Está Vd. en

Documento BOE-A-2024-13752

Resolución de 29 de junio de 2024, de la Subsecretaría, por la que se publica el Convenio entre la Mutualidad General de Funcionarios Civiles del Estado, el Instituto Social de las Fuerzas Armadas, la Mutualidad General Judicial y la Junta de Andalucía, para la gestión, a través del sistema de receta electrónica del Servicio Andaluz de Salud, de la prestación farmacéutica ambulatoria dispensada en oficina de farmacia del colectivo mutualista adscrito al mismo.

Publicado en:
«BOE» núm. 162, de 5 de julio de 2024, páginas 83587 a 83597 (11 págs.)
Sección:
III. Otras disposiciones
Departamento:
Ministerio de la Presidencia, Justicia y Relaciones con las Cortes
Referencia:
BOE-A-2024-13752

TEXTO ORIGINAL

La Directora General de la Mutualidad General de Funcionarios Civiles del Estado, el Secretario General Gerente del Instituto Social de las Fuerzas Armadas, la Gerente de la Mutualidad General Judicial y la Directora Gerente del Servicio Andaluz de Salud, han suscrito un convenio para la gestión a través del sistema de receta electrónica del Servicio Andaluz de Salud de la prestación farmacéutica ambulatoria dispensada en oficina de farmacia del colectivo mutualista adscrito al mismo.

Para general conocimiento, y en cumplimiento de lo establecido en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, dispongo la publicación en el «Boletín Oficial del Estado» del referido convenio como anejo a la presente resolución.

Madrid, 29 de junio de 2024.–El Subsecretario de la Presidencia, Justicia y Relaciones con las Cortes, Alberto Herrera Rodríguez.

ANEJO
Convenio entre la Mutualidad General de Funcionarios Civiles del Estado, el Instituto Social de las Fuerzas Armadas, la Mutualidad General Judicial y el Servicio Andaluz de Salud de la Consejería de Salud y Consumo de la Junta de Andalucía, para la gestión a través del sistema de receta electrónica del Servicio Andaluz de Salud de la prestación farmacéutica ambulatoria dispensada en oficina de farmacia del colectivo mutualista adscrito al mismo

28 de mayo de 2024.

REUNIDOS

De una parte, doña Myriam Pallarés Cortón, Directora General de la Mutualidad General de Funcionarios Civiles del Estado (MUFACE), nombrada por Real Decreto 190/2020, de 29 de enero, en virtud de las facultades que le confiere el artículo 48.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, y actuando en nombre y representación de MUFACE, en uso de las facultades que le confiere el artículo 11.2.k) del Real Decreto 577/1997, de 18 de abril, por el que se establece la estructura de los órganos de gobierno, administración y representación de MUFACE.

Don José Javier Rodrigo de Azpiazu, Secretario General Gerente del Instituto Social de las Fuerzas Armadas (ISFAS), nombrado por Resolución 430/38216/2022, de 31 de mayo, en virtud de las facultades que le confiere el artículo 48.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, y actuando en nombre y representación de ISFAS, en uso de las facultades que le confiere el artículo 18 del Reglamento General de la Seguridad Social de las Fuerzas Armadas, aprobado por Real Decreto 1726/2007, de 21 de diciembre.

Y doña Juana María Gómez Valle, Gerente de la Mutualidad General Judicial (MUGEJU), nombrada por Acuerdo de la Directora General de Servicios, por delegación del Secretario de Estado de Justicia, de fecha 5 de febrero de 2024, en virtud de las facultades que le confiere el artículo 48.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público y actuando en nombre y representación de MUGEJU, en uso de las facultades que le confiere el artículo 12 del Real Decreto 96/2019, de 1 de marzo, de reordenación y actualización de la estructura orgánica de la Mutualidad General Judicial.

De otra, doña Valle García Sánchez, en calidad de Directora Gerente del Servicio Andaluz de Salud, nombrada por el Decreto 293/2023, de 27 de diciembre (BOJA Extraordinario núm. 27, de 27 de diciembre de 2023), cuya representación ostenta de conformidad con el artículo 69 de la Ley 2/1998, de 15 de junio, de Salud de Andalucía, y en ejercicio de las funciones que le atribuye el artículo 12.1.a) y g) del Decreto 156/2022, de 9 de agosto, por el que se establece la estructura orgánica de la Consejería de Salud y Consumo.

Reconociéndose las partes plena capacidad jurídica de actuar en la representación legal que ostentan para suscribir el presente convenio y, a tal fin,

EXPONEN

Primero.

La Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud, consagra el derecho a la asistencia sanitaria y establece en su disposición adicional cuarta que la Mutualidad General de Funcionarios Civiles del Estado (MUFACE), el Instituto Social de las Fuerzas Armadas (ISFAS) y la Mutualidad General Judicial (MUGEJU), como integrantes del Sistema Nacional de Salud, en su calidad de entidades gestoras de los Regímenes Especiales de la Seguridad Social de los Funcionarios Civiles del Estado, de las Fuerzas Armadas y del personal al servicio de la Administración de Justicia, respectivamente, tendrán que garantizar el contenido de la cartera de servicios del Sistema Nacional de Salud, así como las garantías sobre accesibilidad, movilidad, calidad, seguridad, información y tiempo recogidas en esta ley, de acuerdo con lo dispuesto en su normativa específica.

Segundo.

MUFACE, ISFAS y MUGEJU prestan a sus mutualistas y beneficiarios, entre otros servicios, la asistencia sanitaria, conforme a lo establecido en sus leyes reguladoras aprobadas por los Reales Decretos Legislativos 4/2000, de 23 de junio, 1/2000, de 9 de junio, y 3/2000, de 23 de junio, facilitando asistencia sanitaria a sus mutualistas y beneficiarios a través de Conciertos con Entidades, tanto privadas como públicas. Este sistema permite a los mutualistas optar entre la Red Sanitaria Pública, recibiendo la atención por los Servicios de Salud de las comunidades autónomas o con diversas entidades privadas.

Tercero.

La prestación de asistencia sanitaria comprende los servicios médicos, quirúrgicos y farmacéuticos conducentes a conservar o restablecer la salud de los titulares y beneficiarios de estos regímenes especiales.

Por lo que respecta a la prestación farmacéutica, esta consiste en la dispensación a los beneficiarios de asistencia sanitaria, a través de los procedimientos establecidos, reglamentariamente, de los medicamentos, fórmulas magistrales, efectos y accesorios farmacéuticos y otros productos sanitarios, reconocidos por la legislación vigente, y con la extensión determinada para el Sistema Nacional de Salud.

Los facultativos que tengan a su cargo la asistencia sanitaria podrán prescribir, de acuerdo con las instrucciones que al efecto establezcan las Mutualidades, los medicamentos, fórmulas magistrales, efectos y accesorios farmacéuticos y otros productos sanitarios reconocidos por la legislación sanitaria vigente que sean convenientes para la recuperación de la salud de sus pacientes.

La dispensación de los medicamentos y productos sanitarios incluidos en la prestación farmacéutica a través de receta médica se efectuará, en todo caso, con cargo a las Mutualidades, con la aportación económica de los propios beneficiarios que, en su caso, corresponda.

Cuarto.

La Consejería de Salud y Consumo, a través del Servicio Andaluz de Salud, presta la asistencia sanitaria a los titulares de MUFACE, ISFAS y MUGEJU, y sus beneficiarios que, en el ámbito geográfico de la Comunidad Autónoma de Andalucía, hayan elegido al Servicio Andaluz de Salud para recibir la prestación de asistencia sanitaria.

Quinto.

En el marco de la búsqueda de la mejora de la prestación de la asistencia sanitaria, la receta electrónica se configura como un elemento clave para este objetivo.

En este sentido, con la receta electrónica se mejora la calidad asistencial, la calidad de la información sobre la historia farmacoterapéutica de los pacientes y la seguridad en el uso de los medicamentos facilitando el seguimiento farmacoterapéutico y la accesibilidad del paciente al reducir los desplazamientos y trámites relacionados con los tratamientos crónicos.

A todo ello hay que añadir que se potencia la atención farmacéutica, consiguiendo una gestión eficiente de los recursos farmacoterapéuticos mediante la racionalización y la informatización de la prescripción y dispensación de los medicamentos.

MUFACE, ISFAS y MUGEJU dentro de sus acciones de mejora constante de la prestación de asistencia sanitaria en su conjunto, tienen entre sus objetivos la implantación gradual de un sistema de receta electrónica destinado a todo su colectivo protegido, tanto de aquellos que reciben la prestación de asistencia sanitaria a través del Sistema Sanitario Público como con entidades de Seguro de Asistencia Sanitaria.

El Servicio Andaluz de Salud, dispone de un Sistema de Información de Receta Electrónica, plenamente implantado en el ámbito del Sistema Sanitario Público de Andalucía, que aporta a sus titulares y beneficiarios todas las ventajas antes mencionadas.

Sexto.

El 19 de junio de 2019 se suscribió un convenio entre MUFACE, ISFAS, MUGEJU y el Servicio Andaluz de Salud de la Consejería de Salud y Familias de la Junta de Andalucía para la integración del colectivo de sus titulares y beneficiarios en el Sistema de Receta Electrónica del Servicio Andaluz de Salud, finalizando su vigencia el 18 de agosto de 2023. Durante el tiempo que ha durado vigente este convenio, se ha producido la integración del colectivo de titulares y beneficiarios de las tres mutualidades que habían optado por recibir la asistencia sanitaria a través del Sistema Sanitario Público de Andalucía en el sistema de receta electrónica del Servicio Andaluz de Salud.

En el marco de colaboración mutua que debe presidir las relaciones entre las Administraciones Públicas, conforme al principio establecido en el artículo 140 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, los representantes de las partes consideran que sería muy beneficioso para el cumplimiento de sus respectivos fines suscribir un nuevo convenio con el fin de continuar la gestión de la prestación farmacéutica ambulatoria del colectivo de MUFACE, ISFAS y MUGEJU en el Sistema de información de receta electrónica del Sistema Andaluz de Salud.

Por todo ello, dada esta convergencia de intereses y con la finalidad de concretar los compromisos de las dos partes, se acuerda suscribir el presente convenio que se regirá por las siguientes

CLÁUSULAS

Primera. Objeto del convenio y ámbito de aplicación.

El presente convenio tiene por objeto formalizar la colaboración entre el Servicio Andaluz de Salud (en adelante SAS), y las mutualidades MUFACE, ISFAS y MUGEJU (en adelante mutualidades) para la gestión de la prestación farmacéutica ambulatoria dispensada en oficina de farmacia a los titulares y beneficiarios que hayan elegido al Servicio Andaluz de Salud para recibir la prestación de asistencia sanitaria, a través del Sistema de Información de Receta Electrónica del Servicio Andaluz de Salud.

Segunda. Compromisos que asumen las partes.

1. El Servicio Andaluz de Salud garantizará que la prescripción de medicamentos y productos sanitarios, incluidos en la prestación farmacéutica ambulatoria a través de receta médica del Sistema Nacional de Salud, al colectivo mutualista que hayan elegido al Servicio Andaluz de Salud para recibir la prestación de asistencia sanitaria, se realice a través del Sistema de Información de Receta Electrónica del Servicio Andaluz de Salud en igualdad de condiciones que al resto de usuarios, incluido el visado de Inspección. En el caso de prescripciones en recetas en soporte papel, el visado se realzará por los servicios correspondientes de la mutualidad.

2. MUFACE, ISFAS y MUGEJU asumen la aplicación de los mismos criterios de indicación, prescripción y visado que los aplicados al resto de usuarios a través del Sistema de Información de Receta Electrónica del SAS, siendo el SAS el obligado a la vigilancia del cumplimiento de los requisitos establecidos en cada uno de los módulos mencionados, así como del cumplimiento de las reglas que se establecen en esta aplicación de receta electrónica para la dispensación de los medicamentos y productos sanitarios en las oficinas de farmacia.

3. MUFACE, ISFAS y MUGEJU adoptarán los acuerdos correspondientes con los representantes de las oficinas de farmacia a efectos de la facturación de las recetas emitidas a su respectivo colectivo a través del Sistema de Información de Receta Electrónica del SAS.

4. El SAS, por su parte, remitirá a cada Mutualidad los datos de las recetas emitidas a su respectivo colectivo a través del Sistema de Información de Receta Electrónica del Servicio Andaluz de Salud. Para ello aportará mensualmente a cada Mutualidad un fichero con las dispensaciones electrónicas realizadas a los pacientes mutualistas públicos adscritos a cada una de las mutualidades, según las especificaciones técnicas y formato de los ficheros (uno para cada mutualidad), así como la descripción de los datos y el procedimiento de envío seguro, según anexo I.

Tercera. Seguimiento y evaluación del convenio.

1. Con el fin de coordinar las actividades necesarias para la ejecución del presente convenio, así como para llevar a cabo su supervisión, seguimiento y control, se creará una Comisión Mixta de Coordinación y Seguimiento compuesta por tres representantes del SAS, nombrados por la persona titular de la Dirección Gerencia y otros tres de las Mutualidades, nombrados por sus responsables. La Presidencia de la comisión mixta será anual y rotatoria entre las partes firmantes del presente convenio, correspondiendo el primer año al SAS. La alternancia de la Presidencia por parte de las Mutualidades se realizará por el orden en que aparecen mencionadas en el título del convenio.

2. En calidad de asesores, con derecho a voz pero sin voto, podrán incorporarse otras personas que se considere necesario.

3. En cuanto a su funcionamiento, esta comisión se regirá por las disposiciones del convenio y por las normas establecidas en la sección 3.ª del capítulo II del título preliminar de la Ley 40/2015, de 1 de octubre de Régimen Jurídico del Sector Público (artículos del 15 al 22).

4. La comisión se reunirá a petición de cualquiera de las partes y, al menos, una vez al año, para examinar los resultados e incidencias de la colaboración realizada. Para el cumplimiento de sus atribuciones, la comisión podrá acordar la celebración de reuniones de seguimiento técnico, con la periodicidad que estime oportuna. Estas reuniones se celebrarán, preferentemente, por medios telemáticos.

5. La resolución de las controversias que pudieran plantearse sobre la interpretación y ejecución del presente convenio deberán solventarse de mutuo acuerdo entre las partes en el seno de la comisión mixta. Si no pudiera alcanzarse el acuerdo, las controversias podrán ser resueltas con carácter previo de conformidad con lo dispuesto en el artículo 44 de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, para los requerimientos entre Administraciones.

Cuarta.  Naturaleza y régimen jurídico.

Este convenio es un convenio interadministrativo, de los previstos en el artículo 47.2.a) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP), quedando sometido al Régimen Jurídico de los convenios del capítulo VI del título preliminar de la referida ley, rigiendo en su desarrollo y para su interpretación por el ordenamiento jurídico administrativo.

Quinta. Protección de datos.

Las partes firmantes se comprometen a cumplir la normativa vigente en materia de protección de datos de carácter personal, y concretamente la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y el Reglamento (UE) 2016/679, de 27 de abril de 2016 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, y en la normativa posterior que lo desarrolle o modifique.

Los datos de carácter personal que se recaben u obtengan las partes en el desarrollo y aplicación del convenio, serán tratados y utilizados de conformidad con la normativa vigente. En particular, las partes se comprometen a respetar el deber de secreto, y las limitaciones en su caso marcadas por la normativa de aplicación, sobre cualquier información a la que se tenga acceso en la realización de actividades objeto de este convenio, salvo aquella información que deba ser pública según lo establecido en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.

El tratamiento de los datos del presente convenio queda sometido a la mencionada normativa, así como a la vigente en cada momento.

En todo caso, los datos intercambiados entre MUFACE, ISFAS y MUGEJU y el Servicio Andaluz de Salud serán los estrictamente necesarios para el cumplimiento del objeto del convenio, no intercambiándose datos de personas no incluidas en el ámbito del mismo.

Sexta. Eficacia, vigencia y causas de extinción.

1. El presente convenio se perfecciona por la prestación del consentimiento de las partes, y adquirirá eficacia una vez inscrito en el Registro Electrónico Estatal de Órganos e Instrumentos de Cooperación del Sector Público Estatal, de conformidad con lo establecido en el artículo 48.8 y en la disposición adicional séptima de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público Estatal, debiendo ser publicado en el plazo de diez días hábiles desde su formalización en el «Boletín Oficial del Estado» (BOE).

El plazo de vigencia se extiende por un periodo de cuatro años, pudiendo prorrogarse por acuerdo unánime de las partes antes de la finalización del plazo de vigencia por un periodo de cuatro años adicionales, de conformidad con lo establecido en el artículo 49.h) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

2. Este convenio se extinguirá por el cumplimiento de las actuaciones que constituyen su objeto o por incurrir en causa de resolución, en aplicación del artículo 51 de la citada ley.

El convenio podrá resolverse por las siguientes causas:

a) Por el transcurso del plazo de vigencia sin haberse acordado su prórroga.

b) Por el incumplimiento de las obligaciones y compromisos asumidos por parte de alguno de los firmantes en los términos establecidos en el artículo 51.2.c) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

c) De mutuo acuerdo por las partes, en cuyo caso la parte que lo solicite deberá comunicarlo con una antelación mínima de dos meses.

d) Por decisión judicial declaratoria de la nulidad del convenio.

e) Por cualquier otra causa distinta de las anteriores prevista en otras leyes.

3. En caso de incumplimiento de alguna de las obligaciones establecidas en este convenio por alguna de las partes, cualquiera de las otras deberá comunicarlo a la Comisión Mixta de Coordinación y Seguimiento prevista en la cláusula tercera, que decidirá sobre las actuaciones a llevar a cabo. En caso de persistir el incumplimiento se entenderá resuelto el convenio.

4. En caso de resolución del convenio se estará a lo dispuesto en el artículo 52 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

Séptima. Modificación.

El presente convenio podrá modificarse por mutuo acuerdo de las partes mediante adenda al mismo que se ajustará al procedimiento establecido para su autorización y suscripción.

Octava. Financiación.

El presente convenio no genera obligaciones económicas para ninguna de las partes firmantes del mismo.

Y, en prueba de conformidad con el contenido del presente convenio, las partes lo firman electrónicamente, en el lugar donde se encuentran sus respectivas sedes, entendiéndose que el día de su firma es aquel en que la misma sea suscrita por el último de los firmantes.–Por la Mutualidad General de Funcionarios Civiles del Estado, la Directora General, Myriam Pallarés Cortón.–Por el Instituto Social de las Fuerzas Armadas, el Secretario General Gerente, José Javier Rodrigo de Azpiazu.–Por la Mutualidad General Judicial, la Gerente, Juana María Gómez Valle.–Por el Servicio Andaluz de Salud, la Directora Gerente, Valle García Sánchez.

ANEXO I
Ficheros de dispensaciones de ayuda para la verificación de la facturación de recetas electrónicas

1. Contenido de los ficheros:

2. Nomenclatura de los ficheros.

Estructura: <XX>_DISP_<AAAA><MM>_<II>_<FF>_<NN>.txt.

<XX> letras «MC» (Muface); «IS» (Isfas); «MJ» (Mugeju).

<AAAA> 4 dígitos del año del mes de facturación al que se hace referencia.

<MM> 2 dígitos indicando el mes de facturación al que se hace referencia.

<II> 2 dígitos para indicar el día de inicio del intervalo.

<FF> dos dígitos para indicar el día de fin del intervalo.

NN> es un número secuencial que se incrementará en caso de tener que generar el fichero más de una vez, normalmente su valor será 01.

3. Formato de los ficheros.

Fichero plano secuencial en formato ASCII extendido y codificación «ISO-8859-15».

Contendrá un único tipo de registro, y cada registro corresponderá a una dispensación.

Los campos con el contenido y la extensión (longitud máxima) prevista en el punto 1 del anexo, se separarán con el carácter «|» (barra vertical, con codificación hexadecimal «7C» según «ISO-8859-15»).

El contenido de cada campo debe estar alineado a la izquierda.

En el caso de que un campo no esté informado no habrá ninguna información entre los separadores «|», pero siempre deben aparecer los separadores del campo aunque sea el último registro.

4. Procedimiento de envío (antes del día 5 de cada mes).

MUFACE: mediante FTPS al repositorio de la mutualidad.

ISFAS: mediante SFTP al repositorio de la mutualidad.

MUGEJU: mediante SFTP al repositorio de las mutualidad.

ANEXO II
Acuerdo de protección de datos de carácter personal

1. Objeto del encargo del tratamiento.

A efectos de lo previsto en el artículo 28.3 del Reglamento (UE) 2016/679 (en adelante RGPD) y el resto de disposiciones vigentes en materia de protección de datos), el responsable del tratamiento es el Servicio Andaluz de Salud (SAS) y el encargado del tratamiento es la Mutualidad General de Funcionarios Civiles del Estado (MUFACE), el Instituto Social de las Fuerzas armadas (ISFAS), la Mutualidad General Judicial (MUGEJU) y el Consejo General de Colegios Oficiales de Farmacéuticos de Castilla-La Mancha (COFCAM).

El tratamiento consistirá en: recepción mensual y explotación de un fichero con las dispensaciones electrónicas realizadas a los pacientes públicos adscritos a la entidad, con objeto de que estas puedan realizar un adecuado control de la dispensaciones facturadas por las oficinas de farmacia de Andalucía.

Concreción de los tratamientos a realizar:

Recogida.

Estructuración.

Modificación.

Conservación.

Extracción.

Consulta.

Comunicación.

Interconexión (cruce).

Cotejo.

Destrucción.

2. Identificación de la información afectada.

Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, el responsable del tratamiento, pone a disposición del encargado del tratamiento, la información que se encuentra incluida en la siguiente actividad de tratamiento:

a) Historia Clínica del SAS.

3. Duración.

El presente acuerdo tiene la misma duración que el convenio al que se adjunta.

Los datos personales se conservarán durante el tiempo que sea necesario para cumplir con la finalidad para la que se recabaron, es decir para el control de las dispensaciones electrónicas facturadas a la entidad.

4. Obligaciones del encargado del tratamiento.

El encargado del tratamiento y todo su personal se someten a la normativa de protección de datos anteriormente mencionada y de forma específica, las siguientes condiciones:

a) Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, solo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.

b) Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de carácter nacional, el encargado informará inmediatamente al responsable.

c) Presentar ante el responsable la adhesión a códigos de conducta aprobados a tenor del artículo 40 del RGPD o a mecanismos de certificación aprobados a tenor del artículo 42 del RGPD.

d) Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga:

1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.

2. Las categorías de tratamientos efectuados por cuenta de cada responsable.

3. En su caso, las transferencias de datos personales a un tercer país u organización internacional, incluida la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas.

4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:

a) La seudonimización y el cifrado de datos personales.

b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

d) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

e) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles.

El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad aplicar para proceder a la comunicación.

Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.

f) Subcontratación. Se autoriza al encargado a subcontratar con la empresa identificar a la empresa contratada en su caso.

Para subcontratar con otras empresas, el encargado debe comunicarlo por escrito al responsable, identificando de forma clara e inequívoca la empresa subcontratista y sus datos de contacto. La subcontratación podrá llevarse a cabo si el responsable no manifiesta su oposición en el plazo de un mes.

El subcontratista, que también tiene la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el encargado del tratamiento y las instrucciones que dicte el responsable. Corresponde al encargado inicial regular la nueva relación, de forma que el nuevo encargado quede sujeto a las mismas condiciones (instrucciones, obligaciones, medidas de seguridad…) y con los mismos requisitos formales que él, en lo referente al adecuado tratamiento de los datos personales y a la garantía de los derechos de las personas afectadas. En el caso de incumplimiento por parte del subencargado, el encargado inicial seguirá siendo plenamente responsable ante el responsable en lo referente al cumplimiento de las obligaciones.

g) Mantener el deber de secreto respecto de los datos de carácter personal a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.

h) Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, según el modelo facilitado por el responsable del tratamiento, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes.

i) Remitir al responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.

j) Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

k) Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de:

1. Acceso, rectificación, supresión y oposición.

2. Limitación del tratamiento.

3. Portabilidad de datos.

4. A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante el encargado del tratamiento, este debe comunicarlo por correo electrónico a la dirección.

La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.

l) Derecho de información:

Corresponde al responsable facilitar el derecho de información en el momento de la recogida de los datos.

m) Notificación de violaciones de la seguridad de los datos:

El encargado del tratamiento sin dilación indebida, y en cualquier caso antes del plazo máximo de 72 horas, notificará al responsable del tratamiento, a través xxxxxx las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.

No será necesaria la notificación cuando sea improbable que dicha violación de la seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.

Si se dispone de ella se facilitará, como mínimo, la información siguiente:

a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.

b) El nombre y los datos de contacto del Delegado de Protección de Datos de su empresa o de otro punto de contacto en el que pueda obtenerse más información.

c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.

d) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

n) Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.

o) Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como permitir y colaborar con la realización de las auditorías o las inspecciones realizadas por cuenta del responsable.

p) Designar un Delegado de Protección de Datos y comunicar su identidad y datos de contacto al responsable.

q) Destino de los datos:

Destruir los datos, una vez cumplida la prestación. Una vez destruidos, el encargado debe certificar su destrucción por escrito y debe entregar el certificado al responsable del tratamiento.

No obstante, el encargado puede conservar una copia, con los datos debidamente boqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

r) En el caso de que los datos deban incorporarse en dispositivos portátiles, o deban tratarse fuera de los locales del encargado, se necesita autorización expresa del responsable, la cual deberá constar en el documento de seguridad. En cualquier caso, debe garantizarse el correspondiente nivel de seguridad.

s) No prestar el servicio objeto del presente documento mediante tecnología en nube sin la autorización expresa del responsable.

t) Implantar medidas de seguridad:

Las medidas de seguridad implantadas corresponden a las aplicadas de acuerdo al anexo II (Medidas de seguridad) del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.

5. Obligaciones del responsable del tratamiento.

Corresponde al responsable del tratamiento:

a) Entregar al encargado los datos a los que se refiere la cláusula 2 de este documento.

b) Proporcionar al encargado el modelo de información para trabajadores externos.

c) Realizar una evaluación del impacto en la protección de datos personales, si procede, de las operaciones de tratamiento a realizar por el encargado.

d) Realizar las consultas previas que corresponda.

e) Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del encargado.

f) Supervisar el tratamiento, incluida la realización de inspecciones y auditorías a través del delegado de protección de datos del responsable.

subir

Agencia Estatal Boletín Oficial del Estado

Avda. de Manoteras, 54 - 28050 Madrid