expresa con un plazo mínimo de dos meses a su fecha de expiración o a la fecha en que se pretenda la extinción anticipada de su vigencia.
3. Las partes firmantes podrán modificar los términos del presente convenio en cualquier momento, de mutuo acuerdo, mediante la firma de una adenda al mismo, que se encontrará sujeta a los mismos requisitos que se exigen en la tramitación del presente Convenio.
1. El presente convenio se extingue por incurrir en cualquiera de las causas de extinción del artículo 51 de la Ley 40/2015, de 1 de octubre.
2. Desde la fecha del acuerdo de resolución del convenio o de la notificación de la voluntad de extinción, en los términos de la presente cláusula, la colaboración se mantendrá, en todo caso, y continuarán hasta su finalización las actividades iniciadas con anterioridad a la fecha de referencia, estableciendo un plazo de seis meses para la finalización de dichas actividades.
El presente convenio, de naturaleza jurídico-administrativa, se celebra al amparo de la Ley 40/2015, de 1 de octubre.
Las controversias que puedan surgir sobre la interpretación, modificación, ejecución, resolución y efectos que puedan derivarse del presente convenio se resolverán entre las partes de la manera amistosa en el seno de la Comisión de Seguimiento prevista en la cláusula sexta.
Al tener naturaleza administrativa, el orden jurisdiccional contencioso-administrativo será el competente para resolver las cuestiones litigiosas que pudieran suscitarse entre las partes, todo ello de conformidad con lo dispuesto en los artículos 1 y 2 de la Ley 29/1998, de 13 de julio, reguladora de dicha jurisdicción.
Este convenio se publicará en el «Boletín Oficial del Estado», de acuerdo con lo previsto en la Ley 40/2015, de 1 de octubre. Asimismo, se publicará en el Portal de Transparencia del Gobierno de España, de acuerdo con lo previsto en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno (BOE de 10 de diciembre).
De conformidad con cuanto antecedente, y en ejercicio de las atribuciones de que son titulares los firmantes, suscriben por duplicado el presente convenio en el lugar y fecha arriba indicados.–El Secretario General de II.PP., Ángel Luis Ortiz González–El Director General del Servicio de Salud de IB, Manuel Palomino Chacón.
1. Estipulaciones como encargado de tratamiento. De conformidad con lo previsto en el artículo 28 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, Reglamento General de Protección de Datos), la Secretaría General de Instituciones Penitenciarias se obliga y garantiza el cumplimiento de las siguientes obligaciones:
a) Tratar los datos personales conforme a las instrucciones documentadas en el presente convenio y aquellas que, en su caso, reciba de Ib-Salut por escrito en cada momento.
La Secretaría General de Instituciones Penitenciarias informará inmediatamente al Ib-Salut cuando, en su opinión, una instrucción sea contraria a la normativa de protección de datos personales aplicable en cada momento.
b) No utilizar ni aplicar los datos personales con una finalidad distinta a la ejecución del objeto del presente convenio.
c) Tratar los datos personales de conformidad con los criterios de seguridad y el contenido previsto en el artículo 32 del Reglamento General de Protección de Datos, así como observar y adoptar las medidas técnicas y organizativas de seguridad necesarias, o convenientes, para asegurar la confidencialidad, secreto e integridad de los datos personales a los que tenga acceso.
En particular, y sin carácter limitativo, se obliga a aplicar las medidas de protección del nivel de riesgo y seguridad detallados en el apartado 2 del presente anexo.
d) Mantener la más absoluta confidencialidad sobre los datos personales a los que tenga acceso para la ejecución del convenio, así como sobre los que resulten de su tratamiento, cualquiera que sea el soporte en el que se hubieren obtenido. Esta obligación se extiende a toda persona que pudiera intervenir en cualquier fase del tratamiento por cuenta de la Secretaría General de Instituciones Penitenciarias, siendo deber de esta parte instruir a las personas que de él dependan, de este deber de secreto, y del mantenimiento de dicho deber aún después de la terminación de la ejecución del convenio o de su desvinculación.
e) Llevar un listado de personas autorizadas para tratar los datos personales objeto de este convenio y garantizar que las mismas se comprometen, de forma expresa y por escrito (según modelo del anexo II), a respetar la confidencialidad, y a cumplir con las medidas de seguridad correspondientes, de las que les debe informar convenientemente, así como a mantener a disposición del Ib-Salut dicha documentación acreditativa.
f) Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas a su tratamiento.
g) Salvo que cuente en cada caso con la autorización expresa del responsable del tratamiento, no comunicar, ceder, ni difundir los datos personales a terceros, ni siquiera para su conservación.
h) Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de:
1.º Acceso, rectificación, supresión y oposición.
2.º Limitación del tratamiento.
i) Nombrar un delegado de protección de datos, en caso de que sea necesario según el Reglamento General de Protección de Datos, y comunicarlo al Ib-Salut, también cuando la designación sea voluntaria, así como la identidad y datos de contacto de la(s) persona(s) física(s) designada(s) por la Secretaría General de Instituciones Penitenciarias como sus representante(s) a efectos de protección de los datos personales (representantes del encargado de tratamiento), responsable(s) del cumplimiento de la regulación del tratamiento de datos personales, en las vertientes legales/formales y en las de seguridad.
j) Una vez finalizada la prestación objeto del presente convenio, se compromete, según corresponda y se instruye en el presente anexo «Tratamiento de Datos Personales», a devolver o destruir:
1.º Los datos personales a los que haya tenido acceso;
2.º Los datos personales generados por la Secretaría General de Instituciones Penitenciarias por causa del tratamiento; y
3.º Los soportes y documentos en que cualquiera de estos datos consten, sin conservar copia alguna; salvo que se permita o requiera por ley o por norma de derecho de la Unión Europea su conservación, en cuyo caso no procederá la destrucción.
El encargado del tratamiento podrá, no obstante, conservar los datos durante el tiempo que puedan derivarse responsabilidades de su relación con el responsable del tratamiento. En este último caso, los datos personales se conservarán bloqueados y por el tiempo mínimo, destruyéndose de forma segura y definitiva al final de dicho plazo.
k) Según corresponda y se indique en el presente anexo, a llevar a cabo el tratamiento de los datos personales en los sistemas/dispositivos de tratamiento, manuales y automatizados, y en las ubicaciones que en el presente anexo se especifican, equipamiento que podrá estar bajo el control del Ib-Salut o bajo el control directo o indirecto de la Secretaría General de Instituciones Penitenciarias, u otros que hayan sido expresamente autorizados por escrito por el Ib-Salut, según se establezca en este anexo en su caso, y únicamente por los usuarios o perfiles de usuarios asignados a la ejecución del objeto de este convenio.
l) Salvo que se indique otra cosa en este anexo o se instruya así expresamente por el Ib-Salut, a tratar los datos personales dentro del Espacio Económico Europeo u otro espacio considerado por la normativa aplicable como de seguridad equivalente, no tratándolos fuera de este espacio ni directamente ni a través de cualesquiera terceros autorizados conforme a lo establecido en este convenio, salvo que esté obligado a ello en virtud del Derecho de la Unión o del Estado miembro que le resulte de aplicación.
En el caso de que por causa de Derecho nacional o de la Unión Europea la Secretaría General de Instituciones Penitenciarias se vea obligada a llevar a cabo alguna transferencia internacional de datos, informará por escrito al Ib-Salut de esa exigencia legal, con antelación suficiente a efectuar el tratamiento, y garantizará el cumplimiento de cualesquiera requisitos legales que sean aplicables al Ib-Salut, salvo que el Derecho aplicable lo prohíba por razones importantes de interés público.
m) De conformidad con el artículo 33 del Reglamento General de Protección de Datos, comunicar al Ib-Salut, de forma inmediata y a más tardar en el plazo de 72 horas, cualquier violación de la seguridad de los datos personales a su cargo de la que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia o cualquier fallo en su sistema de tratamiento y gestión de la información que haya tenido o pueda tener que ponga en peligro la seguridad de los datos personales, su integridad o su disponibilidad, así como cualquier posible vulneración de la confidencialidad como consecuencia de la puesta en conocimiento de terceros de los datos e informaciones obtenidos durante la ejecución del convenio. Comunicará con diligencia información detallada al respecto, incluso concretando qué interesados sufrieron una pérdida de confidencialidad.
n) Cuando una persona ejerza un derecho (de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, u otros reconocidos por la normativa aplicable, conjuntamente, los «Derechos»), ante el encargado del tratamiento, éste debe comunicarlo al Ib-Salut con la mayor prontitud. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción del ejercicio de derecho, juntamente, en su caso, con la documentación y otras informaciones que puedan ser relevantes para resolver la solicitud que obre en su poder, e incluyendo la identificación fehaciente de quien ejerce el derecho.
Asistirá al Ib-Salut, siempre que sea posible, para que ésta pueda cumplir y dar respuesta a los ejercicios de Derechos.
ñ) Colaborar con el Ib-Salut en el cumplimiento de sus obligaciones en materia de:
1.º Medidas de seguridad,
2.º Comunicación y/o notificación de brechas (logradas e intentadas) de medidas de seguridad a las autoridades competentes o los interesados.
3.º Colaborar en la realización de evaluaciones de impacto relativas a la protección de datos personales y consultas previas al respecto a las autoridades competentes; teniendo en cuenta la naturaleza del tratamiento y la información de la que disponga.
Asimismo, pondrá a disposición del Ib-Salut, a requerimiento de éste, toda la información necesaria para demostrar el cumplimiento de las obligaciones previstas en este convenio y colaborará en la realización de auditoras e inspecciones llevadas a cabo, en su caso, por el Ib-Salut.
o) En los casos en que la normativa así lo exija (de acuerdo con el artículo 30.5 del Reglamento General de Protección de Datos), llevar, por escrito, incluso en formato electrónico, y de conformidad con lo previsto en el artículo 30.2 del Reglamento General de Protección de Datos, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta de Ib-Salut (Responsable del tratamiento), que contenga, al menos, las circunstancias a que se refiere dicho artículo.
p) Disponer de evidencias que demuestren su cumplimiento de la normativa de protección de datos personales y del deber de responsabilidad activa, como, a título de ejemplo, certificados previos sobre el grado de cumplimiento o resultados de auditorías, que habrá de poner a disposición del Ib-Salut a requerimiento de ésta. Asimismo, durante la vigencia del convenio, pondrá a disposición del Ib-Salut toda información, certificaciones y auditorías realizadas en cada momento.
q) Derecho de información: El encargado del tratamiento, en el momento de la recogida de los datos, debe facilitar la información relativa a los tratamientos de datos que se van a realizar. La redacción y el formato en que se facilitará la información se debe consensuar con el responsable antes del inicio de la recogida de los datos.
La presente cláusula de este anexo y las obligaciones en ella establecidas, constituyen el acto jurídico de encargo de tratamiento entre el Ib-Salut y la Secretaría General de Instituciones Penitenciarias a que hace referencia el artículo 28.3 Reglamento General de Protección de Datos. Las obligaciones y prestaciones que aquí se contienen no son retribuíbles de forma distinta de lo previsto en el presente convenio y tendrán la misma duración que el convenio, prorrogándose en su caso por períodos iguales a éste. No obstante, a la finalización del convenio, el deber de secreto continuará vigente, sin límite de tiempo, para todas las personas involucradas en la ejecución del convenio.
Para el cumplimiento del objeto de este convenio no se requiere que la Secretaría General de Instituciones Penitenciarias acceda a ningún otro dato personal responsabilidad del Ib-Salut, y por tanto no está autorizado en caso alguno al acceso o tratamiento de otro dato, que no sean los especificados en este anexo. Si se produjera una incidencia durante la ejecución del convenio que conllevará un acceso accidental o incidental a datos personales responsabilidad del Ib-Salut no contemplados en el presente anexo, la Secretaría General de Instituciones Penitenciarias deberá ponerlo en conocimiento del Ib-Salut, con la mayor diligencia y a más tardar en el plazo de 72 horas.
2. Tratamiento de datos de carácter personal por terceros ajenos al convenio. Cuando el convenio permita que las actividades objeto del convenio sean llevadas a cabo por otra persona física o jurídica, y en caso de que la Secretaría General de Instituciones Penitenciarias pretenda ejecutar las prestaciones del convenio con terceros, y éste deba acceder a datos personales, la Secretaría General de Instituciones Penitenciarias lo pondrá en conocimiento previo del Ib-Salut, identificando qué tratamiento de datos personales conlleva, para que el Ib-Salut decida, en su caso, si otorgar o no su autorización a dicha ejecución de actividades.
En todo caso, para autorizar la ejecución de actividades, es requisito imprescindible que se cumplan las siguientes condiciones (si bien, aun cumpliéndose las mismas, corresponde al Ib-Salut la decisión de sí otorgar, o no, dicho consentimiento):
a) Que el tratamiento de datos personales por parte del tercero que ejecuta las prestaciones del convenio se ajuste a la legalidad vigente, lo contemplado en este convenio y a las instrucciones del Ib-Salut.
b) Que la Secretaría General de Instituciones Penitenciarias y el tercero que ejecute parte de las prestaciones del convenio formalicen un acto jurídico de encargo de tratamiento de datos en términos no menos restrictivos a los previstos en el presente convenio, el cual será puesto a disposición del Ib-Salut a su mera solicitud para verificar su existencia y contenido.
La Secretaría General de Instituciones Penitenciarias informará al Ib-Salut de cualquier cambio previsto en la incorporación o sustitución de otros terceros que ejecuten el convenio, dando así al Ib-Salut la oportunidad de otorgar el consentimiento previsto en esta cláusula. La no respuesta del Ib-Salut a dicha solicitud por el contratista equivale a oponerse a dichos cambios.
3. Información sobre el tratamiento de los datos de carácter personal: Los datos de carácter personal serán tratados por los servicios sanitarios de los centros penitenciarios ubicados en la Comunidad de Islas Baleares para ser incorporados a la historia clínica digital de instituciones penitenciarias, con fines asistenciales, epidemiológicos y de gestión sanitaria de los internos de los citados centros penitenciarios, según mandato legal recogido en la Ley Orgánica 1/1979, de 26 de septiembre, General Penitenciaria, desarrollado en el Reglamento Penitenciario, Real Decreto 190/1996, de 9 de febrero.
Los datos de carácter personal serán comunicados a juzgados; Tribunales de Justicia, Fiscalías y a cuantas entidades (públicas o privadas) legitimadas por la ley, y en los términos recogidos en la ley, sean de obligado cumplimiento.
Se conservarán los datos durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativa nacional y autonómica de archivos y documentación sanitaria.
Los derechos de acceso, rectificación, supresión y portabilidad de sus datos, de limitación y oposición a su tratamiento, así como a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado de sus datos, cuando procedan, se pueden ejercitar ante el Ib-Salut, según los procedimientos administrativos establecidos al efecto.
Puede obtener más información en la página web del Gobierno de Islas Baleares, Registro de Actividades de Tratamiento, de acuerdo a la legislación vigente de protección de datos de carácter personal, en la siguiente url:
https://www.ibsalut.es/es/servicio-de-salud/proteccion-de-datos-personales/534-registro-de-actividades-de-tratamiento.
4. Descripción general del tratamiento de datos personales a efectuar:
4.1 Descripción. El tratamiento consistirá en la utilización de los datos obtenidos con fines asistenciales, epidemiológicos y de gestión sanitaria. El personal adscrito por la Secretaría General de Instituciones Penitenciarias, para ejecutar las prestaciones del presente convenio puede tratar datos personales. Éstos se tratarán únicamente por el personal adscrito y al único fin de efectuar el alcance del objeto del convenio.
En caso de que como consecuencia de la ejecución de las prestaciones del convenio resultara necesario en algún momento la modificación de lo estipulado en este anexo, la parte firmante interesada lo requerirá razonadamente y señalará los cambios que solicita. En caso de que la otra parte firmante estuviese de acuerdo con lo solicitado, se emitiría un anexo actualizado, de modo que el mismo siempre recoja fielmente el detalle del tratamiento. Su modificación se realizará mediante la suscripción de una adenda previa tramitación de acuerdo con la ley.
4.2 Colectivos y datos tratados. Los colectivos de interesados y datos personales tratados a las que puede tener acceso la Secretaría General de Instituciones Penitenciarias son:
| Tratamientos y principales colectivos de interesados | Datos personales del tratamiento a los que se puede acceder |
|---|---|
| Asistencia sanitaria. | Datos de salud. |
4.3 Elementos del tratamiento. El tratamiento de los datos personales comprenderá: (márquese lo que proceda).
| X Recogida (captura de datos) | X Registro (grabación) | X Estructuración | X Modificación |
| X Conservación (almacenamiento) | X Extracción (retrieval) | X Consulta | ☐ Cesión |
| ☐ Difusión | ☐ Interconexión (cruce) | X Cotejo | ☐ Limitación |
| ☐ Supresión | ☐ Destrucción (de copias temporales) | ☐ Conservación (en sus sistemas de información) | ☐ Otros:________ |
| ☐ Duplicado | ☐ Copia (copias temporales) | ☐ Copia de seguridad | ☐ Recuperación |
4.4 Disposición de los datos al finalizar el objeto del convenio. Una vez finalice el objeto del convenio, la Secretaría General de Instituciones Penitenciarias debe:
a) Devolver al responsable del tratamiento los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplido el objeto del convenio. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución del objeto del convenio.
No obstante, el responsable del tratamiento podrá requerir al encargado para que en vez de la opción a), cumpla con la b) o con la c) siguientes:
b) Devolver al encargado que designe por escrito el responsable del tratamiento, los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplido el objeto del convenio. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.
c) Destruir los datos, una vez cumplido el objeto del convenio. Una vez destruidos, el encargado debe certificar su destrucción por escrito y debe entregar el certificado al responsable del tratamiento. No obstante, el encargado puede conservar una copia, con los datos debidamente boqueados, mientras puedan derivarse responsabilidades de la ejecución del objeto del convenio.
4.5 Medidas de seguridad. Los datos deben protegerse empleando las medidas que un sujeto diligente debe tomar para evitar que dichos datos pierdan su razonable confidencialidad, integridad y disponibilidad, según Esquema Nacional de Seguridad conforme a la disposición adicional primera de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
La Secretaría General de Instituciones Penitenciarias no podrá no implementar o suprimir dichas medidas mediante el empleo de un análisis de riesgo o evaluación de impacto salvo aprobación expresa del Ib-Salut. A estos efectos, el personal de la Secretaría General de Instituciones Penitenciarias debe seguir las medidas de seguridad establecidas por el Ib-Salut, no pudiendo efectuar tratamientos distintos de los definidos por éste.
Compromiso de confidencialidad
El Servicio de Salud de las Islas Baleares –en cumplimiento de la Ley orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales; la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente, y la Ley 5/2003, de 4 de abril, de Salud de las Islas Baleares– tiene la obligación de garantizar los derechos de protección de datos de los pacientes y de las personas en el tratamiento de sus datos. Además, hay que considerar que el tratamiento de datos personales referidos a la salud de una persona es un tema especialmente sensible y que requiere protección especial.
Todo ello exige que el usuario al que se le proporciona acceso a los sistemas de información del Servicio de Salud adquiera los compromisos necesarios para garantizar el tratamiento adecuado de la información de acuerdo con la legislación vigente.
Nombre y apellidos:..............................................................................................
DNI:....................... Centro o gerencia:................................................................
Teléfono móvil (sólo para el envío de la contraseña):..........................................
Correo electrónico (sólo para personal externo):.................................................
MANIFIESTO
1. Que conozco los principios básicos que rigen la protección de datos de carácter personal y el Código de Buenas Prácticas del Servicio de Salud de las Islas Baleares en el uso de los sistemas de información y en el tratamiento de los datos de carácter personal, y que me comprometo a respetarlos.
2. Que me comprometo, asimismo:
a) A mantener el más estricto secreto –incluso una vez extinguida mi relación con el Servicio de Salud– sobre cualquier información a la que pueda tener acceso, en forma escrita o verbal, referente a pacientes o empleados del Servicio de Salud.
b) A limitar mi acceso a los datos y a las operaciones que sean imprescindibles para la finalidad de desempeñar las funciones profesionales correspondientes a mi puesto.
c) A no tratar, ceder, comunicar o utilizar en beneficio propio y a no revelar a terceras personas los datos de carácter personal a los que tenga acceso, y también a respetar en todo momento la privacidad y la confidencialidad de esos datos.
d) A no acceder a datos correspondientes a las personas siguientes, salvo que obtenga el consentimiento expreso de la persona titular de sus datos:
– Personas con cualquier tipo de relación con el usuario (familiar, laboral, etc.);
– personas conocidas públicamente o con posible interés público.
3. Que declaro que conozco y acepto el hecho de que mi acceso al sistema será monitorizado, de conformidad con el anexo II del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
4. Que me comprometo a comunicar a la mayor brevedad posible cualquier incidencia que pueda afectar a la seguridad de los datos.
5. Que declaro que conozco y acepto las consecuencias en que puedo incurrir en caso de incumplir la normativa aplicable.
......................., .......... de .................. de 20 ...
[Firma]
Información sobre protección de datos personales
El responsable del tratamiento de sus datos personales es la Dirección General del Servicio de Salud de las Islas Baleares (calle Reina Esclarmunda n.º 9, 07003, Palma).
Sus datos personales serán tratados con la finalidad de gestionar las identidades electrónicas y autorizaciones de accesos a los sistemas de información. Sus datos personales serán incorporados en la actividad de tratamiento «Gestión de Usuarios».
Tiene derecho a oponerse al tratamiento de sus datos, así como a limitar el mismo, acceder, rectificar, suprimir los datos y ejercer su derecho a portabilidad, mediante petición escrita dirigida al departamento Atención al Usuario de la Dirección General del Servicio de Salud de las Islas Baleares (calle Reina Esclarmunda n.º 9, 07003, Palma). Además, tiene derecho a presentar una reclamación ante una autoridad de control.
La Delegación de Protección de Datos del Servicio de Salud de las Islas Baleares tiene la sede en la Dirección de Gestión y Presupuestos (calle Reina Esclarmunda, 9, 07003, Palma). El correo electrónico de contacto es dpd@ibsalut.es
Si quiere más información sobre el tratamiento de sus datos personales, la puede encontrar en el apartado «Registro de actividades de tratamiento» del portal web del Servicio de Salud (https://www.ibsalut.es/es/servicio-de-salud/proteccion-de-datos-personales/534-registro-de-actividades-de-tratamiento/3946-registro-de-actividades-de-tratamiento-del-servicio-de-salud-de-las-islas-baleares.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
