Agencia Estatal Boletín Oficial del Estado

Con fecha 18 de febrero de 2019 se ha suscrito la Adenda al convenio entre el Ministerio de Sanidad, Consumo y Bienestar Social y la Ciudad Autónoma de Ceuta.

En cumplimiento de lo dispuesto en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, una vez inscrito en el Registro Electrónico Estatal de Instrumentos de Cooperación, procede la publicación en el Boletín Oficial del Estado de dicha Adenda, que figura como anexo a esta Resolución.

Madrid, 20 de febrero de 2019.–El Director General de Servicios para las Familias y la Infancia, Ángel Parreño Lizcano.

ANEXO

Adenda al convenio entre el Ministerio de Sanidad, Consumo y Bienestar Social y la Ciudad Autónoma de Ceuta, para la difusión e implantación de SIUSS y su aplicación informática

En Madrid, a 18 de febrero de 2019.

REUNIDOS

De una parte: Don Ángel Parreño Lizcano, Director General de Servicios para las Familias y la Infancia del Ministerio de Sanidad, Consumo y Bienestar Social, nombrado mediante Real Decreto 1254/2018, de 5 de octubre («BOE» número 242 de 6 de octubre de 2018) en nombre y representación del citado Ministerio, de conformidad con lo dispuesto en el apartado decimoséptimo de la Orden SSI/131/2013, de 17 de enero, sobre delegación de competencias, y en virtud del Real Decreto 104/2018, de 24 de agosto, por el que se desarrolla la estructura orgánica básica del Ministerio de Sanidad, Consumo y Bienestar Social y se modifica el Real Decreto 595/2018, de 22 de junio, por el que se establece la estructura orgánica básica de los departamentos ministeriales («BOE» núm. 206 de 25 de agosto de 2018).

Y de otra: Excma. Sra. Consejera de Sanidad, Servicios Sociales, Menores e Igualdad, D.ª Adela M.ª Nieto Sánchez, en virtud del Decreto la Presidencia de fecha 20.09.17 por el que se le atribuyen las competencias en materia de Asuntos Sociales, se estructura el Gobierno de la Ciudad, así como la ordenación de gastos respecto de dichas materias, publicado en Boletín Oficial de la Ciudad de Ceuta, n.º 5717, de 29 de septiembre de 2017.

Ambas partes intervinientes en la representación y con las facultades que sus respectivos cargos les confieren, reconociéndose mutuamente capacidad y legitimación para obligarse y convenir, y al efecto

MANIFIESTAN

Que el Ministerio de Sanidad, Servicios Sociales e Igualdad (actual Ministerio de Sanidad, Consumo y Bienestar Social) y la Ciudad Autónoma de Ceuta, a través de la Consejería de Asuntos Sociales firmaron con fecha 26 de abril de 2013, un Convenio para la difusión e implantación de SIUSS y su aplicación informática.

Que conforme a lo indicado en la cláusula segunda del citado convenio, el Ministerio de Sanidad, Servicios Sociales e Igualdad (actual Ministerio de Sanidad, Consumo y Bienestar Social) concede a la Ciudad Autónoma de Ceuta la licencia de uso para la utilización del programa informático, en entorno web, dentro del ámbito de la Administración Autonómica y las Corporaciones Locales de su territorio.

La Ciudad Autónoma de Ceuta se compromete a la implantación de SIUSS en las Corporaciones Locales de su territorio, dándoles acceso al programa informático.

Que tal como señala la cláusula tercera del citado Convenio, la Ciudad Autónoma de Ceuta es responsable del fichero de datos personales denominado «Sistema de Información de Usuarios de Servicios Sociales (SIUSS)», debidamente declarado e inscrito en el Registro de Ficheros de Datos Personales de la Agencia Española de Protección de Datos con el número 2121520061, siendo el mismo instrumental respecto a las competencias que las leyes le otorgan para la prestación de servicios sociales.

Que tal como señala la cláusula cuarta del citado Convenio, el Ministerio de Sanidad, Servicios Sociales e Igualdad (actual Ministerio de Sanidad, Consumo y Bienestar Social), conforme a lo establecido en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), se constituye en «encargado del tratamiento» (en adelante encargado) y alojará en sus servidores la información contenida en el fichero «Sistema de Información de Usuarios de Servicios Sociales (SIUSS)», del que es responsable la Ciudad Autónoma, tal como señala la cláusula tercera, limitándose su actuación al simple alojamiento y realización de tareas de backup y a la prestación al responsable de los servicios necesarios para que éste pueda usar la información, cargarla y explotarla, sin que pueda, en ningún caso, acceder a los datos personales que el fichero contiene.

Que tal como señala la cláusula séptima del citado Convenio, el Ministerio deberá instrumentalizar y poner a disposición del responsable del fichero, la Ciudad Autónoma, los medios necesarios para que tenga acceso en todo momento a su fichero y pueda realizar en él las actuaciones y explotaciones que tenga por conveniente.

Que tal como indica la cláusula undécima del citado Convenio y en el Anexo suscrito «El encargado no podrá subcontratar las tareas encomendadas mediante el presente encargo. En caso de necesitar subcontratarlo se precisará la firma por las partes de un anexo a este Convenio, con indicación de los servicios a subcontratar y el adjudicatario de los mismos».

Que el Tratado de funcionamiento de la Unión Europea, encomienda al Parlamento Europeo y al Consejo que establezcan las normas sobre protección de las personas físicas respecto del tratamiento de datos de carácter personal y las normas relativas a la libre circulación de dichos datos.

Que conforme al Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, será posible la subcontratación de las tareas encomendadas al encargado del tratamiento.

Que el Ministerio de Sanidad, Consumo y Bienestar Social, en virtud de sus competencias que le vienen atribuidas por el Real Decreto 595/2018, de 22 de junio, por el que se establece la estructura orgánica básica de los departamentos ministeriales («BOE» núm. 152 de 23 de junio de 2018), y de conformidad con lo establecido en la Ley Orgánica 1/1995, de 13 de marzo que aprueba el Estatuto de Autonomía de la Ciudad Autónoma de Ceuta y le confiere competencias en materia de Acción Social y Servicios Sociales.

Que de acuerdo con lo establecido en el artículo 47 de la Ley 40/2015, de 1 de octubre, del régimen jurídico del sector público y en el artículo 140 de la citada Ley, sobre las relaciones que deben regir entre las administraciones públicas, las partes firmantes desean formalizar la presente Adenda, con arreglo a las siguientes

CLÁUSULAS

Primera. Objeto de la Adenda.

En cumplimiento del artículo 28.2, del Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, se modifica la cláusula undécima del Convenio vigente, que pasará a tener la siguiente redacción: «Será posible la subcontratación de las tareas encomendadas al encargado de tratamiento mediante el presente encargo».

En observancia de lo dispuesto en el Reglamento UE 2016/679, de 27 de abril y en la Ley Orgánica 3/2018, de 5 de diciembre, el Encargo de Tratamiento suscrito entre el Ministerio de Sanidad, Consumo y Bienestar Social y la Consejería Sanidad, Servicios Sociales, Menores e Igualdad se regirá por las siguientes instrucciones al encargado del tratamiento:

1. Objeto del encargo e idoneidad del encargado:

El objeto del Encargo es el alojamiento en los servidores del Ministerio de Sanidad, Consumo y Bienestar Social (Encargado) de la información contenida en el fichero «Sistema de Información de Usuarios de Servicios Sociales (en adelante, SIUSS)».

La actividad de alojamiento de los datos conlleva la realización de tareas de backup y cuantos servicios adicionales resulten necesarios para que la Consejería de Sanidad, Servicios Sociales, Menores e Igualdad pueda usar, cargar y explotar la información en ella contenida en todo momento.

La idoneidad del Encargado, a los efectos del artículo 28 del citado RGPD y de la Ley Orgánica 3/2018, de 5 de diciembre, se basa en la declaración de reunir las garantías que exige la normativa vigente en materia de protección de datos.

2. Identificación de los datos personales afectados/tratados:

En el entorno SIUSS se tratan, evalúan y analizan los datos relativos a los usuarios de los servicios sociales prestados por profesionales en el ámbito de la Ciudad de Ceuta. Estos datos, a los efectos del RGPD y de la Ley Orgánica 3/2018, de 5 de diciembre, tienen la consideración de datos especialmente protegidos.

3. Duración:

El encargo de tratamiento tendrá la misma duración que el Convenio que trae causa, finalizando en el momento que deje de surtir efectos el mismo.

4. Medidas organizativas, técnicas y de seguridad:

El Encargado se obliga a:

– No tener acceso a los datos personales contenidos en SIUSS. No obstante, el Ministerio de Sanidad, Consumo y Bienestar Social, en el ejercicio de sus competencias podrá realizar explotaciones de la información contenida en SIUSS siempre que la misma se haga sin datos de carácter personal. Esto es, se disocie la información de las personas físicas del resto de las informaciones relevantes garantizando que en ningún caso pudiera llegarse a identificar a las mismas.

– Adoptar las medidas técnicas, organizativas y de seguridad, necesarias para garantizar la confidencialidad de los datos, de acuerdo con las instrucciones del Responsable y la normativa; en todo caso, tratar los datos exclusivamente para la finalidad señalada, observando las exigencias específicas para los datos especialmente protegidos.

– Llevar un registro por escrito de todas las actividades del tratamiento y las personas que lo realizan, procediendo a la seudonimización, la anonimización de los datos o al cifrado, conforme a los medios técnicos disponibles, garantizando en todo caso la confidencialidad, la integridad y la disponibilidad de los datos afectados. Este Registro deberá ser puesto a disposición del Responsable en cualquier momento.

– Exigir de su personal autorizado, destinado a la plataforma SIUSS, que se comprometan expresamente a observar el contenido del presente acuerdo, cumpliendo con todas las medidas de seguridad implementadas, de las que han de ser previamente informados. Este compromiso se entenderá cumplido cuando venga impuesto por una obligación de naturaleza estatutaria.

– Verificar y Evaluar el grado de cumplimiento de estas medidas en cada ocasión, identificando y comunicando a este Responsable (y/o a su Delegado de Protección de Datos) la persona de contacto asignada. En su caso, colaborar en el análisis de impacto y a la evaluación del riesgo del tratamiento con el Responsable.

– Facilitar cuando así le sea requerido las auditorías y actuaciones de control e inspección que de dicho tratamiento realice, tanto el propio Responsable como la Autoridad de Control competente en un plazo máximo a determinar en cada requerimiento, colaborando en todo momento con el Responsable y/o su Delegado de Protección de Datos. Asimismo, deberá proceder a la notificación de las violaciones de seguridad al Responsable y a las Autoridades de Protección de Datos que resulten competentes y/o en su caso, a los propios titulares de los datos afectados, de forma coordinada y autorizada por el Responsable.

– Informar inmediatamente al Responsable si, en su opinión, una instrucción infringe el RGPD u otras disposiciones en materia de protección de datos de la Unión Europea o de España. También le comunicará con carácter urgente cualquier violación de seguridad que se produzca respecto al tratamiento de datos SIUSS.

– No ceder, publicar ni comunicar datos personales a terceras personas, salvo previa y expresa autorización por parte del responsable del tratamiento y siempre que se trate de los supuestos previstos en la normativa o en el apartado quinto.

– De estar adherido el Encargado de tratamiento a un código de conducta de protección de datos, deberá adoptar cuantas medidas adicionales le vengan impuestas en dicho código o certificado.

5. Subcontratación:

No podrá modificar o subcontratar a otro encargado, ni ceder los datos a un tercero sin la expresa autorización por escrito del Responsable en el plazo de diez días hábiles desde la recepción de la solicitud de autorización. En el supuesto de que el Responsable lo autorice, el Encargado deberá de comunicar los datos de contacto del Subcontratista, avalando su idoneidad para el servicio externalizado. El subcontratista ostentará la condición de encargado de tratamiento, siendo necesario a tal efecto que suscriba un acuerdo de Encargo de Tratamiento específico con el Ministerio de Sanidad, Consumo y Bienestar Social, adicional al presente.

El Ministerio de Sanidad, Consumo y Bienestar Social como Encargado principal seguirá respondiendo íntegramente de las obligaciones legales y las consignadas en el presente documento.

6. Derechos de los afectados y colaboración con las autoridades de control:

El Encargado deberá asistir al Responsable, en la respuesta a los afectados titulares de los datos en el ejercicio de sus derechos. A tal fin, cuando las personas afectadas ejerzan los derechos de acceso, rectificación u oposición; en su caso, la portabilidad de los datos o el derecho a no ser objeto de decisiones automatizadas y aquellos otros que figuran en los artículos 12-22 del RGPD y en la Ley Orgánica 3/2018, de 5 de diciembre, deberá comunicar a la mayor brevedad posible la solicitud al Responsable, y/o su Delegado de Protección de Datos teniendo en cuenta que el tiempo de respuesta al ciudadano no podrá superar el mes natural.

Asimismo, deberá de facilitarle al solicitante que quiera ejercer sus derechos los datos relativos al Responsable del Tratamiento de Datos:

Responsable: Ciudad Autónoma de Ceuta.

Finalidad: Gestión de registro de usuarios de SS.SS.

Legitimación: Art. 6.1.e RGPD.

Derechos a ejercer: Acceso, rectificación u oposición; en su caso, cancelación, portabilidad de los datos y el derecho a no ser objeto de decisiones automatizadas.

Datos de contacto: Consejería de Sanidad, Servicios Sociales, Menores e Igualdad.

Información Adicional: Centro de Servicios Sociales.

7. Destino final de los datos personales tratados.

Cumplida la prestación objeto del presente encargo, el Encargado deberá devolver todos los tratamientos de datos personales, al igual que cuanta documentación o soporte se haya elaborado como consecuencia de los mismos. Únicamente podrá conservar una copia anonimizada del tratamiento a los efectos probatorios en caso eventuales responsabilidades jurídicas futuras.

Queda sin contenido el Anexo del Convenio firmado con fecha 26 de abril de 2013.

Segunda. Aplicación del Reglamento 2016/679 y de la Ley Orgánica 3/2018, de 5 de diciembre.

Todas las referencias efectuadas, en el convenio suscrito con fecha 26 de abril de 2013 con la Ciudad Autónoma de Ceuta, a la ley Orgánica de Protección de Datos de Carácter Personal, se entenderán hechas al Reglamento 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, cuya aplicación comenzó el 25 de mayo de 2018 y a la Ley Orgánica 3/2018, de 5 de diciembre, que entró en vigor el 7 de diciembre de 2018.

Tercera. Compromisos económicos.

La presente Adenda no conlleva compromisos económicos.

Cuarta. Naturaleza Jurídica.

Esta Adenda se formaliza de acuerdo con lo establecido en el artículo 47 de la Ley 40/2015, de 1 de octubre, del Régimen Jurídico del Sector público y tiene carácter administrativo, siendo la Jurisdicción Contencioso-administrativa la competente para conocer de los conflictos a que la ejecución de la Adenda pudiera dar lugar.

Todas las referencias efectuadas en el Convenio de 26 de abril. de 2013 a la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, deben entenderse realizadas a los preceptos correspondiente de la Ley 40/2015, de 1 de octubre, del Régimen Jurídico del Sector público.

Quinta. Vigencia y eficacia de la Adenda.

La vigencia de la Adenda, de acuerdo con lo indicado en la disposición adicional octava de la ley 40/2015, de 1 de octubre de RJSP, en cuanto al plazo de vigencia del Convenio formalizado, por aplicación directa de las reglas previstas en el artículo 49.h).1.º para los convenios que no tuvieran determinado un plazo de vigencia o, existiendo, tuvieran establecida una prórroga tácita por tiempo indefinido en el momento de la entrada en vigor de esta Ley. En estos casos el plazo de vigencia del convenio formalizado será de cuatro años a contar desde la entrada en vigor de la presente Ley.

La Adenda surtirá efectos una vez inscrita en el Registro Electrónico Estatal de Órganos e Instrumentos de Cooperación (REOICO) y publicada en el «Boletín Oficial del Estado», conforme al art. 48 de la Ley 40/2015, de 1 de octubre.

Y para que así conste, y en prueba de conformidad, las partes intervinientes firman, por duplicado ejemplar, la presente Adenda, en el lugar y fecha al principio expresados.–Por el Ministerio de Sanidad, Consumo y Bienestar Social, el Director General de Servicios para las Familias y la Infancia, Ángel Parreño Lizcano.–Por la Ciudad Autónoma de Ceuta, la Consejera de Sanidad, Servicios Sociales, Menores e Igualdad, Adela Nieto Sánchez.