El Bono Cultural Joven se encuentra regulado en la disposición adicional centésima cuarta de la Ley 31/2022, de 23 de diciembre, de Presupuestos Generales del Estado para el año 2023, en el Real Decreto 191/2023, de 21 de marzo, por el que se establecen las normas reguladoras del Bono Cultural Joven y en su normativa de desarrollo.
Las personas beneficiarias de este programa de ayudas son aquellas personas que cumplan 18 años en el año en que se publique cada convocatoria y que reúnan los requisitos establecidos en el artículo 5 del Real Decreto 191/2023, de 21 de marzo, por el que se establecen las normas reguladoras del Bono Cultural Joven. Podrán destinar el importe de la ayuda a la adquisición de productos, servicios y actividades culturales, tanto públicos como privados, encuadrados en distintas categorías y con las limitaciones económicas previstas en el artículo 8 del citado Real Decreto 191/2023, de 21 de marzo, y que sean adquiridos exclusivamente en entidades o instituciones adheridas al programa.
Teniendo en cuenta el colectivo al que van dirigidas las ayudas, población joven (nativos digitales), que cuenta con capacidad técnica y habilidades suficientes para el manejo de dispositivos electrónicos y digitales, el Real Decreto 191/2023, de 21 de marzo, establece la obligatoriedad de relacionarse electrónicamente con la Administración para todas las fases del procedimiento, de acuerdo con lo dispuesto en el artículo 14.3 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
Para esta gestión digitalizada del Bono Cultural Joven, y al amparo de lo dispuesto en el artículo 15 de la Ley 38/2003, de 17 de noviembre, General de Subvenciones (LGS) y el artículo 6 del Real Decreto 191/2023, de 21 de marzo, el Ministerio de Cultura ha considerado necesaria la participación de entidades colaboradoras para apoyar y colaborar «en la gestión de las ayudas y adhesión de las entidades, la entrega y distribución de los fondos a las personas beneficiarias, la comprobación del cumplimiento de las condiciones y requisitos para la adhesión y el otorgamiento de las ayudas, de las operaciones de venta y del control de los límites establecidos en el artículo 8, siempre que no suponga el ejercicio de potestades públicas».
Por medio de la presente orden, se pretende seleccionar, de conformidad con lo dispuesto en el artículo 6, apartado 1 del Real Decreto 191/2023, de 21 de marzo, a la entidad colaboradora que se encargará de facilitar y gestionar los medios de pago de las personas beneficiarias del Bono Cultural Joven durante tres años, articulando los mecanismos de pago que permitan la ejecución de las ayudas concedidas en el citado periodo.
Las personas beneficiarias del Bono Cultural Joven recibirán la ayuda mediante tarjetas prepago virtuales, que se clasifican por cada una de las categorías de gastos subvencionables previstas en el artículo 8.1 del Real Decreto 191/2023, de 21 de marzo. Excepcionalmente, se podrán emitir tarjetas físicas en caso de que la persona beneficiaria no disponga de dispositivo móvil compatible para contener las mencionadas tarjetas virtuales, cuando así se solicite y de conformidad con lo previsto en la citada norma reglamentaria.
Igualmente, las entidades adheridas al programa Bono Cultural Joven deberán relacionarse con la entidad colaboradora seleccionada, a los efectos de permitir la ejecución del gasto en los medios de pago que utilicen en sus establecimientos.
La entidad colaboradora seleccionada actuará en coordinación con otras entidades colaboradoras del programa del Bono Cultural Joven, bajo la supervisión y control del órgano concedente del Ministerio de Cultura.
Con el fin de desarrollar lo dispuesto en el artículo 6 del Real Decreto 191/2023, de 21 de marzo, y de conformidad con lo establecido en el artículo 16, apartado 5 de la Ley 38/2003, de 17 de noviembre, General de Subvenciones, se dicta la presente orden.
Se convoca el procedimiento para la selección, en régimen de concurrencia, de la entidad colaboradora que se encargará de facilitar y gestionar los medios de pago a las personas beneficiarias de las ayudas del programa Bono Cultural Joven, así como de gestionar las autorizaciones, modificaciones y bajas de los Terminales de Puntos de Venta (TPV) y FUC de las entidades adheridas al mismo, de conformidad con lo dispuesto en el Real Decreto 191/2023, de 21 de marzo, por el que se establecen las normas reguladoras del Bono Cultural Joven, y dentro del respeto a los principios de publicidad, igualdad y no discriminación.
1. El objeto de la colaboración es la facilitación y gestión de los medios de pago de las ayudas a las personas beneficiarias del Bono Cultural Joven, a través de las tarjetas prepago contempladas en el artículo 11, apartado 1 del Real Decreto 191/2023, de 21 de marzo, teniendo en cuenta las categorías de actividades y gastos subvencionables (artes en vivo, patrimonio cultural y artes visuales; productos culturales en soporte físico; y consumo digital o en línea), las cuantías máximas para cada una de ellas, las exclusiones y las condiciones que contempla el artículo 8 del citado Real Decreto.
2. El objeto de la colaboración previsto en el apartado 1 se circunscribirá a la gestión de las ayudas del Bono Cultural Joven correspondientes a las convocatorias 2024 y 2025, sin perjuicio de lo previsto en el artículo 5 de la presente orden.
3. Igualmente la entidad colaboradora se encargará de gestionar la autorización de las altas, modificaciones y bajas de los Terminales de Puntos de Venta y FUC de las entidades adheridas al programa del Bono Cultural Joven, a los efectos de aceptar pagos con cargo a las tarjetas prepago mencionadas en el presente apartado.
4. La entidad colaboradora actuará en nombre del órgano concedente exclusivamente a los efectos de gestionar el pago de la ayuda a las personas beneficiarias y actuará de manera coordinada con las demás entidades colaboradoras que participen en el programa del Bono Cultural Joven, bajo la supervisión y control del órgano concedente del Ministerio de Cultura.
5. Las condiciones y obligaciones que asume la entidad colaboradora se plasmarán en un convenio de colaboración entre el Ministerio de Cultura y la entidad que resulte seleccionada, según el modelo de convenio que figura como anexo I a esta convocatoria.
1. El gasto derivado de la convocatoria y el convenio se financiará con cargo a la aplicación presupuestaria 24.01.334A.482 «Bono Cultural Joven» del Presupuesto del Ministerio de Cultura y Deporte para el ejercicio 2023, con imputación a los ejercicios 2024, 2025, 2026 y 2027.
2. La compensación económica de 5.600.000 euros prevista en el anexo I integra todos los costes de emisión y gestión de todas las tarjetas prepago que resulten válidamente emitidas y se calculará de la siguiente forma:
a. Una parte fija de 375.000 euros, en concepto de gastos de implantación y desarrollo del sistema, único para todas las convocatorias.
b. Una parte variable que se calculará en función de las personas beneficiarias a las que se conceda la ayuda, tomando como base un importe de 5 euros por persona beneficiaria, con un límite máximo de 500.000 personas beneficiarias por cada convocatoria, con posibilidad de acumular en la convocatoria siguiente la parte no consumida hasta el límite indicado en la convocatoria anterior.
c. Una parte variable con un límite máximo de 100.000 euros para todas las convocatorias, en concepto de refuerzo del servicio de atención a beneficiarios y entidades adheridas previsto en el artículo 4.2.c) in fine en fases de incremento significativo de las consultas, a partir de un mínimo de 1.700 consultas diarias (por todos los canales habilitados) durante cinco días laborables consecutivos, y que se calculará sobre un precio unitario de un euro por consulta extra a partir del mínimo de referencia.
d. Una parte variable, con un límite máximo de 125.000 euros, en concepto de gastos de desarrollo y adaptaciones del sistema, inicialmente no previstas y aprobadas por el Ministerio de Cultura, que puedan requerirse durante la ejecución de la colaboración.
3. El 10 % del importe total de la compensación económica prevista en el apartado 2.a. se desembolsará de forma anticipada por las operaciones preparatorias que resulten necesarias para la implantación del sistema en el plazo máximo de 15 días hábiles desde la firma del convenio de colaboración, y previa prestación de garantía, de conformidad con lo previsto en el artículo 21, apartado 3 de la Ley 47/2003, de 26 de noviembre, General Presupuestaria, por el importe del 5 % del anticipo ante la Caja General de Depósitos a favor del Ministerio de Cultura.
4. El segundo libramiento del citado apartado 2.a. se realizará previa certificación de la plena implantación y desarrollo del sistema por parte de la entidad seleccionada.
5. Los fondos para la emisión de las tarjetas prepago del apartado 2.b se librarán a la entidad colaboradora seleccionada mediante sucesivos pagos, una vez dictadas las correspondientes resoluciones de concesión de las ayudas.
6. Los servicios derivados del apartado 2.c. se abonarán previa presentación de factura, que se realizará trimestralmente y con exposición detallada de los datos de los servicios efectivamente prestados.
7. Los servicios derivados del apartado 2.d. se abonarán previa presentación de factura, con exposición detallada de las actividades desarrolladas, los costes incurridos, así como la documentación (ficheros, informes, etc.) generada.
1. De conformidad con lo dispuesto en el artículo 12 de la LGS, podrán ser entidades colaboradoras las entidades públicas o privadas con personalidad jurídica y plena capacidad de obrar, que estén válidamente constituidas, que también reúnan las siguientes condiciones:
a) Disponer de una plataforma digital de medios de pago operativa cuya cobertura alcance todo el ámbito nacional.
b) Acreditar, mediante contratos ejecutados, experiencia en la gestión financiera de proyectos o campañas con elevadas cifras de usuarios en los tres últimos años.
c) Disponer de una red de oficinas físicas de atención al cliente que garantice, al menos, la existencia de una oficina, propia o asociada, por provincia.
2. Para participar en el proceso de selección, deberán elaborar una propuesta que incluya los siguientes requisitos técnicos de eficacia:
a) Financieros:
– Las tarjetas prepago solo funcionarán en los Terminales de Puntos de Venta (TPV) de las entidades adheridas (físicos y online), pudiendo parametrizar dónde y cuándo se puede pagar con el sistema.
– Contar con mecanismos antifraude y un sistema de Inteligencia Artificial para análisis y verificación de los recibos de compra.
– Ser compatibles con la tecnología para pagos a través de móvil NFC, y estar habilitados para que las tarjetas se puedan usar, al menos, con Apple Pay, Google Pay, y otras plataformas similares.
b) Tecnológicos:
– Contar con una solución debidamente appificada, o que cuente con SDK apropiados, así como documentación asociada, de modo que sea posible realizar las siguientes acciones:
● Obtener Información de saldo.
● Obtener Información de movimientos.
● Realizar activación/desactivación de tarjetas.
● Realizar alta/baja de entidades adheridas.
– Las tarjetas podrán ser usadas exclusivamente en entidades adheridas.
● Control de posibilidad de transacciones asociadas a los tipos de las entidades adheridas.
● Control de FUC para entidades nacionales.
● Control de MID para entidades internacionales.
– Las tarjetas no se podrán utilizar para sacar dinero en cajeros automáticos.
c) Funcionales:
– La entidad colaboradora seleccionada estará en condiciones de emitir y distribuir a las personas beneficiarias tarjetas físicas o virtuales, sin establecer una relación contractual o de cliente con cada persona beneficiaria y, a ser posible, sin la asistencia de quienes ejerzan la patria potestad, tutela o curatela en caso de que la persona beneficiaria sea menor de 18 años en la fecha de la concesión de la ayuda.
– Una vez finalizado el programa o vencido el plazo de un año desde la concesión de la ayuda, la entidad colaboradora cancelará las tarjetas distribuidas y devolverá las cantidades no utilizadas.
– La entidad colaboradora seleccionada deberá ser emisora, comercializadora y/o distribuidora de tarjetas.
– Se proporcionará una solución al requerimiento previsto en el artículo 8 del Real Decreto 191/2023, de 21 de marzo, consistente en que los 400 euros deben ser gastados en tres tipos de categoría de productos y servicios, sin posibilidad de gastar el dinero de una categoría para comprar productos de otra. En el caso de devolución, el sistema comprometerá que el reembolso compute en la categoría de compra original.
– La prestación del servicio tendrá lugar durante todos los días naturales del año.
– No podrá obtenerse, ni procedente de la entidad adherida ni de terceros, el reembolso de todo o parte del importe del Bono.
– La entidad colaboradora deberá disponer de un sistema de información en el que la persona beneficiaria de la tarjeta pueda activar la tarjeta en caso de ser necesario y bloquearla por robo o pérdida.
– Ofrecer un servicio de atención al usuario, tanto para personas beneficiarias como para entidades adheridas, para solucionar incidencias del programa tales como problemas en la activación de la tarjeta o para incluirla en la aplicación móvil Wallet. Este servicio deberá cumplir los compromisos e indicadores de nivel de calidad contemplados en la Carta de Servicios del Ministerio de Cultura. En caso de consultas telefónicas, la respuesta se trasladará en el momento y, de no ser posible, en un plazo máximo de 72 horas.
– La entidad colaboradora seleccionada deberá integrarse con los sistemas informáticos desarrollados para la implementación del programa, para lo cual deberá cubrir los requerimientos técnicos y legales, y con los sistemas externos utilizados.
– La entidad colaboradora seleccionada deberá facilitar al resto de entidades colaboradoras del programa Bono Cultual Joven la información sobre las tarjetas prepago emitidas que se requiera para el eficaz desempeño de sus respectivas funciones.
d) Características de la tarjeta prepago:
– La tarjeta física contará con tecnología contactless.
– La tarjeta física dispondrá de un sistema de seguridad con chip y pin.
– La tarjeta tendrá sistema de pago compatible con tecnología contactless para transacciones de menos de 50 euros.
– La tarjeta tendrá una caducidad de un año tras la fecha de resolución de concesión de la ayuda.
– Será compatible con pago electrónico a través de móvil con, al menos, Google Pay y Apple Pay.
– El envío de la tarjeta física se realizará al domicilio del titular de la tarjeta o a la dirección que se indique en la solicitud.
– Se deberá adjudicar a las tarjetas emitidas, tanto físicas como virtuales, una numeración común y exclusiva, que permita a las plataformas y otras entidades adheridas que así lo requieran, asociar dicha numeración a este programa y a cada convocatoria de ayudas.
– Las tarjetas habrán de configurarse de manera que respeten e integren los límites económicos y temporales establecidos en el artículo 8 del Real Decreto 191/2023, de 21 de marzo.
e) Cumplimiento de la normativa vigente:
– Supervisión de anomalías de pagos.
– Control de tiempos de custodia de datos.
– Encriptación.
– Tránsito seguro de datos.
– Protección de datos.
f) Datos:
– Custodiar de manera segura la identificación y datos de carácter personal de las personas beneficiarias conforme a lo previsto por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
– Custodiar de manera segura la Identificación y datos de entidades adheridas.
– Custodiar de manera segura los datos de las tarjetas emitidas.
g) Informes:
– Emisión periódica, al menos una vez al mes, de informes base: resumen de transacciones, detalle por persona beneficiaria, tipo de tarjeta, operaciones computadas por comunidad autónoma y por provincia. Los informes se emitirán de forma adicional a la información que se facilitará regularmente, conforme a lo estipulado en la Cláusula Tercera del convenio previsto en el anexo I.
h) Plazos:
– Los plazos de activación de las tarjetas virtuales y físicas deben ser de un máximo de 30 días, a contar desde la fecha de las resoluciones parciales de concesión de las ayudas a las personas beneficiarias del Bono Cultural Joven y una vez recibidos los fondos en la entidad.
La duración de la colaboración se extenderá por 36 meses desde el momento de la firma del correspondiente convenio, según el modelo recogido en el anexo I.
El convenio podrá ser objeto de prórroga dentro de los límites establecidos en el artículo 16 de la LGS, por acuerdo expreso de ambas partes, que se adoptará con anterioridad a la finalización de la vigencia anteriormente indicada.
1. La entidad colaboradora que resulte seleccionada deberá reunir los requisitos contemplados en el artículo 13 de la LGS.
2. De conformidad con lo dispuesto en el artículo 15 de la LGS, son obligaciones de la entidad colaboradora que resulte seleccionada las siguientes:
a) Tener operativas la plataforma y/o aplicaciones informáticas, en coordinación con las demás entidades colaboradoras, habilitando el procedimiento operativo a fecha 24 de julio de 2024.
b) Entregar a las personas beneficiarias los fondos recibidos de acuerdo con los criterios establecidos en las normas reguladoras del Bono Cultural Joven aprobadas por Real Decreto 191/2023, de 21 de marzo, en el convenio suscrito con el órgano concedente y, en su caso, los que se determinen en la correspondiente orden de convocatoria de acceso a las ayudas.
c) Justificar la entrega de los fondos percibidos ante el órgano concedente de las ayudas y, en su caso, entregar la justificación presentada por las personas beneficiarias.
d) Presentación de los informes mencionados en el apartado 4.2.g).
e) Someterse a las actuaciones de comprobación que respecto de la gestión de dichos fondos pueda efectuar el órgano concedente, así como cualesquiera otras de comprobación y control financiero que puedan realizar los órganos de control competentes, tanto nacionales como comunitarios, aportando cuanta información le sea requerida en el ejercicio de las actuaciones anteriores.
f) Cumplir, en materia de protección de datos, con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos; con la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales; y las demás disposiciones vigentes sobre la materia.
g) Utilizar la imagen corporativa del programa Bono Cultural Joven, facilitada por la Subsecretaría de Cultura, en todos los soportes físicos y digitales.
1. La selección de la entidad colaboradora, en cumplimiento de lo establecido en el artículo 16 de la LGS, se efectuará siguiendo los principios de publicidad, concurrencia e igualdad y no discriminación.
2. Los criterios objetivos que servirán de base para la selección de la entidad colaboradora serán los siguientes:
a) Propuesta técnica que describa con la amplitud y detalle precisos todos los elementos necesarios para la articulación de la colaboración solicitada, incluyendo el modelo de gestión, y especificando la propuesta de entrega de 1 o 3 tarjetas por persona beneficiaria, en función de las categorías previstas en el artículo 8 del Real Decreto 191/2023, de 21 de marzo (hasta 50 puntos).
b) Experiencia en el desarrollo de campañas similares en los últimos tres años, teniendo especialmente en cuenta el alcance y la amplitud del número de potenciales personas beneficiarias y entidades adheridas, debidamente acreditado (hasta 20 puntos).
c) Ofrecer un servicio de atención al usuario, tanto para personas beneficiarias como para entidades adheridas, para solucionar incidencias como problemas en la activación de la tarjeta o para incluirla en wallet (hasta 10 p).
d) Inclusión en la propuesta técnica de todos o algunos de los siguientes méritos adicionales (hasta 20 puntos):
i. Disponer de un sistema de alertas ante actividades sospechosas (5 p).
ii. Aportar potenciales soluciones al problema que puede surgir en las entidades en las que se vendan productos de 2 o 3 categorías diferentes, para evitar que se adquieran unos productos con el saldo de otros (5 p).
iii. Aportar potenciales soluciones técnicas a la limitación a 4 meses del periodo de suscripción a plataformas digitales previsto en el artículo 8, apartado 6 del Real Decreto 191/2023, de 21 de marzo (5 p).
iv. Disponer de una app relacionada con procesos de pago (5 p).
1. Las solicitudes se presentarán obligatoriamente por medios electrónicos a través del formulario normalizado disponible en la sede electrónica del Ministerio de Cultura, https://cultura.sede.gob.es, según el modelo que se incluye como anexo II de esta orden e indicando como Organismo Destinatario el «Gabinete Técnico Subsecretaría (MCD)» con DIR3 EA0019832.
2. De conformidad con el artículo 68.4 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, si alguna de las personas interesadas presenta su solicitud presencialmente, será requerida lo antes posible para que la subsane mediante su presentación electrónica. A estos efectos, se considerará como fecha de presentación de la solicitud aquella en que hubiese sido realizada la subsanación.
3. El plazo máximo de presentación de las solicitudes será de quince días naturales contados a partir del siguiente al de la publicación del extracto de esta orden en el «Boletín Oficial del Estado».
1. Las entidades interesadas deberán presentar, junto a la solicitud, la siguiente documentación:
a) Escritura de constitución/modificación.
b) Poderes acreditativos de la representación de la persona que firma la solicitud de participación.
c) Declaración responsable de cumplir con los requisitos del artículo 13 de la Ley General de Subvenciones.
d) Propuesta técnica, memoria y toda la documentación que, a juicio de la entidad, permita al Ministerio de Cultura valorar la solicitud conforme a los criterios objetivos fijados en el artículo 7 de esta orden.
2. La documentación complementaria deberá presentarse electrónicamente. Las entidades interesadas se responsabilizarán de la veracidad de los documentos que presenten.
3. En caso de que la presentación de los documentos se efectúe separadamente de la solicitud, se indicará el número de registro de entrada de la solicitud y el órgano responsable del procedimiento.
1. Para la tramitación del procedimiento, se consultarán automáticamente los datos incluidos en los siguientes documentos en poder de las administraciones públicas, excepto que la entidad interesada se oponga a su consulta:
a) NIF de la entidad solicitante.
b) DNI/NIE de la persona representante.
c) Certificado de estar al corriente del pago de las obligaciones tributarias con la Agencia Estatal de Administración Tributaria (AEAT).
d) Certificado de estar al corriente de pago de las obligaciones con la Seguridad Social.
2. En el caso de que las entidades interesadas se opongan a la consulta, deberán indicarlo en la casilla habilitada en el formulario correspondiente y presentar los documentos cumplimentando el anexo II de esta orden.
1. El órgano competente para resolver el presente procedimiento será la persona titular de la Subsecretaría de Cultura, a propuesta de la persona titular del Gabinete Técnico de la Subsecretaría que actuará como órgano instructor.
2. El plazo máximo para resolver y publicar la resolución será de quince días naturales contados a partir del día siguiente al vencimiento del plazo de presentación de solicitudes previsto en el artículo 8.3.
3. Transcurrido el plazo máximo previsto en el presente artículo sin que se haya dictado resolución expresa, las entidades interesadas podrán entender desestimadas sus solicitudes por silencio administrativo, de conformidad con lo dispuesto en el artículo 25.1.a) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
4. Contra la resolución del presente procedimiento, que no pone fin a la vía administrativa, se podrá interponer recurso de alzada ante la persona titular del Ministerio de Cultura, en el plazo de un mes a contar desde el día siguiente a la publicación a la que se refiere el artículo siguiente, de conformidad con lo establecido en los artículos 121 y 122 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común.
La resolución definitiva por la que se seleccione la entidad colaboradora será objeto de publicación en la sede electrónica del Ministerio de Cultura, sustituyendo a la notificación, de acuerdo con el artículo 45.b) de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
En el plazo máximo de diez días naturales desde la publicación de la resolución, deberá formalizarse el convenio de colaboración entre la entidad seleccionada y el Ministerio de Cultura, según el modelo de convenio que figura como anexo I a esta convocatoria y sin perjuicio de las adaptaciones que sean necesarias una vez seleccionada la entidad financiera.
La presente orden pone fin a la vía administrativa y contra la misma se podrá interponer potestativamente recurso de reposición ante la persona titular del Ministerio de Cultura, o directamente ante el orden jurisdiccional contencioso-administrativo, de conformidad con lo establecido en los artículos 114.2.b) y 123 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
La presente Orden producirá efectos el día siguiente al de su publicación en el «Boletín Oficial del Estado».
Madrid, 21 de mayo de 2024.–El Ministro de Cultura, Ernest Urtasun Domènech.
En Madrid, .... de junio de 2024.
REUNIDOS
De una parte, don/doña ........................................, en su calidad de titular de ................................................. (en adelante ....................................... u órgano concedente), cargo que ostenta en virtud del nombramiento efectuado mediante el Real Decreto ......../...... (BOE núm. ......), y en ejercicio de las competencias que le atribuye el apartado .......... de la Orden CLT/12/2024, de 12 de enero, sobre fijación de límites para la administración de determinados créditos para gastos y de delegación de competencias.
Y de otra parte, por .............................. con DNI ..............., actuando en nombre y representación de .............................., en su condición de .............................., en virtud de las facultades emanadas de ..............................
Ambas partes se reconocen mutua y recíprocamente capacidad para obligarse mediante el presente convenio en los términos que en él se contienen y, al efecto,
MANIFIESTAN
Que el Ministerio de Cultura, a tenor de lo dispuesto en el Real Decreto 323/2024, de 26 de marzo, por el que se desarrolla su estructura orgánica básica, es el Departamento de la Administración General del Estado encargado, entre otras funciones, de la propuesta y ejecución de la política del Gobierno en materia de promoción, protección y difusión del patrimonio histórico español, de los museos estatales y de las artes, del libro, la lectura y la creación literaria, de las actividades cinematográficas y audiovisuales y de los libros y bibliotecas estatales, así como la promoción y difusión de la cultura en español, el impulso de las acciones de cooperación cultural y, en coordinación con el Ministerio de Asuntos Exteriores, Unión Europea y Cooperación, de las relaciones internacionales en materia de cultura.
Entre los órganos directivos del Ministerio, corresponden a la Subsecretaría de Cultura las competencias y funciones establecidas en el artículo 63 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, en el Real Decreto 323/2024, de 26 de marzo, por el que se desarrolla la estructura orgánica básica del citado Ministerio, en CLT/12/2024, de 12 de enero, sobre fijación de límites para la administración de determinados créditos para gastos y de delegación de competencias.
Que el Ministerio de Cultura, en el ejercicio de las competencias que le corresponden, viene impulsando medidas y actuaciones orientadas a garantizar la sostenibilidad de las industrias culturales y creativas de nuestro país, propiciando la recuperación y dinamización de un sector afectado sensiblemente por la crisis causada por el virus COVID-19, al tiempo que se fomenta el acceso de la ciudadanía a la cultura.
Que, entre las medidas mencionadas, se encuentra el Bono Cultural Joven, contemplado en la disposición adicional centésima cuarta de la Ley 31/2023, de 23 de diciembre, de Presupuestos Generales del Estado para 2023, con vigencia indefinida.
Que en el artículo 6 del Real Decreto 191/2023, de 21 de marzo, por el que se establecen las normas reguladoras del Bono Cultural Joven, se recoge la posibilidad de contar con entidades colaboradoras, de conformidad con lo dispuesto en la Ley 38/2003, de 17 de noviembre, General de Subvenciones (en adelante LGS), para la gestión de las ayudas y adhesión de las entidades, la entrega y distribución de los fondos a los beneficiarios, la comprobación del cumplimiento de las condiciones y requisitos para la adhesión y el otorgamiento de las ayudas, de las operaciones de venta y del control de los límites establecidos en el artículo 8 del citado Real Decreto 191/2023, siempre que no suponga el ejercicio de potestades públicas.
Que en virtud de lo dispuesto en los artículos 12.2 y 16.5 de la LGS respecto a la participación y selección de entidades colaboradoras en la gestión de subvenciones; en el Real Decreto 191/2023, de 21 de marzo, y en aplicación de la Orden del Ministerio de Cultura de ...... de ................... de 2024, por la que la entidad colaboradora .............................. ha resultado seleccionada para la facilitación y gestión de los medios de pago para la ejecución de las ayudas del programa Bono Cultural Joven, se derivan al presente convenio el alcance y las condiciones de la colaboración entre ambas partes, con arreglo a las siguientes
CLÁUSULAS
Constituye el objeto del presente convenio establecer el marco de colaboración entre las partes firmantes para la facilitación y gestión de los medios de pago a las personas beneficiarias de las ayudas derivadas del programa Bono Cultural Joven, en los términos previstos en la Orden CLT .... de ................... de 2024.
El objeto de la colaboración previsto en el apartado 1 se circunscribirá a la gestión de las ayudas del Bono Cultural Joven correspondientes a las convocatorias 2024 y 2025, sin perjuicio de lo previsto en el artículo 5 de la citada orden.
.............................. es una entidad colaboradora con personalidad jurídica privada de las previstas en el artículo 12 de la Ley 38/2003, de 17 de noviembre, General de Subvenciones. Esta entidad reúne las condiciones de solvencia y eficacia que se establecen en los artículos 4 y 6 de la Orden por la que se convoca el procedimiento de selección de una entidad colaboradora para la facilitación y gestión de los medios de pago del programa Bono Cultural Joven.
La entidad colaboradora, sin perjuicio de lo dispuesto en el artículo 15 de la LGS, y de lo establecido en la Orden por la que se convoca el procedimiento de concurrencia para la selección de una entidad colaboradora para la facilitación y gestión de los medios de pago del programa Bono Cultural Joven, se obliga a lo siguiente:
1. Facilitar el soporte y realizar la gestión, bajo la dirección y supervisión del Ministerio de Cultura, de los medios de pago derivados del Bono Cultural Joven, habilitando para ello una plataforma tecnológica específica y las aplicaciones informáticas más adecuadas para la puesta en marcha, la eficaz ejecución y el seguimiento del programa. La colaboración deberá permitir de modo continuado el seguimiento, control y trazabilidad de la emisión de las tarjetas prepago que incorporan el Bono Cultural Joven, de la distribución a las personas beneficiarias y de las transacciones realizadas en las entidades adheridas al programa.
2. Tener operativas la plataforma y aplicaciones informáticas para la facilitación y gestión de los medios de pago, virtuales y físicos, y la integración con los sistemas desarrollado a fecha 24 de julio de 2024.
3. Utilizar la imagen corporativa del programa Bono Cultural Joven, facilitada por la Subsecretaría de Cultura, en todos los soportes físicos y digitales.
4. Poner a disposición de la Subsecretaría de Cultura y, en su caso, de la entidad colaboradora para el apoyo en la gestión de las ayudas, con carácter periódico (al menos mensual, que se entregará en los cinco días naturales siguientes a la finalización del mes de referencia) la siguiente información:
4.1) Número de personas beneficiarias y tarjetas prepago emitidas.
4.2) Número de transacciones y volumen de contabilizado por las tarjetas de prepago según la tipología de actividades y gastos subvencionables establecida en el artículo 8 del Real Decreto 191/2023, de 21 de marzo, y en el artículo 2 de la orden de convocatoria de selección de una entidad colaboradora para la facilitación y gestión de los medios de pago del programa Bono Cultural Joven.
4.3) Identificador-N.º tarjeta por convocatoria.
4.4) Punto de venta: tipo (Internet, gran superficie especializado,…) área, subárea y epígrafe IAE.
4.5) Número de entidades adheridas al programa, y su ubicación por municipio, provincia y comunidad autónoma.
4.6) Informe de medidas de control de calidad sobre la información administrativa: mails a usuarios sin tarjeta activa, o sin movimientos en tarjeta; verificación mediante muestras de tarjetas sin compra, de compras realizadas (comercio, persona beneficiaria, importe, etc.).
4.7) Informe de consultas realizadas por personas beneficiarias y entidades adheridas a través del servicio de atención al usuario.
4.8) Otros de naturaleza análoga.
5. Poner a disposición de la Subsecretaría de Cultura y, en su caso, de la entidad colaboradora para el apoyo en la gestión de las ayudas, los siguientes ficheros, con periodicidad mensual, en el máximo de cinco días naturales finalizado cada mes de referencia:
5.1) Fichero de «Entidades adheridas» que incluya al menos los siguientes campos: Identificador interno de la entidad (Identificador univoco asignado al autorizar la adhesión); Denominación Entidad; NIF principal; fecha de alta, fecha de baja, epígrafe IAE de la actividad principal; Otros epígrafes IAE de actividades secundarias; código CNAE de la actividad principal; Otros códigos CNAE de actividades secundaria; datos de localización de la sede de la entidad (códigos oficiales –predefinidos y cerrados– de municipio, provincia y comunidad autónoma); Tipo de Entidad (Internet, gran superficie; especializado…).
5.2) Fichero de «Puntos de Venta adheridos» que incluya al menos los siguientes campos: Identificador interno de la entidad (identificador univoco asignado al autorizar la adhesión); Identificador del comercio dentro de la entidad (identificador univoco asignado al comercio, MerchanID); Denominación comercio; identificador del TPV (Terminal ID); Categoría del TPV (productos en soporte físico; contenido digital o en línea; y artes en vivo, patrimonio cultural y artes audiovisuales); fecha de alta, fecha de baja; datos de ubicación del punto de venta (códigos oficiales –predefinidos y cerrados– de municipio, provincia y comunidad autónoma).
5.3) Fichero de «Tarjetas creadas». Este fichero debería incluir, al menos, los siguientes campos: Identificador de tarjeta (cardholderID), fecha de alta, Identificador de la persona beneficiaria (NIF_NIE); Fecha baja; Estado de la tarjeta (abierta, activa, bloqueada,...); tipo de tarjeta (física; virtual).
5.4) Fichero de «Transacciones». Este fichero debería incluir, al menos para las transacciones de compra y de devolución, los siguientes campos: Identificador de la transacción (Transacción ID), Identificador de tarjeta (cardholderID); Identificador del comercio dentro de la entidad (identificador univoco asignado al comercio, MerchanID); identificador del TPV (Terminal ID); Cuantía la transacción (de compra o devolución, mAmount1); identificador de la operación (APPROVAL CODE); Código de producto, según siguiente listado:
– Artes en vivo, patrimonio cultural y artes audiovisuales: patrimonio cultural (museos; monumentos; bibliotecas; otros); escénicos o musicales (teatro; danza; zarzuela; ópera; circo; conciertos; otros); cine, espectáculos taurinos.
– Productos culturales en soporte físico: libros; prensa o revistas; partituras; música; vídeos; videojuegos, otros.
– Contenido digital o en línea: suscripciones plataformas (libros; prensa; música, audiovisual; videojuegos); soportes digitales (libros, música, vídeos, videojuegos, otros).
6. Poner a disposición de la Subsecretaría de Cultura información estadística, con periodicidad mensual, obtenida a través de los ficheros contemplados en los puntos 4 y 5 de la presente cláusula.
7. Distribuir y entregar las tarjetas prepago virtuales y físicas a las personas beneficiarias, en el plazo máximo de 30 días, a contar desde la fecha de las resoluciones parciales de concesión de las ayudas, que contendrán los fondos del programa recibidos a tales efectos, sin ningún coste o requisito adicional.
Estos fondos, en ningún caso, se considerarán integrantes del patrimonio de la entidad colaboradora.
8. Realizar las gestiones oportunas para dar de alta a las entidades que vayan a adherirse al programa, al efecto de permitir la realización de transacciones comerciales con cargo al Bono Cultural Joven y poder recibir los pagos en los medios específicos para ello, así como la modificación y bajas de los citados medios de pago registrados, cuando proceda.
9. Informar, con una periodicidad semanal, de la emisión de las tarjetas y de las transacciones realizadas, así como otros aspectos relacionados que se estimen relevantes.
10. Cumplir, en materia de protección de datos, con el Reglamento (UE) n.º 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, con la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales, y con las demás disposiciones vigentes sobre la materia. A estos efectos, se deberá mantener la gestión de las bases de datos del presente programa al margen de las bases de datos de la clientela de la entidad financiera y no se podrá utilizar para ningún fin distinto de la propia administración y gestión de los bonos.
11. Elaborar un balance definitivo, en el plazo de un mes desde la caducidad de la última tarjeta emitida, sin perjuicio de la información que sobre este aspecto requiera la Subsecretaría de Cultura en cualquier momento.
12. Reembolsar el saldo sobrante al Tesoro Público, en la forma y en los plazos que establezca la Subsecretaría de Cultura, admitiéndose reembolsos parciales en función de la caducidad de las tarjetas prepago emitidas.
13. Someterse a las actuaciones de comprobación y control financiero de los órganos competentes de la Administración en el ejercicio de sus funciones.
14. Cumplir con los requisitos y obligaciones impuestas por el artículo 15 de la Ley 38/2003, de 17 de noviembre, General de Subvenciones.
La Subsecretaría de Cultura se compromete a:
1. Librar los fondos correspondientes a las personas beneficiarias para la entrega de las ayudas del Bono Cultural Joven en forma de tarjetas prepago virtuales o físicas, correspondientes a las convocatorias que se impulsen y desarrollen dentro del plazo establecido en la cláusula décima y una vez dictadas las resoluciones parciales de concesión.
2. Entregar los materiales gráficos relativos a la imagen del programa Bono Cultural Joven, para su inclusión en todos los soportes físicos y digitales.
La entidad colaboradora articulará las aplicaciones informáticas técnicamente más adecuadas para incorporar el alta de las personas beneficiarias del Bono Cultural Joven y habilitará la solución técnica idónea para la descarga digital de las tarjetas prepago por parte de las personas beneficiarias.
Cada persona beneficiaria dispondrá de una única tarjeta prepago o, en su caso, tres tarjetas, virtuales o físicas, en función de las tipologías de actividades y productos subvencionables previstos en el artículo 8 del Real Decreto 191/2023, que podrán ser utilizadas exclusivamente en las entidades adheridas al programa.
El uso de estas tarjetas se efectuará en las entidades adheridas y, a tal efecto, la entidad colaboradora habilitará los mecanismos y canales necesarios para hacerlo efectivo.
Las tarjetas tendrán un plazo de caducidad de un año desde la fecha de la resolución de concesión, en el que podrán realizar los gastos subvencionables mediante el Bono Cultural Joven.
Cada Bono Cultural Joven tendrá el valor determinado en el artículo 8 del Real Decreto 191/2023 y su importe se irá reduciendo en función del valor de los gastos realizados, de acuerdo con los criterios y los límites establecidos en la normativa reguladora.
El uso de la aplicación y la descarga de la tarjeta prepago por la persona beneficiaria supondrá la aceptación de las condiciones de uso y de la política de privacidad, conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE/Reglamento general de protección de datos, y la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales, de la que será informado convenientemente.
A) Financiación del programa.
1. La entidad colaboradora recibirá los fondos correspondientes a las ayudas para la emisión de las tarjetas, mediante sucesivos pagos, una vez dictadas las correspondientes resoluciones de concesión de las ayudas, y por el importe de las mismas, sin que sea necesaria la constitución de garantía.
2. La entidad colaboradora seleccionada procederá a la apertura de una cuenta bancaria finalista destinataria de los fondos que permita su seguimiento, así como la verificación de las ayudas otorgadas. En ningún caso los fondos recibidos ni los intereses que, en su caso, produzcan se considerarán integrantes de su patrimonio.
3. La entidad colaboradora seleccionada no imputará costes adicionales por otros conceptos ni percibirá ninguna compensación económica adicional por la gestión de los gastos realizados por las personas beneficiarias con cargo a las tarjetas prepago, ni a las entidades adheridas al programa Bono Cultural Joven.
B) Compensación económica.
1. La ejecución del convenio se financiará con cargo a la aplicación presupuestaria 24.01.334A.482, con imputación a los ejercicios 2024, 2025, 2026 y 2027, y tendrá un importe total máximo de 5.600.000 euros. El importe total integra la totalidad de los costes de facilitación y gestión de todas las tarjetas prepago que resulten válidamente emitidas, así como los conceptos establecidos en el artículo 3 de la Orden por la que se convoca el procedimiento de concurrencia para la selección de una entidad colaboradora para la facilitación y gestión de los medios de pago del programa de ayudas Bono Cultural Joven.
2. El importe de la compensación económica se abonará, en la forma prevista en el artículo 3 de la Orden por la que se convoca el procedimiento de concurrencia para la selección de una entidad colaboradora para la facilitación y gestión de los medios de pago del programa de ayudas Bono Cultural Joven, en la cuenta de la entidad colaboradora que comunique a estos efectos, y de acuerdo a las siguientes anualidades:
– Anualidad 2024:
Gastos de implantación y desarrollo del sistema: 375.000 euros.
Emisión de tarjetas convocatoria BCJ 2024: 2.000.000 de euros.
Refuerzo servicio atención usuarios: 25.000 euros.
Total anualidad 2024: 2.400.000 euros.
– Anualidad 2025:
Emisión de tarjetas convocatorias BCJ 2024 y 2025: 2.500.000 euros.
Adaptaciones inicialmente no previstas BCJ 2024 y 2025: 50.000 euros.
Refuerzo servicio atención usuarios: 50.000 euros.
Total anualidad 2025: 2.600.000 euros.
– Anualidad 2026:
Emisión de tarjetas convocatoria BCJ 2025: 500.000 euros.
Adaptaciones inicialmente no previstas BCJ 2024 y 2025: 50.000 euros.
Refuerzo servicio atención usuarios: 25.000 euros.
Total anualidad 2026: 575.000 euros.
– Anualidad 2027:
Adaptaciones inicialmente no previstas BCJ 2025: 25.000 euros.
Total anualidad 2027: 25.000 euros.
Para el reparto de los distintos conceptos en las cuatro anualidades indicadas se ha partido de la experiencia previa en la gestión del programa del Bono Cultural Joven en las convocatorias 2022 y 2024, considerando que la mayoría de las tarjetas prepago serán emitidas dentro del ejercicio económico del año de la convocatoria de ayudas, trasladando al ejercicio siguiente una partida mínima correspondiente a posibles expedientes iniciados en la parte final de plazo, que requieran la aportación de documentación adicional u otras circunstancias que impidan la concesión dentro del ejercicio económico. Igualmente se ha previsto un refuerzo del servicio de atención al usuario coincidente con el periodo estimado de emisión de las tarjetas prepago y de ejecución de los gastos. Finalmente consta una partida relativa a adaptaciones inicialmente no previstas que puedan surgir durante la ejecución, en las tres últimas anualidades, excluyendo la primera en la que se realiza la implantación y desarrollo del sistema.
La propiedad intelectual del sistema que se implante para la ejecución de lo previsto en el presente convenio corresponderá a la entidad colaboradora.
En relación con el tratamiento y la protección de datos de carácter personal resultará de aplicación lo dispuesto en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, y en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos, en adelante, RGPD), especialmente, en lo que se refiere al tratamiento de datos. Adicionalmente se someterá a lo dispuesto en la presente cláusula y a las instrucciones establecidas en el anexo de este convenio de colaboración.
.................. realizará la función de encargado de tratamiento de los datos de carácter personal contenidos en los expedientes cuya gestión es objeto del convenio no considerándose comunicación de datos el acceso a los mismos, de acuerdo a lo establecido en el RGPD, en la Ley Orgánica 3/2018 y en sus normas de desarrollo.
La entidad colaboradora .............................. se compromete a:
a) Tratar los datos únicamente conforme a las instrucciones de la Subsecretaría de Cultura, en su condición de responsable del tratamiento, no aplicándolos o utilizándolos con fines distintos a los previstos en el presente convenio.
b) Garantizar la debida confidencialidad de las personas autorizadas para tratar datos personales contenidos en los expedientes cuya gestión es objeto del convenio.
c) Adoptar las medidas de índole técnica y organizativas apropiadas que garanticen un nivel de seguridad de los datos de carácter personal adecuado al riesgo, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.
d) En caso de recurrir a otro encargado del tratamiento, respetará las condiciones indicadas en los apartados 2 y 4 del artículo 28 del RGPD.
A estos efectos, el Ministerio de Cultura autoriza a .............................. a recurrir, como subencargado del tratamiento, a .............................. o a cualquiera que la sustituya previa conformidad del Ministerio de Cultura, en el desarrollo de las prestaciones que … tiene encomendadas para el cumplimiento del objeto de la colaboración, de conformidad con lo dispuesto en la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014, en lo que afecta a la subcontratación.
e) Asistirá a la Subsecretaría de Cultura, a través de las oportunas medidas técnicas y organizativas, siempre que sea posible, para que ésta pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados en relación con sus datos personales, para lo cual, cualquier solicitud en este sentido que reciba será puesta en conocimiento de la Subsecretaría de Cultura en el plazo de 72 horas.
f) Ayudará a la Subsecretaría de Cultura a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información a disposición de la entidad colaboradora financiera. En particular, si esta tuviera conocimiento de un incidente de seguridad, lo comunicarán a la Subsecretaría de Cultura en el plazo de 24 horas a través del correo electrónico que se determine a efectos del cumplimiento de las obligaciones de esta como responsable, con la asistencia que fuera necesaria en el ámbito de sus funciones; asimismo, asistirá a la Subsecretaría de Cultura, siempre que fuera posible en su obligación de efectuar una evaluación de impacto si se estimase necesario; por último, y aunque no está prevista la realización de transferencias internacionales de datos, si fueran necesarias se realizarán siguiendo los instrucciones de la Subsecretaría de Cultura.
g) Una vez cumplido el convenio, devolverá a la Subsecretaría de Cultura los datos de carácter personal, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto de tratamiento.
h) Pondrá a disposición de la Subsecretaría de Cultura toda la información necesaria para demostrar el cumplimiento de las anteriores obligaciones, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones por parte de la Subsecretaría de Cultura o de otro auditor autorizado por ella.
La entidad colaboradora financiera conservará debidamente bloqueados los datos en tanto pudieran derivarse responsabilidades de su relación con la Subsecretaría de Cultura.
Como responsable del tratamiento de los datos de carácter personal, son obligaciones de la Subsecretaría de Cultura:
a) Facilitar por escrito al encargado las instrucciones necesarias para el tratamiento de los datos personales, y específicamente en lo referente a las medidas técnicas y organizativas a aplicar y destrucción o devolución de los datos.
b) Dar respuesta al interesado respecto a sus solicitudes de ejercicio de los derechos de acceso, rectificación, supresión y portabilidad de los datos, de limitación y oposición a su tratamiento, así como a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado de sus datos, cuando procedan. Dichas solicitudes se ejercitarán a través de la sede electrónica del Ministerio de Cultura, presencialmente en las oficinas de registro o por correo postal. Igualmente el interesado podrá consultar cualquier duda al respecto a través de la dirección de correo electrónico: dpd@cultura.gob.es.
c) En su caso, notificar las violaciones de seguridad a la Autoridad de Control y al interesado.
d) Elaborar la evaluación de impacto cuando proceda.
e) Efectuar las consultas a la Autoridad de control, cuando proceda.
f) Cualquier otra recogida en la legislación en vigor y aplicable a los responsables de tratamiento de datos personales.
Se constituye una Comisión Técnica de Seguimiento que estará encargada de velar por la adecuada realización del objeto del convenio y estará compuesta por cinco miembros. Tres actuarán en representación de la Subsecretaría de Cultura, siendo uno de ellos el Jefe del Gabinete Técnico de la Subsecretaría. Por parte de la entidad colaboradora, integrarán la Comisión dos personas de la entidad colaboradora relacionadas con el contenido del presente convenio y que la misma determine.
A la citada Comisión, podrán incorporarse los asesores que cada una de las partes designe, si lo estima oportuno, entre su personal.
Podrán incorporarse igualmente representantes de las otras entidades colaboradoras cuando los asuntos que se traten sean de interés general del programa, sean necesarios para la eficaz coordinación o afecten al ámbito de las actividades que deban realizar en virtud de lo establecido en los respectivos instrumentos de colaboración.
La Comisión de Seguimiento tendrá las siguientes competencias:
a) Vigilar el correcto cumplimiento de lo establecido en el presente convenio.
b) Resolver los problemas de interpretación y cumplimiento que se deriven de la ejecución del convenio.
c) Evaluar y aprobar propuestas de mejora en la distribución y entrega de las ayudas, así como en la gestión de las autorizaciones, modificaciones y bajas de los Terminales de Puntos de Venta (TPV) y FUC de las entidades adheridas.
La Comisión se reunirá periódicamente para evaluar el progreso en la ejecución del convenio y a la finalización del mismo. Independientemente de este régimen de reuniones, la Subsecretaría de Cultura podrá instar las reuniones que estime necesario.
Las reuniones de la Comisión se podrán realizar tanto en modalidad presencial como no presencial, haciendo uso de medios electrónicos tales como audio/ videoconferencia o correo electrónico.
Sin perjuicio de las funciones de la comisión, la Subsecretaría de Cultura podrá llevar a cabo, de manera periódica, actuaciones de comprobación sobre la entrega y distribución de las ayudas por parte de la entidad colaboradora.
El presente convenio se perfeccionará con la firma del documento y resultará eficaz una vez inscrito, en el plazo de 5 días hábiles desde su formalización, en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación del sector público estatal, de conformidad con el artículo 48.8 de la Ley 40/2015, de 1 de octubre. Asimismo, será objeto de publicación en el «Boletín Oficial del Estado».
Tendrá una vigencia de 36 meses desde la fecha de la firma, pudiendo ser prorrogado por acuerdo expreso de ambas partes, que se adoptará con anterioridad a la finalización de la vigencia anteriormente indicada.
Las partes podrán resolverlo de mutuo acuerdo y por denuncia de cualquiera de las mismas cuando sobreviniesen causas que impidiesen o dificultasen en gran medida el cumplimiento del convenio. En este caso, la parte afectada lo comunicará a la otra con un mes de antelación como mínimo.
Cualquier modificación de este convenio deberá ser aprobada por las dos partes, por escrito, y los documentos resultantes se añadirán como adendas a este convenio.
El presente convenio de colaboración se suscribe al amparo de lo dispuesto en el artículo 16 de la Ley 38/2003, de 17 de noviembre, General de Subvenciones. Se regirá por sus propias cláusulas y, supletoriamente, por la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, y demás normas generales del Derecho Administrativo.
Cualquier conflicto que pudiera suscitarse sobre la interpretación o ejecución del presente convenio se resolverá por mutuo acuerdo de las partes y, en su defecto, serán aplicables las disposiciones de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa.
En prueba de conformidad ambas partes suscriben el presente convenio.
Por el Ministerio de Cultura | Por la entidad colaboradora |
[firmado electrónicamente] | [firmado electrónicamente] |
Director/a |
a) Categorización Esquema Nacional de Seguridad (ENS).
De conformidad con lo dispuesto en el artículo 38 del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS), el Ministerio de Cultura ha catalogado el servicio-sistema de la siguiente forma:
En virtud de la anterior categorización, son de aplicación las medidas de seguridad del anexo II del ENS.
b) Instrucciones iniciales de coordinación del responsable del tratamiento de los datos personales del bono cultural joven en relación con el artículo 28 del Reglamento UE 2016/679, del parlamento europeo y del consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos (RGPD) y los acuerdos previos convenidos con los encargados.
Descripción general del tratamiento de datos personales a efectuar.
El tratamiento consistirá en la facilitación y gestión de los medios de pagos de las ayudas del Bono Cultural Joven a las personas beneficiarias, incluyendo la gestión de la plataforma y aplicaciones informáticas para la puesta en marcha y ejecución del Bono Cultural Joven; emisión, administración y gestión de la prestación de las tarjetas prepago correspondientes a las convocatorias de ayudas del Bono Cultural Joven que se impulsen y desarrollen durante la vigencia del presente convenio, así como su distribución a las personas Beneficiarias; call center para la atención a las personas Beneficiarias sobre la facilitación y gestión de los medios de pago.
Igualmente, .............................. se encargará de gestionar la autorización de altas, modificaciones y bajas de los terminales de puntos de venta (TPV) y FUC de las entidades adheridas al programa, a los efectos de aceptar pagos de los medios de pago emitidos.
Colectivo y datos tratados.
1. Personas beneficiarias de las ayudas del Bono Cultural Joven.
Ciudadanos que cumplen 18 años en el año en que se publique cada convocatoria: Nombre y apellidos, documento de Identificación (DNI o NIE), fecha de nacimiento, sexo, nacionalidad, domicilio legal, número de teléfono, correo electrónico, identificador de tarjeta (cardholderID), fecha de alta y fecha de baja de la tarjeta; estado de la tarjeta (abierta, activa, bloqueada, etc.); tipo de tarjeta (física o virtual), movimientos de la tarjeta.
Representantes legales de los anteriores: nombre y apellidos, NIF o documento legal equivalente, número de teléfono y correo electrónico.
2. Entidades adheridas como personas físicas (autónomos) y representantes de personas jurídicas.
Nombre y apellidos del interesado/a, del representante legal o razón social de la persona jurídica que actúa como representante, cuando proceda, NIF de la entidad, documentación de identificación del representante, domicilio fiscal del interesado/a, domicilio a efectos de notificaciones, correo electrónico de entidad y representante, número de teléfono, fecha de adhesión y, en caso, renuncia al programa, epígrafe IAE de la actividad principal; otros epígrafes IAE de actividades secundarias; código CNAE de la actividad principal; otros códigos CNAE de actividades secundaria; datos de localización de la sede de la entidad (códigos oficiales –predefinidos y cerrados– de municipio, provincia y comunidad autónoma); tipo de entidad (Internet, gran superficie; especializado…), identificador del comercio dentro de la entidad (identificador univoco asignado al comercio, MerchanID); denominación comercio; identificador del TPV (Terminal ID); categoría del TPV (productos en soporte físico; contenido digital o en línea; y artes en vivo, patrimonio cultural y artes audiovisuales); fecha de alta y fecha de baja del TPV, datos de ubicación del comercio (códigos oficiales –predefinidos y cerrados– de municipio, provincia y comunidad autónoma), cuantía de la transacción comercial (de compra o devolución, mAmount1); identificador de la operación; código de producto, según las categorías previstas en el artículo 8 del Real Decreto 191/2023, de 21 de marzo:
– Artes en vivo, patrimonio cultural y artes audiovisuales: patrimonio cultural (museos; monumentos; bibliotecas; otros); escénicos o musicales (teatro; danza; zarzuela; ópera; circo; conciertos; otros); cine; espectáculos taurinos.
– Productos en soporte físico (libros; prensa o revistas; partituras; música; vídeos; videojuegos, otros).
– Contenido digital o en línea: suscripciones plataformas (libros; prensa; música, audiovisual; videojuegos); Soportes digitales (libros, música, vídeos, videojuegos, otros).
En el caso de las personas beneficiarias de la ayuda del Bono Cultural Joven, se evitará, en la medida de lo posible, el tratamiento de datos personales de categoría especial por parte del Responsable del Tratamiento. En el caso de que lo anterior no fuera posible, se aportarían nuevas instrucciones por parte del Responsable del Tratamiento con el fin de reforzar las garantías y mitigar cualquier riesgo para los derechos y libertades de las personas afectadas. La comunicación se realizaría, cuando proceda, conforme a lo dispuesto en el artículo 18.1.a) de la Ley 12/2009, de 30 de octubre, reguladora del derecho de asilo y de la protección subsidiaria o con la protección temporal definida en el Real Decreto 1325/2003, de 24 de octubre, por el que se aprueba el Reglamento sobre régimen de protección temporal en caso de afluencia masiva de personas desplazadas.
El encargado tratará los datos personales que sean estrictamente necesarios para cumplir con las obligaciones y actividades derivadas del encargo, en cumplimiento del principio de minimización definido en el RGPD y el artículo 15.4.b) del Real Decreto 191/2023, de 21 de marzo, siguiendo, en todo caso, las instrucciones ofrecidas por el Ministerio de Cultura y Deporte en calidad de Responsable del Tratamiento. En caso necesario, el Responsable del Tratamiento determinará los datos concretos que pueden tratar el Encargado del Tratamiento en las comunicaciones necesarias entre ellas para la ejecución del Bono Cultural Joven.
Medidas adicionales.
Las medidas de seguridad implantadas para el tratamiento podrán ser objeto de modificación, supresión y/o novación en aras a dar cumplimiento a las exigencias que impone el Reglamento General de Protección de Datos (RGPD) y resto de normativa vigente. A estos efectos, el Ministerio de Cultura notificará por escrito a ................... cualquier modificación, supresión y/o novación sobre las medidas de seguridad a implementar. Específicamente deberán seguirse las establecidas en el artículo 32.1 del RGPD, la disposición adicional primera en su punto 2 de la LOPDGDD, las que figuran en los instrumentos de colaboración de las entidades colaboradoras en la gestión del programa así como las siguientes medidas de seguridad tanto técnicas como organizativas y de cumplimiento adicionales, sin perjuicio de la existencia de otras medidas de seguridad complementarias para asegurar el cumplimiento legal en materia de protección de datos personales o Esquema Nacional de Seguridad (ENS), en el nivel que se ha determinado y contemplado en el presente anexo:
a) La conservación de los datos personales será un elemento de tratamiento de … y se hará en servidores locales con backups diarios siempre en servidores diferentes y aislados para garantizar la integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. En el caso de no poder gestionarse en servidores locales, los servidores estarán ubicados en la UE o en el Espacio Económico Europeo (EEE). La finalidad primordial es evitar el daño por ransomware y cualquier otro tipo de ataque de ciberseguridad.
b) No se realizarán transferencias internacionales de ningún tipo. En caso de servicios de computación en la nube y subcontratación por parte del encargado, se exigirá que pongan en conocimiento del responsable transferencias internacionales de datos y, en caso afirmativo, con qué garantías en cumplimiento del capítulo V del RGPD.
c) Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga: la información recogida en el artículo 30.2 del RGPD incluidas las transferencias de datos personales a un tercer país u organización internacional (en su caso), junto con la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas.
d) Si fuera necesario por la propia evolución de las necesidades de actualización de los sistemas de información utilizados por el Encargado del Tratamiento para dar el servicio del Bono, se comunicará cualquier cambio que se produzca, a lo largo del ciclo de vida de los datos, en los apartados anteriores y no se ejecutará dicho cambio hasta el visto bueno del Responsable del Tratamiento.
e) Si un encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones de interés público.
f) Solo podrán tener acceso a los datos personales aquellas personas autorizadas y únicamente para aquellos datos precisos para la ejecución del programa Bono Cultural Joven y para el fin específico que se requiera. Se deberá tener un control de las personas que tengan acceso en cada actuación del Encargado, y será evidenciable, debiendo contar con el correspondiente compromiso de confidencialidad.
g) Llevar un listado de personas autorizadas en el apartado anterior para tratar los Datos Personales objeto del tratamiento y garantizar que las mismas se comprometen a respetar la confidencialidad, y a cumplir con las medidas de seguridad correspondientes, de las que les debe informar convenientemente. Igualmente mantener a disposición del Responsable del Tratamiento dicha documentación acreditativa. Dicha documentación acreditativa no comportará en ningún caso una comunicación de datos personales de las personas autorizadas.
h) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del Responsable del Tratamiento, en los supuestos legalmente admitidos.
i) Llevar, por escrito, un registro de todos los incidentes de seguridad de la información tanto que se deban aportar o no al CCN-CERT.
j) Para la realización del servicio, se requieren las siguientes comunicaciones internas de datos entre los Encargados del Tratamiento del Ministerio de Cultura:
– ..............................
– .............................., como entidad encargada de facilitar los medios de pago de las tarjetas prepago y de gestión de altas, modificaciones y bajas de TPVs de las entidades adheridas, recibe de forma segura a través de la plataforma informática mediante APIs, los datos personales necesarios de las personas beneficiarias del Bono Cultural Joven y de las entidades adheridas al programa.
k) En caso de duda en el acceso a los datos por personal autorizado o en el flujo de estos, se consultará al responsable la manera de proceder y siempre de manera que se respete la confidencialidad y la seguridad de la información.
l) El Encargado del Tratamiento siempre colaborará tanto en el cumplimiento de las obligaciones del responsable como en su demostración.
m) En el ámbito de actuación del encargado, se atenderán las siguientes indicaciones:
– No se permitirá el uso para fines particulares de aquellos ordenadores y dispositivos destinados al tratamiento de los datos personales.
– Cuando el mismo ordenador o dispositivo se utilice para el tratamiento de datos personales y fines de uso personal, se recomienda disponer de varios perfiles o usuarios distintos para cada una de las finalidades. Deben mantenerse separados los usos profesional y personal del ordenador o dispositivo.
– Si, en el procedimiento de tratamiento o acceso a los datos a través de un equipo de los Encargados del Tratamiento, se realice mediante acceso remoto, se debe disponer de las medidas de seguridad adecuadas contando, al menos, de una VPN y doble factor de autenticación, 2FA, o medidas de seguridad equivalentes y que cumplan con el nivel requerido del ENS para en el nivel que corresponda.
– Se recomienda disponer de perfiles con derechos de administración para la instalación y configuración del sistema y usuarios sin privilegios o derechos de administración para el acceso a los datos personales. Esta medida evitará que, en caso de ataque de ciberseguridad, puedan obtenerse privilegios de acceso o modificar el sistema operativo.
– Se garantizará la existencia de contraseñas (o mecanismos equivalentes) para el acceso a los datos personales almacenados en sistemas electrónicos. La contraseña tendrá, al menos, 16 caracteres, mezcla de números y letras, y se renovarán periódicamente (al menos de forma trimestral).
– Cuando a los datos personales accedan distintas personas, para cada persona con acceso a los datos personales, se dispondrá de un usuario y contraseña específicos (identificación inequívoca).
– Se garantizará la confidencialidad de las contraseñas, evitando que queden expuestas a terceros. En ningún caso se compartirán las contraseñas ni se dejarán anotadas en lugar común y el acceso de personas distintas del usuario.
– Actualización de ordenadores y dispositivos. Los dispositivos y ordenadores utilizados para el almacenamiento y el tratamiento de los datos personales deberán mantenerse actualizados en la media posible.
– En los ordenadores y dispositivos donde se realice el tratamiento de los datos personales, se dispondrá de un sistema de antivirus que garantice en la medida posible el robo y destrucción de la información y datos personales. El sistema de antivirus deberá ser actualizado de forma periódica.
– Para evitar accesos remotos indebidos a los datos personales, se velará para garantizar la existencia de un cortafuegos activado en aquellos sistemas en los que se realice el almacenamiento y/o tratamiento de datos personales.
– Cuando se precise realizar la extracción de datos personales fuera del recinto donde se realiza su tratamiento, ya sea por medios físicos o por medios electrónicos, se deberá valorar la posibilidad de utilizar un método de cifrado para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información.
– En la parte del flujo de trabajo de cada Encargado del Tratamiento y como refuerzo al apartado a), periódicamente se realizará una copia de seguridad en un segundo soporte distinto del que se utiliza para el trabajo diario. La copia se almacenará en lugar seguro, distinto de aquél en que esté ubicado el equipo con los ficheros originales, con el fin de permitir la recuperación de los datos personales en caso de pérdida de la información. La copia de seguridad debe estar encriptada.
– Se deberá evitar el acceso de personas no autorizadas a los datos personales, a tal fin se evitará: dejar los datos personales expuestos a terceros (pantallas electrónicas desatendidas, documentos en papel en zonas de acceso público, soportes con datos personales, etc.), esta consideración incluye las pantallas que se utilicen para la visualización de imágenes del sistema de videovigilancia, si lo hubiera. Cuando la persona se ausente del puesto de trabajo, procederá al bloqueo de la pantalla o al cierre de la sesión.
– Los documentos en papel y soportes electrónicos se almacenarán en lugar seguro (armarios o estancias de acceso restringido) durante las 24 horas del día, y serán custodiados cuando, con motivo de su tramitación, se encuentren fuera de los dispositivos o salas de archivo.
– No se desecharán documentos (papel) o soportes electrónicos (cd, pen drives, discos duros, etc.) con datos personales sin garantizar su destrucción, de forma que la información no sea recuperable.
Elementos del tratamiento.
El tratamiento de los datos personales comprenderá: registro (grabación), estructuración, modificación, consulta, interconexión (cruce), cotejo, supresión, destrucción (de copias temporales), conservación (en sus sistemas de información), copia de seguridad y recuperación.
Disposición de los datos al finalizar la colaboración.
a) Una vez finalice la vigencia del convenio, el encargado (y sus subencargados implícitamente) deben: devolver al responsable del tratamiento los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.
No obstante, y previa notificación por escrito del Responsable del Tratamiento a la finalización del encargo, el Responsable del Tratamiento podrá requerir al encargado para que, en vez de la opción a), cumpla con la b) o c) siguientes:
b) Devolver al encargado que designe por escrito el responsable del tratamiento, los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida prestación. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.
c) Destruir los datos, una vez cumplida la prestación. Una vez destruidos, el encargado debe certificar su destrucción por escrito y previa petición, debe entregar el certificado al responsable del tratamiento. No obstante, el encargado puede conservar una copia, con los datos debidamente boqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.
Medidas de seguridad.
Los datos deben protegerse para evitar que dichos datos pierdan su razonable confidencialidad, integridad y disponibilidad y de acuerdo con la catalogación del riesgo según el anexo I del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad y la evaluación de riesgos realizada. Se deben implantar, al menos, las siguientes salvaguardas:
1. Privacidad desde el diseño y por defecto.
Tipo | Descripción | Salvaguardas |
---|---|---|
Ocultación o pseudonimización (RGPD). | Los datos a comunicar se deben ofuscar. | Si aparece información del entorno de producción, se disociarán los datos identificativos. |
Borrado de información. | Se deben establecer criterios concretos para eliminar los datos. | Se deben definir criterios generales de borrado, conforme a los plazos legales de conservación. |
Seguridad en los requisitos, análisis y diseño de aplicaciones informáticas. | El modelo de datos debe incluir el mínimo número de datos, la exposición de los datos debe predefinirse teniendo en cuenta los requisitos de seguridad. |
Análisis de PbDD. Debe existir una lista de requisitos de seguridad. Un informe debe relacionar los requisitos de seguridad con las medidas de análisis implantadas, y detectar mejoras. |
Seguridad en la puesta en producción de aplicaciones informáticas. | Se debe garantizar que las aplicaciones informáticas tienen controles de seguridad adecuados. |
Evaluar que la aplicación tiene control de accesos. Controlar que las aplicaciones no sean vulnerables al top 10 de OWASP. |
Cancelación periódica / Expurgo. | El modelo de datos debe incluir el mínimo número de datos, la exposición de los datos debe predefinirse teniendo en cuenta los requisitos de seguridad. |
Definir y aplicar criterios generales de conservación de la información. Definir procedimientos de expurgo de la información aprobados, y conocidos, por la Organización. Auditar anualmente los procedimientos de cancelación periódica y expurgo. Valorar la contratación de un proveedor certificado en procedimientos de destrucción segura de información. |
Finalidades debidas y no excesivas. | Las finalidades deben ser debidas y no excesivas. | Definir finalidades específicas. |
Políticas de control de accesos. | Restringir el acceso a los datos bajo el principio de necesidad de conocimiento. | Implementar controles de acceso a la información. |
Técnicas de ofuscación o disociación. | Los datos deben ser ininteligibles mediante cifrado, u optar por eliminar la vinculación entre conjuntos de datos independientes. | Se debe eliminar la vinculación entre diferentes conjuntos de datos, manteniéndolos independientes. |
Técnicas de agregación. | Agrupar la información relativa a varios sujetos usando técnicas de generalización y supresión. | Se debe agrupar la información relativa a varios sujetos, no utilizando los datos del sujeto específico. |
Tratar sólo las muestras de sujetos relevantes para la finalidad. | Elegir sólo la muestra de sujetos relevante y los atributos necesarios para el tratamiento; u optar por excluir previamente los sujetos y atributos irrelevantes para el tratamiento realizado. | Revisar los datos necesarios para el tratamiento y almacenamiento. |
Técnicas de eliminación de los datos. | Eliminar parcialmente los datos cuando dejen de ser necesarios o suprimirlos por completo cuando dejen de ser relevantes, asegurándose de que no sean recuperables. | Si aparece información del entorno de producción, se deben disociar los datos identificativos. |
Técnicas de sumarización de los datos. | Generalizar los valores de los atributos utilizando intervalos o rangos de valores, en lugar de un valor concreto. | Se deben utilizar rangos de valores simples. |
Técnicas de agrupación de los datos. | Agregar la información de un grupo de registros en categorías, en lugar de utilizar información detallada de cada sujeto. | Aplicar una agregación en el tiempo. |
Técnicas de perturbación de los datos. | Perturbar: utilizar valores aproximados o modificar el dato real mediante el empleo de algún tipo de ruido aleatorio en lugar de trabajar con el valor exacto del dato. | Aplicar técnicas de ofuscación simples. |
Separación de los datos. | Recoger y almacenar los datos en distintas BBDD o apps independientes lógica y físicamente, adoptando medidas adicionales de desvinculación como el borrado programado de tablas de indexación. | Compartimentar el acceso a los datos. |
Distribuir los datos. | Diseminar la recogida y tratamiento de los subconjuntos de datos correspondientes a diferentes tratamientos sobre unidades de tramitación y gestión que sean físicamente independientes y utilicen sistemas y apps diferentes. | La recogida de los datos se debe realizar por departamentos diferentes de quienes van a realizar el tratamiento. |
Recogida del consentimiento del titular de los datos (apps móvil). | Recoger el consentimiento de los titulares de forma inequívoca, mediante manifestación o clara acción afirmativa. Debe ser revocable. | Buscar bases de legitimación alternativas al consentimiento. |
Alertar al interesado (apps móvil). | Se debe informar al interesado del momento en que se está realizando una recogida de datos, aun cuando ya haya sido informado de forma genérica de la base legal que justifica el tratamiento, o haya prestado consentimiento. | El consentimiento debe ser informado. |
Elección por el interesado de la forma de tratamiento (apps móvil). | Proporcionar la funcionalidad granulada de apps y servicios, sin supeditarla al consentimiento del tratamiento de datos innecesarios para su ejecución. | El consentimiento debe ser específico. |
Mecanismos de actualización de los datos (apps móvil). | Implementar mecanismos que faciliten a los usuarios o incluso les permita revisar, actualizar y rectificar directamente los datos para los que se haya facilitado un tratamiento concreto. | La Organización debe contar con procedimientos para gestionar las solicitudes de actualización de información en las tarjetas virtuales. |
Mecanismos de supresión de los datos. | Proporcionar mecanismos para que los usuarios puedan suprimir o solicitar el borrado de los datos personales que hayan facilitado a un responsable. | Contar con Procedimientos de Gestión de Derechos. |
Política de Protección de Datos. | Especificar una política de protección de datos que refleje las cláusulas de privacidad comunicadas a los interesados. Desarrollar procesos de formación y concienciación. | Contar con Procedimientos sobre gestión de obligaciones del RGPD. |
Medidas técnicas y organizativas que ejecuten la Política. | Dar soporte a la política definida mediante el establecimiento y revisión de mecanismos y procedimientos de cumplimiento efectivo e implantación de medidas técnicas y organizativas necesarias. | Realizar análisis de riesgos en seguridad de la información. |
Garantizar el cumplimiento de la Política de Privacidad. | Asegurar el cumplimiento, eficacia y eficiencia de la política de privacidad y de los procedimientos, medidas y controles implantados. | Debe existir un Responsable de Seguridad, o rol similar, en cada entidad y un delegado de protección de datos. |
Auditoría. | Revisar de forma sistemática, independiente y documentada el grado de cumplimiento de la política de protección de datos. |
Realizar una autoevaluación periódicamente y una auditoría interna en caso de evaluación negativa. El responsable dispondrá de todas las facilidades en caso de proceder a una auditoría con tanto siempre con una persona de suficiente rango en al entidad que sirva de contacto y para el correcto desarrollo de la misma. |
Registro de decisiones y cambios. | Documentar todas y cada una de las decisiones tomadas en el tiempo, aun cuando hayan resultado contradictorias, identificando quién las tomó, cuándo y justificación para hacerlo. | Los documentos deben contener registros de cambios. |
Notificar eventos de seguridad. | Documentar los resultados de las auditorías realizadas y cualquier incidente que se produzca en operaciones de tratamiento de datos, y ponerlo a disposición de la autoridad. | Informar al Responsable a la mayor brevedad posible de los incidentes de seguridad, antes de 24 horas desde su descubrimiento. |
Informar a los interesados (1). | Suministrar a los interesados la información exigida por el RGPD de forma concisa, transparente, inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo. | Las cláusulas de información deben ser actualizadas al RGPD. |
Informar a los interesados (2). | Informar sobre el tratamiento a los interesados, cuando los datos no se recaben directamente de ellos, en el momento en que sean obtenidos y a más tardar en el plazo de un mes. | Informar a los interesados cuyos datos no se recabaron directamente de ellos. |
2. Seguridad informática.
Tipo | Descripción | Salvaguardas |
---|---|---|
Protección de las instalaciones e infraestructuras (ENS). | RD 311/2022, anexo II. Las instalaciones e infraestructuras deben tener medidas de seguridad física. | Implementar controles de acceso físico a edificios y sistemas contra incendios. |
Protección frente a código dañino (ENS). | RD 311/2022, anexo II., op.exp. Deben existir sistemas antimalware. | Instalar software antimalware en equipos personales. |
Aislamiento de datos en entornos productivos (ENS). | Los datos fuera del entorno de producción no deben ser reales, o bien estar convenientemente protegidos. | El entorno de producción debe estar aislado del resto de entornos. |
Cifrado de información almacenada (ENS). | RGPD. Debe guardarse cifrada la información almacenada en bases de dato o ficheros informáticos. | Se deben cifrar los datos más sensibles (domicilio, etc.). |
Caracterización del puesto de trabajo (ENS). | RD 311/2022, anexo II. mp.per.1. El puesto de trabajo debe estar definido con requisitos de seguridad establecidos. | Se deben clasificar los puestos de trabajo en función del volumen y la sensibilidad de la información a la que pueden acceder. |
Configuración de seguridad (ENS). | RD 311/2022, anexo II. (op.exp.2 ENS). Los sistemas informáticos en producción deben estar configurados para soportar ataques o malas manipulaciones. |
Se deben analizar las vulnerabilidades de los equipos en producción. Se deben deshabilitar los servicios no usados. |
Protección telecomunicaciones. | Los datos se deben transmitir cifrados. | Se deben cifrar las comunicaciones. |
Protección de ficheros temporales. | Los ficheros temporales se deben proteger igual que los datos maestros. | Se debe elaborar un inventario de ficheros temporales. |
Medidas de protección de la documentación. | Medidas de protección de la documentación. | La información en papel se debe guardar en espacios con control de acceso. |
Identificación y autenticación. | Se debe controlar que un usuario es quien dice ser (RD 311/2022, anexo II). | Se debe utilizar Usuario y Contraseña y doble factor de autenticación (2FA). |
3. Sobre el concepto de proceso.
Tipo | Descripción | Salvaguardas |
---|---|---|
Gestión y distribución de soportes (ENS) (1). | (mp.si.2 ENS, criptografía para dispositivos removibles). Los soportes se deben proteger en su almacenamiento y distribución. | Inventariar los soportes y enviar cifrados. |
Procedimiento de autorización (ENS). | RD 311/2022, anexo II. Org.4. Control de que un usuario sólo accede a los servicios que tenga autorizados. | Debe existir un procedimiento formal de autorización. |
Segregación de funciones y tareas (ENS). | RD 311/2022, anexo II: (op.acc.3 ENS), las funciones están separadas. | Los trabajadores que acceden al entorno de producción no deben ser los mismos que acceden al entorno de desarrollo. |
Notificación violaciones seguridad (ENS). | (ART.33 y 34 RGPD) Se deben gestionar, registrar y notificar las incidencias/violaciones de seguridad. | Se deben notificar las violaciones graves de seguridad a la autoridad de control, al CCN y a los titulares de los datos lo más pronto posible y siempre antes de las 72 horas. |
Formación. | Se debe impartir formación. | Sin requisitos especiales. |
Asesoramiento experto. | Se debe contar con asesoramiento experto. |
Se debe implantar una web con contenidos de preguntas frecuentes. El DPD del encargado debe hacer un asesoramiento personalizado. |
Cláusulas informativas. | Se debe contar con cláusulas informativas. | Deben existir cláusulas publicadas con el nombre del tratamiento, su responsable y el resto de información que exige el RGPD. |
Legitimación de transferencias internacionales y cesiones de datos. | Se deben legitimar las transferencias internacionales y comunicaciones de datos. | Las transferencias internacionales se deben declarar en los datos de registro del tratamiento. |
Pruebas con datos reales. | Los datos fuera del entorno de producción no deben ser reales o bien deben estar convenientemente protegidos. | Se debe disociar el nombre, apellidos y DNI antes de cargar datos de prueba a partir de datos de producción. |
Actualización periódica de la información. | Se debe garantizar la actualización periódica de la información. | Sin requisitos especiales. |
Autorización de subcontrataciones. | Autorización de subcontrataciones. | (Si hay subcontrataciones) El encargado de tratamiento debe solicitar por escrito al responsable del tratamiento la autorización de las subcontrataciones. |
4. Rendición de cuentas (ayuda al responsable del tratamiento).
Tipo | Descripción | Salvaguardas |
---|---|---|
Auditorias de cumplimiento. | (RD 311/2022 y artículo 96) Se deben realizar auditorías de seguridad. |
Realizar una auditoría anual de cumplimiento RGPD. Puede hacerla cada encargado internamente sin perjuicio de que el Responsable encargue una a su vez. |
Trazabilidad / Registro de Accesos (ENS). | Registrar y analizar los accesos al sistema de información y a las bases de datos. | Registrar los accesos a los datos de lectura y actualización. |
Revisión de la privacidad desde el diseño y por defecto. | Comprobar periódicamente que las medidas de privacidad están operativas. | Realizar una revisión en la puesta en marcha del tratamiento. |
Cumplimiento deber de secreto. | Se debe cumplir el deber de secreto. | Cada trabajador que accede a los datos debe firmar un contrato de confidencialidad. |
Contratos de encargo y cumplimiento de las obligaciones por el prestador. | Los contratos de encargo deben cumplir con los requisitos legales, y debe garantizarse el cumplimiento de las obligaciones por el prestador. | Se debe solicitar un compromiso escrito (declaración responsable) a los encargados de tratamiento de que cumplen con las medidas de seguridad impuestas por el responsable del tratamiento. |
La entidad colaboradora no podrá no implementar o suprimir estas salvaguardas mediante el empleo de un análisis de riesgo o evaluación de impacto propia salvo aprobación expresa de la Subsecretaría de Cultura.
A estos efectos, el personal del encargado del tratamiento debe seguir las medidas de seguridad establecidas, no pudiendo efectuar tratamientos distintos de los definidos por la Subsecretaría de Cultura.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid