Está Vd. en

Documento BOE-A-2021-15444

Resolución de 15 de septiembre de 2021, de la Secretaría General Técnica, por la que se publica el Convenio entre la Tesorería General de la Seguridad Social y la Comunidad Autónoma de La Rioja, sobre intercambio recíproco de información.

Publicado en:
«BOE» núm. 228, de 23 de septiembre de 2021, páginas 116493 a 116509 (17 págs.)
Sección:
III. Otras disposiciones
Departamento:
Ministerio de Inclusión, Seguridad Social y Migraciones
Referencia:
BOE-A-2021-15444

TEXTO ORIGINAL

En fecha 14 de septiembre de 2021 se ha suscrito Convenio entre la Tesorería General de la Seguridad Social y la Administración de la Comunidad Autónoma de La Rioja, sobre intercambio recíproco de información y, en cumplimiento de lo dispuesto en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, procede la publicación en el «Boletín Oficial del Estado» del citado Convenio, que figura como Anexo de esta Resolución.

Madrid, 15 de septiembre de 2021.–La Secretaria General Técnica, P.S. (Resolución de 12 mayo de 2021), la Subdirectora General de Coordinación Jurídica, Reyes Zatarain del Valle.

ANEXO
Convenio entre la Tesorería General de la Seguridad Social y la Administración de la Comunidad Autónoma de La Rioja, sobre intercambio recíproco de información

En Madrid, a 14 de septiembre de 2021.

REUNIDOS

De una parte, la Tesorería General de la Seguridad Social, representada por su titular, don Andrés Harto Martínez, Director General de la Tesorería General de la Seguridad Social, nombrado mediante Real Decreto 132/2020, de 21 de enero, (BOE de 22 de enero), actuando en virtud de lo establecido en el artículo 48.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público y artículos 1 y 3 del Real Decreto 1314/1984, de 20 de junio, por el que se regula la estructura y competencias de la Tesorería General de la Seguridad Social.

Y de otra parte, la Comunidad Autónoma de La Rioja, representada por don Celso González González, Consejero Hacienda y Administración Pública del Gobierno de La Rioja, nombrado por Decreto de la Presidenta 7/2020, de 24 de agosto (BOR núm. 110, de 25 de agosto de 2020); autorizado para la formalización del presente Convenio mediante Acuerdo de Consejo de Gobierno de fecha 28 de abril de 2021 y facultado para su firma conforme a lo dispuesto en el artículo 42.1.k) de la Ley 8/2003, de 28 de octubre, del Gobierno e Incompatibilidades de sus miembros.

Las partes se reconocen con capacidad suficiente para suscribir el presente Convenio y a tal efecto

EXPONEN

Primero.

1) La Tesorería General de la Seguridad Social es un Servicio Común de la Seguridad Social con personalidad jurídica propia en el que, por aplicación de los principios de solidaridad financiera y caja única, se unifican todos los recursos financieros, tanto por operaciones presupuestarias como extrapresupuestarias, teniendo a su cargo la custodia de los fondos, valores y créditos y las atenciones generales y de los servicios de recaudación de derechos y pagos de las obligaciones del sistema de la Seguridad Social.

El Real Decreto 1314/84, de 20 de junio, por el que se regula la estructura y competencias de la Tesorería General de la Seguridad Social (en adelante TGSS), atribuye en su artículo 1.a) las competencias en materia de inscripción de empresas y la afiliación, altas y bajas de los trabajadores, materia regulada posteriormente por el artículo 3 del Reglamento General sobre inscripción de empresas y afiliación, altas y bajas de los trabajadores en la Seguridad Social, aprobado por el Real Decreto 84/1996, de 26 de enero. A tales efectos, en virtud de lo establecido en el artículo 52 del citado Reglamento, corresponde a la TGSS el mantenimiento de un registro de trabajadores con la correspondiente identificación por cada Régimen del Sistema de la Seguridad Social, así como los beneficiarios y demás personas sujetas a la obligación de cotizar. Asimismo el citado Real Decreto 1314/1984 en su artículo 1.b) atribuye a la TGSS las competencias en materia de gestión y control de la cotización y de la recaudación de las cuotas y demás recursos de financiación del sistema de la Seguridad Social. Materias reguladas posteriormente en el Reglamento General de Recaudación de la Seguridad Social, aprobado por el Real Decreto 1415/2004, de 11 de junio y en el Real Decreto 2064/1995 de 22 de diciembre, por el que se aprueba el Reglamento General sobre Cotización y Liquidación de otros derechos de la Seguridad Social.

2) El marco competencial de las Instituciones que integran la Administración de la Comunidad de La Rioja viene establecido en su Estatuto de Autonomía, aprobado por la Ley Orgánica 3/1982, de 9 de junio, y Ley Orgánica 2/1999, de 7 de enero, de reforma del Estatuto.

La Administración de la Comunidad Autónoma de La Rioja, a través de sus Consejerías y Organismos dependientes, tiene atribuidas competencias relacionadas con las materias objeto de este Convenio y, entre ellas las siguientes:

La ejecución de la legislación laboral, la política de seguridad y salud laboral y las competencias en materia de economía social.

– El fomento de la inserción profesional, la orientación laboral e intermediación en el mercado de trabajo, la gestión de las políticas activas de empleo, la formación profesional ocupacional y continua y el fomento del empleo.

– El fomento empresarial y el apoyo a la creación de empresas.

– La gestión de las prestaciones establecidas en el Real Decreto Legislativo 1/2013, de 29 de noviembre, por el que se aprueba el Texto Refundido de la Ley General de derechos de las personas con discapacidad y de su inclusión y reguladas por el Real Decreto 383/1984, de 1 de febrero; y pensiones asistenciales reguladas por la Ley 45/1960, de 21 de julio.

– El reconocimiento de la situación de dependencia y de la gestión de las prestaciones y servicios que se establecen en la Ley 39/2006, de 14 de diciembre, de Promoción de la Autonomía Personal y Atención a las personas en situación de dependencia;

– El reconocimiento de la renta garantizada de ciudadanía.

– La contratación y concesión de subvenciones en el ámbito de sus competencias.

– La administración y gestión de la asistencia sanitaria de la Seguridad Social, transferida a la Comunidad Autónoma de La Rioja por Real Decreto 1473/2001, de 27 de diciembre.

Segundo.

En el marco de colaboración mutua que debe presidir las relaciones entre las Administraciones Públicas, los representantes de ambas partes consideran que sería muy beneficioso para el cumplimiento de sus fines el disponer de un sistema estable de intercambio de información y de colaboración que, incluso permitirá el acceso directo a sus respectivas bases de datos informáticas.

Se trata de una cesión de información y de una colaboración cuyo amparo se encuentra en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, que establece en su artículo 3.1k) que los principios que deben presidir las relaciones entre las Administraciones Públicas son los de cooperación, colaboración y coordinación. No debe obviarse además que, conforme al artículo 3 de la citada Ley, las Administraciones Públicas sirven con objetividad los intereses generales y deberán respetar en su actuación y relaciones los principios de servicio efectivo, simplicidad, claridad y proximidad a los ciudadanos y de racionalización y agilidad en los procedimientos administrativos y en las actividades materiales de gestión. Además las Administraciones Públicas se relacionarán entre sí a través de medios electrónicos que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas, garantizarán la protección de los datos de carácter personal y facilitarán preferentemente la prestación conjunta de servicios a los interesados.

Asimismo, y de acuerdo con la letra c) del número 1 del artículo 141 de la Ley 40/2015, en aplicación del deber de colaboración de las Administraciones Públicas se desprende la obligación de «facilitar a las otras Administraciones la información que precisen sobre la actividad que desarrollen en el ejercicio de sus propias competencias».

No obstante, el suministro de información efectuado en el ámbito de aplicación de este Convenio deberá respetar el derecho al honor y a la intimidad personal y familiar de los ciudadanos que prescribe el artículo 18 de la Constitución Española, en los términos de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales que adapta el ordenamiento jurídico español al Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos.

Por otra parte, el artículo 40.4 del Real Decreto Legislativo 8/2015, de 30 de octubre, por el que se aprueba el Texto Refundido de la Ley General de la Seguridad Social, establece que los funcionarios públicos, incluidos los profesionales oficiales, están obligados a colaborar con la Administración de la Seguridad Social suministrando toda clase de información de que dispongan, siempre que sea necesaria para el cumplimiento de las funciones de la Administración de la Seguridad Social, especialmente respecto de la liquidación, control de la cotización y la recaudación de recursos de la Seguridad Social y demás conceptos de recaudación conjunta.

A este respecto, y de conformidad con lo dispuesto en el artículo 77.1 del mencionado Texto Refundido, los datos, informes o antecedentes obtenidos por la Administración de la Seguridad Social en el ejercicio de sus funciones tienen carácter reservado y solo podrán utilizarse para los fines encomendados a las distintas entidades gestoras, servicios comunes y órganos que integran la Administración de la Seguridad Social, sin que puedan ser cedidos o comunicados a terceros, salvo que la cesión o comunicación tenga por objeto, entre otros:

d) La colaboración con cualesquiera otras administraciones públicas para la lucha contra el fraude en la obtención o percepción de ayudas o subvenciones a cargo de fondos públicos, incluidos los de la Unión Europea, para la obtención o percepción de prestaciones incompatibles en los distintos regímenes del sistema de la Seguridad Social y, en general, para el ejercicio de las funciones encomendadas legal o reglamentariamente a las mismas para las que los datos obtenidos por la Administración de la Seguridad Social resulten relevantes.

Respecto al consentimiento en la cesión de datos el artículo 40.6 señala: «La cesión de aquellos datos de carácter personal que se deba efectuar a la Administración de la Seguridad Social conforme a lo dispuesto en este artículo o, en general, en cumplimiento del deber de colaborar con la Administración de la Seguridad Social para el desempeño de cualquiera de sus funciones, especialmente respecto de la efectiva liquidación, control de la cotización, recaudación de los recursos de la Seguridad Social y de los conceptos de recaudación conjunta con las cuotas de la Seguridad Social, no requerirá el consentimiento del afectado.»

Tercero.

Razones de eficacia en la gestión de las competencias atribuidas a los entes signatarios justifican el establecimiento de un sistema de intercambio de información que permita una agilización en la disposición de la información y una disminución de los costes.

Dicho sistema se regula a través del presente Convenio, dado que el intercambio se producirá sobre los datos de un elevado número de interesados o afectados por los mismos y habrá de verificarse de una forma periódica y, en algunos casos, incluso continuada en el tiempo, siendo preciso establecer en determinados supuestos que el acceso a la información se produzca a través de las conexiones directas a las bases de datos correspondientes. Con este objetivo, se aprovechan, en la medida en que lo permite la normativa vigente y de acuerdo con los requisitos establecidos por el Esquema Nacional de Interoperabilidad (ENI), regulado por el Real Decreto 4/2010, de 8 de enero, las posibilidades que en este campo ofrecen las más modernas tecnologías.

Conforme al artículo 28 de la Ley Orgánica 3/2018, los responsables y encargados, teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del Reglamento (UE) 2016/679, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la presente ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable. En particular valorarán si procede la realización de la evaluación de impacto en la protección de datos y la consulta previa a que se refiere la Sección 3 del Capítulo IV del citado reglamento. Para la adopción de las medidas a que se refiere el apartado anterior los responsables y encargados del tratamiento tendrán en cuenta, en particular, los mayores riesgos que puedan producirse en los supuestos que relaciona el apartado 2 del artículo 28 de la citada Ley Orgánica.

A este respecto, el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, vigente en tanto no contradiga, se oponga, o resulte incompatible con lo dispuesto en el Reglamento (UE) 2016/679 y en la actual Ley Orgánica, contiene las normas básicas de seguridad que han de cumplir todos los ficheros que contengan datos de carácter personal, a fin de garantizar la integridad y confidencialidad de la información, preservando el derecho al honor y a la intimidad de los ciudadanos, y el Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 3/2010, de 8 de enero, determina la política de seguridad que se ha de aplicar en la utilización de los medios electrónicos.

La Orden de 17 de enero de 1996, sobre control de accesos al sistema informático de la Seguridad Social, junto con las Circulares núm. 2-030, de 12 de junio de 1996, y 2-027 de 27 de septiembre de 1999 regulan el control y seguimiento de accesos a los ficheros automatizados de la Tesorería General de la Seguridad Social.

En consecuencia, siendo jurídicamente procedente la regulación de un sistema estable de intercambio de información que, en su caso, incluso permita el acceso directo a las bases de datos de la otra parte a través de las pertinentes conexiones informáticas y, persuadidas de la importancia de una correcta utilización de dicha información que garantice en todo caso su secreto y el derecho a la intimidad de los ciudadanos, ambas partes acuerdan celebrar el presente Convenio de Colaboración que se regirá por las siguientes

CLÁUSULAS

Primera. Objeto del Convenio.

El presente Convenio tiene por objeto establecer un marco general de colaboración entre la Tesorería General de la Seguridad Social y la Administración de la Comunidad Autónoma de La Rioja, en cuanto a las condiciones y procedimientos por los que se debe regir el intercambio recíproco de información y el recíproco acceso a las bases de datos, preservando en todo caso los derechos de las personas a que se refiera la misma.

La TGSS facilitará a la Comunidad Autónoma de La Rioja el acceso a los datos provenientes del Fichero General de Afiliación (que forman parte de más de un tratamiento que está debidamente registrado y publicado en la web de Seguridad Social) conforme lo estipulado en la cláusula siguiente.

La Comunidad Autónoma de La Rioja facilitará a la TGSS información en aquellas materias que para el ejercicio de sus competencias ésta precise y en particular la que sea determinante para autorizar la inscripción de empresas y la inclusión de trabajadores en el campo de aplicación del Sistema de la Seguridad Social, para el ejercicio de sus competencia en el proceso recaudatorio gestionado por la TGSS y en materia de lucha contra el fraude en el ámbito de la Seguridad Social.

Segunda. Información objeto de intercambio.

2.1 Acceso a los datos de la TGSS.

La cesión de información procedente de las bases de datos de la TGSS tiene como finalidad exclusiva el desarrollo de las concretas funciones atribuidas por el ordenamiento jurídico a la Comunidad Autónoma de La Rioja, que justifican su cesión y en concreto:

La ejecución de la legislación laboral, la política de seguridad y salud laboral y las competencias en materia de economía social.

– El fomento de la inserción profesional, la orientación laboral e intermediación en el mercado de trabajo, la gestión de las políticas activas de empleo, la formación profesional ocupacional y continua y el fomento del empleo.

– El fomento empresarial y el apoyo a la creación de empresas.

– La gestión de las prestaciones establecidas en el Real Decreto Legislativo 1/2013, de 29 de noviembre, por el que se aprueba el Texto Refundido de la Ley General de derechos de las personas con discapacidad y de su inclusión y reguladas por el Real Decreto 383/1984, de 1 de febrero; y pensiones asistenciales reguladas por la Ley 45/1960, de 21 de julio.

– El reconocimiento de la situación de dependencia y de la gestión de las prestaciones y servicios que se establecen en la Ley 39/2006, de 14 de diciembre, de Promoción de la Autonomía Personal y Atención a las personas en situación de dependencia;

– El reconocimiento de la renta garantizada de ciudadanía.

– La contratación y concesión de subvenciones en el ámbito de sus competencias.

– La administración y gestión de la asistencia sanitaria de la Seguridad Social, transferida a la Comunidad Autónoma de La Rioja por Real Decreto 1473/2001, de 27 de diciembre

La TGSS dará acceso a las transacciones, servicios web o ficheros de datos necesarios para el ejercicio de las competencias enumeradas en el párrafo anterior. Dichas transacciones, servicios web o ficheros de datos se concretarán por la Comisión de Control y Seguimiento a la que se refiere la cláusula decimotercera, siendo ésta la competente para asignar, modificar o suprimir con posterioridad cualquiera de ellas.

En lo que respecta a la forma y características de la autorización, asignación, funcionamiento y demás condiciones de acceso a los Ficheros mencionados, se deberán ajustar a lo que se establece en la Orden Ministerial de 17 de enero de 1996 (BOE de 25 de enero de 1996).

2.2 Acceso a los datos de la Comunidad Autónoma.

La Administración de la Comunidad Autónoma facilitará a la TGSS información en aquellas materias que para el ejercicio de sus competencias esta precise y en particular la que sea determinante para autorizar la inscripción de empresas, la inclusión de trabajadores en el campo de aplicación del Sistema de la Seguridad Social, el proceso recaudatorio gestionado por la TGSS y en materia de lucha contra el fraude a la Seguridad Social. La información que facilite la Comunidad Autónoma a la TGSS se acordará en el seno de la Comisión de Seguimiento tal y como se recoge en la cláusula decimotercera, siendo ésta la competente para proponer la asignación, modificación o supresión con posterioridad de cualquier información.

Tercera. Servicios de intercambio.

La información objeto de este Convenio se facilitará mediante una doble fórmula: acceso directo a las bases de datos o intercambio recíproco de información.

1. Debido a la frecuencia e intensidad con la que son necesarios los intercambios de información para el cumplimiento de las finalidades indicadas en este convenio, se permitirá –con sujeción a las reglas que se detallan en el mismo– el acceso recíproco tanto a las bases de datos de la Tesorería General de la Seguridad Social como a las de la Administración de la Comunidad Autónoma. En ningún caso podrá autorizarse el acceso directo a bases de datos para finalidades distintas de las citadas.

La cesión de información procedente de las bases de datos de la Administración de la Comunidad Autónoma de La Rioja tiene como finalidad exclusiva el desarrollo de las concretas funciones atribuidas por el ordenamiento jurídico a la TGSS, que justifican su cesión.

Respecto a los datos que facilita la TGSS, deberán recabar la autorización expresa del interesado, cumplimentando los anexos II y/o III salvo que el acceso a la información se fundamente en el ejercicio de las funciones encomendadas a la Comunidad Autónoma legal o reglamentariamente, en cuyo caso la cesión de información podría venir justificada en el artículo 77 1. d) del TRLGSS, en concreto en «La colaboración con cualesquiera otras administraciones públicas para la lucha contra el fraude en la obtención o percepción de ayudas o subvenciones a cargo de fondos públicos, incluidos los de la Unión Europea, para la obtención o percepción de prestaciones incompatibles en los distintos regímenes del sistema de la Seguridad Social y, en general, para el ejercicio de las funciones encomendadas legal o reglamentariamente a las mismas para las que los datos obtenidos por la Administración de la Seguridad Social resulten relevantes.» En estos supuestos la Administración Autonómica deberá, a petición expresa y concreta de la TGSS, fundamentar y justificar dicho acceso sin autorización expresa del interesado. En el seno de la Comisión de Control y Seguimiento se establecerá el protocolo que se considere adecuado para la justificación del acceso a datos personales con base al ejercicio de las funciones encomendadas.

2. Intercambio de archivos, cuya estructura y formato se determinará entre las partes implicadas, en los que aparezca el NIF de las personas o empresas de las que se solicita información que la Comunidad Autónoma deberá remitir cumplimentados con los datos solicitados, en el plazo de diez días desde la recepción del fichero.

3. Creación de un acceso directo a las bases de datos de la Administración de la Comunidad Autónoma por el que los funcionarios de la TGSS que se determinen, podrán tener acceso telemático para la consulta on line de los expedientes que se considere necesario.

4. Las partes se comprometen a tratar los datos personales a los que puedan tener acceso con la finalidad indicada en el presente Convenio y a no utilizarlos para fines distintos de los previstos en este Convenio y a no difundirlos ni cederlos a terceros, en cumplimiento con lo establecido en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en su normativa de desarrollo así como en la normativa específica aplicable a los datos, informes o antecedentes obtenidos por Ia Administración de la Seguridad Social, (artículo 40 del Real Decreto Legislativo 8/2015, de 30 de octubre, por el que se aprueba el texto refundido de la Ley General de la Seguridad Social).

Con carácter previo a la interconexión informática es imprescindible la adopción de las siguientes medidas:

1. Los responsables técnicos de ambas administraciones habilitarán los mecanismos telemáticos necesarios para que los accesos y autorizaciones correspondientes a los usuarios de ambas administraciones se adecúen integrándose en los sistemas de administración y confidencialidad de cada una de ellas.

2. Los órganos competentes de ambas administraciones autorizarán la interconexión informática.

3. Autorizada la conexión se procederá por los órganos técnicos al enlace telemático de los sistemas informáticos que, en el caso de la Tesorería General de la Seguridad Social, se realizará a la Gerencia Informática de la Seguridad Social y, en el caso de la Administración de la Comunidad Autónoma, se realizará a la Dirección General de Avance Digital.

4. El responsable o responsables, en su caso, de cada ente, asumirán directamente, respecto de sus usuarios, el alta, la autorización de accesos y su permanente actualización y adecuación, con independencia de la supervisión que pueda efectuarse por el organismo responsable del fichero objeto de cesión.

La Administración cesionaria será responsable de la utilización que sus usuarios realicen de los ficheros, en especial, de la proporcionalidad, adecuación y pertinencia de los datos a los que accedan.

Cuarta. Control de accesos.

4.1 Control por parte de la TGSS.

Para el acceso a las bases de datos de la TGSS, esta y la Administración de la Comunidad Autónoma de La Rioja deberán ajustarse a lo estipulado en los siguientes puntos:

1.º La TGSS realizará la autorización inicial de acceso a las transacciones del Fichero General de Afiliación y demás información a que se refiere el presente Convenio.

2.º La configuración del acceso objeto del presente convenio habrá de cumplir los siguientes principios establecidos por el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

– Confidencialidad, de manera que se asegure que la información está disponible solamente para aquellos usuarios que estén debidamente autorizados para acceder a la misma y que se utiliza exclusivamente por aquéllos para sus cometidos concretos de gestión en la forma, tiempo y condiciones determinados en la autorización respectiva.

– Integridad, garantizando que únicamente los usuarios autorizados, y en la forma y con los límites de la autorización, pueden crear, utilizar, modificar o suprimir información.

– Disponibilidad, de forma que los usuarios autorizados tengan acceso a la información en la forma y cuando lo requieran para los exclusivos cometidos de la gestión encomendada.

– Trazabilidad, de forma que las actuaciones realizadas por los usuarios autorizados pueden ser imputadas exclusivamente a la entidad a la que están adscritos.

– Autenticidad, garantizando que los usuarios autorizados son quienes dice ser, al tiempo que se garantiza la fuente de la que proceden los datos.

3.º La Administración del sistema se basará en la asignación de perfiles de autorización a los distintos usuarios de acuerdo con las funciones desempeñadas por los mismos. En este sentido, la TGSS asignará un perfil de usuario autorizador con nivel 4 en cada una de las consejerías y organismos que la integran, a las que se ceden transacciones, y este a su vez dará de alta tantos códigos de usuario como sean necesarios para la realización de las funciones de gestión encomendadas.

Una vez que el presente Convenio sea eficaz la Administración de la Comunidad comunicará a la TGSS el nombre completo, DNI, dirección de correo electrónico y teléfono de las personas que asuman el perfil de usuario autorizador. Igual obligación existirá cuando se produzca un cambio en dichas personas.

A los efectos del presente punto se denomina «usuario» a las personas autorizadas para acceder al sistema informático pero sin facultad para dar de alta en SILCON a otros usuarios ni transferir autorización alguna. Estos serán identificados con el nivel U.

El usuario autorizador dado de alta realizará la asignación de perfiles, entendiéndose como tal la anotación en SILCON de las transacciones a las que puede acceder un determinado autorizado (usuario) por razón de su puesto de trabajo.

4.º El usuario administrador/autorizador y, subsidiariamente, la Administración de la Comunidad Autónoma es responsable de la asignación de perfiles de autorización a los usuarios, que deben corresponderse con las necesidades de gestión y vigilará la correcta utilización de las autorizaciones concedidas.

5.º Todos los usuarios autorizados a acceder al sistema deberán quedar identificados y autentificados, de forma que en todo momento pueda conocerse el usuario y los motivos por los que se accedió a la correspondiente información contenida en el sistema. Para ello, en el momento de autorizar a un usuario, se cumplimentarán todos los campos exigidos tales como, características del puesto de trabajo e información complementaria, número de teléfono, etc.

6.º Cada usuario tendrá un único código de acceso y será responsable de los accesos que se realicen con su código y contraseña personal.

7.º Cuando algún usuario, ya sea autorizador o autorizado, pase a desempeñar un nuevo puesto de trabajo en distinta unidad de gestión o cause baja en el trabajo de forma voluntaria, o sea objeto de suspensión de empleo, se procederá a la baja del código de usuario. Por otra parte se establecerán controles en cuanto al tiempo de inactividad de los usuarios que pasarán a la situación de cancelados una vez transcurridos seis meses sin acceder al Fichero General de Afiliación. También se dispondrá de la posibilidad de establecer fechas de caducidad de acceso al sistema por parte de usuarios y limitaciones en el horario de conexión.

4.2 Control por parte de la Comunidad Autónoma.

El acceso a las bases de datos de la Administración de la Comunidad Autónoma se realizará en similares términos a los establecidos anteriormente, de acuerdo con el protocolo que se determine de común acuerdo por las partes.

Quinta. Responsabilidad por accesos.

Todos los usuarios identificados, así como sus responsables en la Administración de la Comunidad Autónoma y en la TGSS, deben tener el conocimiento de que la copia de programas y/o uso de datos de carácter personal en tareas impropias son operaciones ilegales que pueden dar lugar a responsabilidades administrativas y, en concreto, las establecidas en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, así como a responsabilidades de cualquier otra naturaleza, incluso penales, razón por la cual cuando, por cualquier medio, se tengan indicios de la utilización de datos, antecedentes, registros o informes con finalidad distinta a la propia gestión asignada al usuario, o su difusión indebida, infringiendo así el deber de secreto profesional, se pondrán dichos hechos en conocimiento del interlocutor de la TGSS o de la Comunidad Autónoma definidos a estos efectos, al objeto de procurar la adopción de las medidas pertinentes entre ambas partes.

En el caso de los accesos al Registro General de Afiliación, y a fin de dar a conocer estas responsabilidades, en todas las altas de usuarios realizadas se deberá cumplimentar un documento donde se especificarán los compromisos adoptados por el usuario, en los términos que se indican en esta cláusula y en el anexo I que se adjunta a este Convenio. Dicho documento quedará en poder del autorizador de nivel 4, si bien podrá ser remitido a la TGSS.

La documentación en poder de cada administración relativa a los controles de acceso al sistema informático de la otra, deberán conservarse por un periodo de tiempo no inferior a cuatro años. El ente solicitante conservará a disposición del cedente las autorizaciones expresas emitidas por los propietarios de los datos personales cedidos con el fin de que se pueda en todo momento demostrar que se consintió la cesión.

Sexta. Protección de datos.

El control y seguridad de los datos de carácter personal suministrados se regirá por lo dispuesto en el Reglamento General de Protección de Datos (Reglamento UE 2016/679), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y el Esquema Nacional de Seguridad (ENS), regulado por el Real Decreto 3/2010, de 8 de enero.

Las autoridades, funcionarios y todo el personal que tenga relación directa o indirecta con la prestación de los servicios previstos en este Convenio, guardarán secreto profesional sobre todas las informaciones, documentos y asuntos a los que tengan acceso o de los que tengan conocimiento durante la misma. Estarán obligados a no hacer públicos o enajenar cuantos datos conozcan, incluso después de finalizar el plazo de vigencia de este Convenio.

La violación de esta obligación implicará incurrir en las responsabilidades penales, administrativas y civiles que resulten procedentes, así como el sometimiento al ejercicio de las competencias que corresponden a la Agencia de Protección de Datos.

La Administración de la Comunidad Autónoma y la TGSS deberán garantizar:

– Que tiene implantados los procedimientos que permitan gestionar el ciclo de vida de sus usuarios o componentes autorizados a acceder a los servicios de cesiones de datos del órgano cedente (altas, bajas o modificaciones de autorizaciones).

– Que podrá facilitar una lista actualizada de las personas o componentes autorizados para realizar peticiones de datos en caso de ser solicitada por el órgano cedente.

– Que comunicará cualquier variación relacionada con las personas autorizadas.

La Administración de la Comunidad Autónoma debe garantizar que informará adecuadamente a todas las personas para las que solicita la autorización de acceso al menos de:

1) Las responsabilidades que asumen.

2) La finalidad concreta de la autorización.

3) Que el órgano cedente almacena rastros de cada una de las peticiones realizadas.

4) Que en cualquier momento se podrá solicitar la justificación de peticiones de datos realizadas, de acuerdo a los requisitos legales y a la finalidad para la que se autorizó la cesión de datos.

5) Las medidas de seguridad que deberá tener en cuenta para garantizar la seguridad de la información.

Dichos empleados, previamente a la autorización de acceso, deberán manifestar por escrito que conocen y se comprometen a cumplir sus obligaciones con la confidencialidad de los datos personales a los que tuvieran acceso con motivo de la aplicación de este Convenio.

Séptima. Límites de la cesión.

La información cedida por ambas partes en aplicación de lo prevenido en el presente Convenio solo podrá tener por destinatarios a los órganos de la Tesorería General de la Seguridad Social y de la Administración de la Comunidad Autónoma que tengan atribuidas las funciones que justifican la cesión, recogidas, por aplicación de la normativa vigente, en el propio Convenio, sin que en ningún caso puedan ser destinatarios organismos, órganos o entes que realicen funciones distintas.

La Administración de la Comunidad Autónoma de La Rioja y la TGSS aceptan y asumen por el presente documento que la cesión de datos se produce a los fines exclusivos que se especifican en este Convenio, por lo que cualquier otro uso que se haga de dichos datos constituirá un incumplimiento del presente Convenio que facultará a cualquiera de las partes para exigir las responsabilidades oportunas.

El organismo cesionario será responsable frente al cedente con motivo de las reclamaciones que éste reciba del propietario de los datos personales. El Organismo cedente podrá repetir contra el Organismo cesionario por cualquier indemnización que deba satisfacer derivada de dicho incumplimiento.

El suministro de información amparado por este Convenio no tendrá otros efectos que los derivados del objeto y la finalidad para la que los datos fueron suministrados. En consecuencia, no originarán derechos ni expectativas de derechos en favor de los interesados o afectados por la información suministrada, ni interrumpirá la prescripción de los derechos u obligaciones a que puedan referirse los procedimientos para los que se obtuvo aquélla. De igual modo, la información suministrada no afectará a lo que pudiera resultar de las actuaciones de comprobación o investigación o de la ulterior modificación de los datos suministrados.

Octava. Auditorías.

8.1 Por parte de la TGSS.

A través de los sistemas y medios informáticos de auditoría que facilite la TGSS, como órgano cedente, la Administración de la Comunidad Autónoma, deberá realizar las actividades de control que garanticen la debida custodia y adecuada utilización de los datos recibidos y cualquier otra actividad encaminada a garantizar la correcta forma y justificación del acceso a los ficheros o bases en que aquéllos figuren incluidos.

Para llevar a efecto lo señalado en el párrafo anterior, la TGSS se compromete a proporcionar la asistencia necesaria (tanto teórica como técnica) a los responsables que se designen por el órgano cesionario.

La Administración de la Comunidad Autónoma se compromete a que cada acceso quede justificado con la causa o expediente que lo hubiera motivado.

Las partes implicadas en el proceso de auditoría son las siguientes:

1. Auditor Delegado de la Administración de la Comunidad Autónoma.

Sus funciones y competencias son:

– Será el interlocutor único con la TGSS en el ámbito de sus competencias en temas relacionados con auditorias y resolución de incidencias.

– Podrá efectuar la auditoría trimestral a los usuarios autorizados de cualquier consejería dependiente de la Administración de la Comunidad Autónoma, únicamente en el caso de ausencia o enfermedad del auditor de la Consejería correspondiente. Por ello tendrá acceso mediante consultas a las transacciones de los Ficheros de la TGSS recogidas en el presente Convenio.

– Recibir, sistematizar y analizar los datos facilitados en los informes de auditoría elaborados en cada Consejería por sus auditores para el posterior envío del Resumen Trimestral Unificado del total de usuarios auditados.

– Tendrá como mínimo un nivel 26 de complemento de destino, salvo petición justificada de la Administración de la Comunidad Autónoma que solicitará la excepción de nivel y que deberá ser aprobada por la Unidad Nacional de Auditorías.

– Se les asignará en SILCON un perfil de usuario auditor, dándoseles de alta a estos efectos por la TGSS en el Departamento correspondiente. Las altas, bajas o sustituciones que se produzcan en las personas designadas como Auditor delegado de la Administración de la Comunidad Autónoma deberán ser comunicados a la mayor brevedad posible al Auditor Delegado Provincial de la TGSS quien lo pondrá en conocimiento de la Unidad Nacional de Auditorías.

La Unidad Nacional de Auditorías, previa solicitud del Organismo externo, podrá autorizar al auditor delegado de la Comunidad Autónoma como auditor suplente en alguna de las Consejerías en los supuestos de vacante, ausencia o enfermedad del auditor.

– El perfil de usuario auditor no comporta el cargo de usuario administrador, a pesar de que ambos usuarios tengan en SILCON un nivel 4. Ello es debido a que la tarea de auditoría no es informática sino de justificación documental de los accesos.

En ningún caso podrán coincidir en la misma persona los cargos de Administrador SILCON y Auditor Delegado.

2. Auditores.

Habrá uno por cada una de las Consejerías u organismos que tengan autorizadas consultas a los Ficheros de la TGSS.

Sus funciones y competencias son:

– Efectuar la auditoria trimestral a los usuarios autorizados en su Organismo.

– Elaborar el informe de auditoría correspondiente a su Consejería sobre la auditoría practicada para el posterior envío al Auditor Delegado de la Comunidad Autónoma.

– Tendrán como mínimo un nivel 26 de complemento de destino, salvo petición justificada de la Comunidad Autónoma que solicitará la excepción de nivel y que deberá ser aprobada por la Unidad Nacional de Auditorías.

– Se les asignará en SILCON un perfil de usuario auditor, dándoseles de alta a estos efectos por la TGSS en el Departamento correspondiente. Las altas, bajas o sustituciones que se produzcan en las personas designadas como Auditor deberán ser comunicados a la mayor brevedad posible al Auditor Delegado de la Comunidad Autónoma quien lo pondrá en conocimiento del Auditor Delegado Provincial de la TGSS.

– El perfil de usuario auditor no comporta el cargo de usuario administrador, a pesar de que ambos usuarios tengan en SILCON un nivel 4. Ello es debido a que la tarea de auditoría no es informática sino de justificación documental de los accesos.

En ningún caso podrán coincidir en la misma persona los cargos de Administrador SILCON y Auditor Delegado.

3. Auditor Delegado Provincial de la TGSS.

Tendrá las siguientes funciones:

– Realizar las auditorias de los accesos del Auditor Delegado del Organismo externo.

– Recibir, sistematizar y analizar los datos facilitados en el informe trimestral de auditoría elaborado por el Auditor Delegado del Organismo externo.

– Asignación/desasignación de un Departamento al Auditor Delegado del Organismo externo.

– Información y resolución de dudas e incidencias al Auditor Delegado del Organismo externo.

– Comunicar el resultado de las auditorías e incidencias a la Unidad Nacional de Auditorías.

4. Unidad Nacional de Auditorías:

Serán funciones de la Unidad Nacional de Auditorías las siguientes:

– Velar por la adecuada transmisión de instrucciones, y contribuir a la aclaración de dudas sobre accesos indebidos, con el fin de que las auditorias se lleven a efecto por las unidades competentes, con unos criterios unificados.

– Formular propuestas y recomendaciones en materias relacionadas con la adecuación de los accesos a los ficheros informáticos y bases de datos gestionados por la TGSS, en particular de:

– Propuesta de modificación de contenidos de las transacciones, si por razón de los mismos pudiera concurrir alguna situación de riesgo en la protección de datos personales.

– Control específico de las autorizaciones de los usuarios, pudiendo comportar su suspensión o retirada definitiva cuando se advierta un uso inadecuado de las mismas.

– Administrar las transacciones SILCON específicamente referidas al sistema de auditorías así como las diseñadas para la creación, mantenimiento y cese de auditores, activación y desactivación de perfiles y seguimiento de rastros de los accesos. A tal fin la Unidad Nacional de Auditorias elaborará las solicitudes y propuestas necesarias a la Gerencia de Informática de la Seguridad Social.

– Realizar auditorías específicas de accesos indebidos al Sistema de Confidencialidad cuando se produzcan denuncias por los titulares de los datos a los que se ha accedido, cualquiera que sea su lugar de presentación y tramitar de forma centralizada todas las denuncias y comunicaciones que tengan entrada sobre cualquier forma de vulneración de protección de datos o accesos indebidos a los ficheros a cargo de la TGSS.

– Coordinar y preparar la información que requiera la Dirección General para su relación institucional centralizada con la Agencia Española de Protección de Datos. A este fin, deberá ser remitido a la Unidad Nacional de Auditorias cualquier escrito o solicitud que se reciba de dicha Agencia.

El procedimiento concreto de auditoría se pondrá en conocimiento del Organismo externo por parte de la Dirección Provincial de la TGSS antes del inicio de la auditoría trimestral que proceda, la cual explicará dicho proceso y solicitará los datos personales del auditor delegado.

– Asignación/desasignación de un Departamento al Auditor Delegado del Organismo externo.

Una vez que el presente convenio sea eficaz las partes se comunicarán los datos de las personas que realizarán las funciones de auditoría. Igual obligación existirá cuando se produzca un cambio en dichas personas.

8.2 Por parte de la Comunidad Autónoma.

En términos recíprocos, la Administración de la Comunidad Autónoma podrá realizar auditorías de los accesos a sus bases de datos, a través de los sistemas y medios informáticos que determine y apruebe la Comisión de Seguimiento.

Novena. Facultades de las partes.

1. Sin perjuicio de lo anterior, ambas partes, se reservan, con respecto a los datos de su competencia, la facultad de:

A) Controlar, supervisar y/o auditar los accesos o la utilización que se dé a los datos recibidos, para lo cual podrán llevarse a efecto cualesquiera otros controles accesorios o complementarios por la Unidad Nacional de Auditorías de la TGSS y análoga de la Comunidad Autónoma.

B) Solicitar, en cualquier momento, las aclaraciones o la información complementaria que se estime precisa o conveniente por una de las partes sobre la corrección de los accesos, la custodia o la utilización de la información cedida.

C) Suspender las autorizaciones y desactivar los perfiles de aquellos usuarios que hubieren realizado accesos de riesgo, entendiendo por tales todos aquellos en los que no quede acreditada su correspondencia con los fines para los que hubieran sido utilizados.

2. Ambas partes aceptan someterse a todas las actuaciones de control y supervisión que puedan acordarse por la Unidad Nacional de Auditorías de la TGSS y análoga de la Comunidad Autónoma, al objeto de verificar la adecuada obtención y utilización de la información cedida y de las condiciones normativas o convencionales que resultan de aplicación.

Si como consecuencia de las actuaciones de control o auditoría o por causa de denuncia o comunicación, se detectase cualquier tipo de irregularidad relacionada con la utilización de datos, antecedentes, registros o informes con finalidad distinta a la propia gestión del órgano cesionario, se abrirán de inmediato diligencias en orden al completo esclarecimiento y, en su caso, a la exigencia de responsabilidades con traslado, si procede, a la autoridad judicial correspondiente.

3. Ambas partes designarán una persona como interlocutor único en las relaciones y comunicaciones.

Décima. Facultad de revisión de accesos.

Ambas partes se reservan la facultad de revisar en cualquier momento posterior a que el presente convenio sea eficaz, las formas de acceso a los datos protegidos ya sea a través de acceso directo a ficheros, soporte físico o conexión telemática o electrónica, y la limitación de las mismas por razones técnicas, por modificación de los contenidos de los ficheros a raíz de mejoras introducidas en los mismos, por falta de uso de las transacciones o por otras razones que pudieran suponer alteración de las condiciones pactadas en este Convenio.

Undécima. Incumplimientos.

En lo referente al suministro de información regulado en este convenio, el ente titular de los datos podrá acordar la suspensión unilateral o la limitación de los accesos cuando advierta incumplimientos de la obligación de sigilo por parte de las autoridades, funcionarios o resto de personal del ente cesionario, anomalías o irregularidades en los accesos o en el régimen de control o incumplimientos de los principios y reglas que deben presidir el suministro de información, de acuerdo con lo previsto en este convenio.

Sin perjuicio de lo establecido anteriormente, cualquier violación de seguridad relacionado con los datos personales que constituya un riesgo para los derechos y libertades de las personas físicas titulares de los mismos, deberá ser notificada a la autoridad de control competente en materia de protección de datos en el plazo de 72 horas desde que se tuvo constancia de la misma.

El organismo cesionario será responsable frente al cedente de cualquier tratamiento indebido o no autorizado que haga su personal con los datos cedidos. El organismo cedente podrá repetir contra el organismo cesionario cualquier indemnización que deba satisfacer como consecuencia de dicho incumplimiento.

Duodécima. Régimen jurídico.

El presente convenio tiene carácter interadministrativo, y se rige por lo dispuesto en los artículos 47 a 53 del Capítulo VI del Título Preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

Decimotercera. Mecanismos de seguimiento, vigilancia y control.

Con el fin de coordinar las actividades necesarias para la ejecución del presente Convenio, así como para llevar a cabo su supervisión, seguimiento y control, se creará una Comisión de Control y Seguimiento compuesta por tres representantes nombrados por la Administración de la Comunidad Autónoma y otros tres nombrados por el Director General de la Tesorería General de la Seguridad Social. Sus acuerdos requerirán el voto favorable de todos los representantes.

Será competencia de la Comisión de Control y Seguimiento establecer los procedimientos más eficaces que posibiliten el intercambio de información y la colaboración entre las partes prevista en este Convenio. A tal fin, promoverá la supresión de los impedimentos técnicos que impidan su inmediato intercambio y colaboración.

Las partes acordarán en el seno de la Comisión de Seguimiento algunos detalles relativos a la ejecución del contenido del convenio (como pueden ser la asignación, modificación o supresión de las transacciones o servicios web objeto de cesión) y, en ese caso, no se requerirá una modificación del convenio sino el simple acuerdo entre partes, siempre que no afecte al contenido mínimo y esencial del convenio, el cual no puede ser objeto de modificación en la Comisión de seguimiento.

Además a la Comisión de Control y Seguimiento se le encomiendan las siguientes funciones:

a) Dejar reflejadas sus decisiones en el correspondiente documento que ha de mantener perfectamente actualizado.

b) Coordinar las actuaciones necesarias para la correcta ejecución del presente Convenio, estableciendo, en particular, los procedimientos de cesión de información más eficaces así como las medidas que garanticen la protección de los datos suministrados.

c) Adoptar las medidas de control pertinentes para asegurar la debida custodia y correcta utilización de la información recibida.

d) Resolver las dudas y controversias que puedan surgir en la interpretación y ejecución del presente Convenio.

En calidad de asesores podrán incorporarse cualesquiera otros funcionarios que se considere necesario, con derecho a voz.

La Comisión se reunirá a instancia de cualquiera de las partes, para examinar los resultados e incidencias de la colaboración realizada.

Las controversias que puedan surgir sobre la interpretación, modificación, ejecución, resolución y efectos que puedan derivarse del presente Convenio se resolverán entre las partes de la manera amistosa en el seno de esta Comisión. Subsidiariamente, ambas partes para las cuestiones derivadas del cumplimiento o interpretación del presente Convenio serán de conocimiento y competencia del orden jurisdiccional contencioso-administrativo, de conformidad con lo previsto en la Ley 29/1998, de 13 de julio, reguladora de la jurisdicción contencioso-administrativa.

La Comisión Mixta de Coordinación y Seguimiento se regirá en cuanto a su funcionamiento y régimen jurídico, respecto a lo no establecido expresamente en la presente cláusula, por lo dispuesto en la Sección Tercera del Capítulo II del Título Preliminar de la Ley 40/2015, de 1 de octubre, del Régimen Jurídico del Sector Público.

Decimocuarta. Duración, modificación, suspensión y resolución.

1. De conformidad con lo establecido en el apartado 1.º del artículo 49.h) de la Ley 40/2015, de 1 de octubre, el presente Convenio tendrá una vigencia de 4 años, desde su inscripción en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación. Asimismo será publicado en el «Boletín Oficial del Estado», de conformidad con lo dispuesto en el artículo 48.8 de la misma norma legal. Con anterioridad a la finalización del plazo de duración previsto se podrá prorrogar el convenio, por acuerdo unánime de las partes, por un periodo de hasta cuatro años adicionales.

2. El contenido del presente Convenio podrá ser actualizado o modificado de mutuo acuerdo en cualquier momento, a cuyo efecto las partes suscribirán la correspondiente Adenda, conforme a los requisitos legalmente establecidos y previa autorización prevista en el artículo 50 de la Ley 40/2015, de 1 de octubre.

3. No obstante, por lo que se refiere al suministro de información regulado en este Convenio, el ente titular del fichero podrá acordar la suspensión unilateral o la limitación de los accesos cuando advierta incumplimientos de la obligación de confidencialidad por parte de las autoridades, funcionarios o resto de personal del ente cesionario, anomalías o irregularidades en los accesos o en el régimen de control o incumplimientos de los principios y reglas que deben presidir el suministro de información, de acuerdo con lo previsto en este Convenio.

4. El convenio se extinguirá por el cumplimiento de las actuaciones que constituyen su objeto o por incurrir en causa de resolución.

Este convenio quedará resuelto en los siguientes supuestos:

– Por el transcurso del plazo de vigencia del convenio sin haberse acordado la prórroga del mismo.

– Por acuerdo unánime de todos los firmantes.

– Por imposibilidad justificada de realizar el objeto del convenio.

– Por incumplimiento de las obligaciones y compromisos asumidos en virtud de este convenio por una de las partes. En este caso, cualquiera de las partes podrá notificar a la parte incumplidora un requerimiento para que cumpla en un plazo de quince días con las obligaciones o compromisos que se consideran incumplidos. Este requerimiento será comunicado a la Comisión Mixta de Coordinación y Seguimiento del convenio y a las demás partes firmantes.

Si transcurrido el plazo indicado en el requerimiento persistiera el incumplimiento, la parte que lo dirigió notificará a las demás partes firmantes la concurrencia de la causa de la resolución y se entenderá resuelto el convenio. La TGSS podrá exigir a la Comunidad Autónoma la indemnización por daños y perjuicios que legalmente le corresponda, atendiendo, a estos efectos, a las consecuencias que dichos incumplimientos hayan causado fijándose como criterio para determinar la posible indemnización el daño económico causado una vez esté debidamente cuantificado.

– Por la denuncia de cualquiera de los firmantes. Esta denuncia deberá realizarse por escrito, expresando las causas que la motivan y notificarse a la otra parte con una antelación mínima de tres meses, de tal forma que puedan finalizarse adecuadamente las actuaciones en curso en el momento de la citada notificación, y en los términos establecidos en el artículo 52.3 de la Ley 40/2015, de 1 de octubre.

– Por decisión judicial declaratoria de la nulidad del convenio.

– Por cualquier otra causa distinta de las anteriores prevista en otras leyes.

La Comunidad Autónoma será responsable frente la TGSS de cualquier reclamación derivada del uso indebido que se haga por los usuarios de los datos cedidos. La TGSS podrá repetir contra la Comunidad Autónoma por cualquier indemnización que deba satisfacer derivado de dicho incumplimiento.

Decimoquinta. Régimen económico.

La firma del presente Convenio no conlleva contraprestación económica por ninguna de las partes.

En prueba de conformidad, las partes implicadas firman el presente convenio, en el lugar y fecha indicada al comienzo, tomándose como fecha de formalización del presente documento la fecha del último firmante.–Por la Tesorería General de la Seguridad Social, el Director General de la Tesorería General de la Seguridad Social, Andrés Harto Martínez.–Por la Comunidad Autónoma de La Rioja, el Consejero de Hacienda y Administración Pública, Celso González González.

ANEXO I
Compromiso usuario SILCON

D./D.ª ......................................................................................................, con D.N.I. ............................................... adscrito/a ……………...... por el presente documento,

COMUNICA

Que, de conformidad con lo dispuesto en Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y de la Orden de 17 de enero de 1996, sobre control de accesos al sistema informático de la Seguridad social, en el caso de que las funciones que desarrolle o los trabajos que realice conlleven su alta como usuario del sistema informático, adquiere el compromiso de utilizar las transacciones con los fines exclusivos de gestión para los que sea autorizado y está obligado a guardar el secreto profesional sobre los datos de que tenga conocimiento, siendo responsable de todos los accesos que se realicen a los ficheros informáticos mediante su contraseña personal y el código de acceso facilitado.

Que el incumplimiento de las obligaciones indicadas, el acceso a la información por usuario no autorizado, la asignación de procesos o transacciones no necesarios para la función encomendada y la falta de custodia o secreto de la identificación personal de acceso, dará lugar a la exigencia de responsabilidades administrativas, en concreto las establecidas en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, así como a responsabilidades de cualquier otra naturaleza incluso penales.

En............................, a........ de................... de.....

ANEXO II
Consentimiento cesión de datos (persona física)

D ………………………………………………………………………………............., con DNI/NIE/pasaporte n.º ...........................................................

Autoriza a la Comunidad de La Rioja para que, en mi nombre, acceda a los datos e información referida a mi persona y contenida en los ficheros de la Tesorería General de la Seguridad Social, en virtud del Convenio y en relación con la finalidad que en el mismo está prevista.

El tratamiento de esta información, en tanto que contempla datos personales está sujeto a las garantías establecidas en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

En......................, a ……..de ………. de….

ANEXO III
Consentimiento cesión de datos (persona jurídica)

D ………………………………………………………………………………............., con DNI/NIE/pasaporte n.º ........................., en representación de……...……......….…, con copia de poder o documento ………………………..

Autoriza a la Comunidad de La Rioja para que, en mi nombre, acceda a los datos e información contenida en los ficheros de la Tesorería General de la Seguridad Social, en virtud del Convenio suscrito al efecto.

El tratamiento de esta información, en tanto que contempla datos de personas jurídicas, está sujeto a las garantías establecidas en la Ley Orgánica 10/1995, de 23 de noviembre, del Código Penal.

En......................, a ……..de ………. de….

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid