Habiéndose suscrito el 26 de julio de 2024 el Convenio entre el Ministerio del Interior, a través de la Secretaría General de Instituciones Penitenciarias, y la Administración del Principado de Asturias, a través de la Consejería de Salud, en materia de asistencia sanitaria a personas privadas de libertad en centros penitenciarios, procede la publicación en el «Boletín Oficial del Estado» de dicho convenio que figura como anexo a esta resolución.
Madrid, 31 de julio de 2024.–El Secretario General Técnico, Juan Antonio Puigserver Martínez.
En Madrid, a 26 de julio de 2024.
REUNIDOS
De una parte, don Ángel Luis Ortiz González, Secretario General de Instituciones Penitenciarias del Ministerio del Interior, nombrado por Real Decreto de nombramiento 504/2018, de 18 de junio, actuando por delegación de competencias según lo previsto en el apartado noveno, subapartado 2.6 de la Orden INT/985/2005, de 7 de abril, por la que se delegan determinadas atribuciones y se aprueban las delegaciones efectuadas por otras autoridades, en relación con el artículo 61.k) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, y con domicilio a los efectos del presente convenio en la calle Alcalá, 38-40, 28014 de Madrid.
De otra parte, doña Gimena Llamedo González, Consejera de Presidencia, Reto Demográfico, Igualdad y Turismo y Vicepresidenta, en sustitución de doña María Concepción Saavedra Rielo, Consejera de Salud (Decreto 17/2024, de 9 de abril, del Presidente del Principado de Asturias. BOPA 10 de abril de 2024), que interviene en nombre y representación de la Administración del Principado de Asturias, expresamente autorizada y designada para este acto por Acuerdo del Consejo de Gobierno, de fecha 19 de julio de 2024, de acuerdo con el artículo 11.2 de la Ley del Principado de Asturias 2/1995, de 13 de marzo, sobre Régimen Jurídico de la Administración.
Ambas partes, en la representación que ostentan, se reconocen mutua capacidad para obligarse y convenir y, a tal efecto,
EXPONEN
La Constitución Española de 1978 reconoce, en su artículo 43, el derecho de todos los españoles a la protección de la salud y atribuye a los poderes públicos las competencias para organizar y tutelar la salud pública a través de medidas preventivas y de las prestaciones y servicios necesarios; así mismo, y a través de las previsiones contenidas en el título VIII, organiza las atribuciones y competencias del Estado sobre la base de la institucionalización de las Comunidades Autónomas.
El artículo 25.2 de la Constitución Española establece que las penas privativas de libertad y las medidas de seguridad estarán orientadas hacia la reeducación y reinserción social, siendo éste el fin primordial de las Instituciones Penitenciarias de acuerdo con el artículo 1 de la Ley Orgánica 1/1979, de 26 de septiembre, General Penitenciaria (LOGP).
Conforme a la distribución constitucional de competencias en materia penitenciaria, el Ministerio del Interior, a través de la Secretaría General de Instituciones Penitenciarias, tiene asignada la administración y régimen de las instituciones penitenciarias a su cargo, siendo una de sus competencias velar por la vida, la integridad y la salud de los internos (artículo 3.4 de la LOGP).
A este respecto la Administración Penitenciaria mantiene, en los establecimientos de ella dependientes, la cobertura sanitaria correspondiente a nivel de Atención Primaria de la Salud (artículo 209 del Reglamento Penitenciario, aprobado por el Real Decreto 190/1996, de 9 de febrero).
La asistencia sanitaria especializada a las personas privadas de libertad se presta por el Servicio de Salud del Principado de Asturias (en adelante, SESPA). Ello incluye la asistencia especializada en hospitales y centros de especialidades, con el desplazamiento de internos cuando sea necesario a dichos centros o con el desplazamiento de algunos especialistas a los centros penitenciarios, a fin de evitar el traslado de internos.
El SESPA ostenta la cualidad de Responsable de la Actividad de Tratamiento «Gestión de la asistencia sanitaria a usuarios», la cual contiene datos de carácter personal de categoría especial tal como consta en el Registro de Actividades de Tratamiento, de acuerdo a la legislación vigente de protección de datos de carácter personal, a la cual se accede mediante el siguiente enlace:
https://www.astursalud.es/noticias/-/noticias/registro-actividades-tratamiento
El SESPA es un Ente de Derecho Público del Principado de Asturias que se adscribe a la Consejería de Salud del Principado de Asturias.
La Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, califica los datos relativos a la salud como especialmente sensibles y determina un régimen jurídico de especial protección para los mismos, cuestión que a su vez protagoniza también la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de los derechos y obligaciones en materia de información y documentación clínica.
Los datos de la historia clínica son datos personales de categoría especial. En consecuencia, su tratamiento habrá de efectuarse con plena observancia de las disposiciones vigentes en esta materia.
Establecido el amparo competencial, serán las leyes sectoriales reguladoras de los diferentes ámbitos de la acción pública las que establezcan los concretos términos en que dichas funciones se desarrollan, atendida la especialidad técnica de sus funciones.
La Agencia Española de Protección de Datos, en su informe 018/2006 relativo a tratamiento de datos en servicios de salud penitenciaria, dice en su literalidad: «debe indicarse que los servicios de salud penitenciaria han de ser considerados como establecimientos sanitarios incorporados al Sistema Nacional de Salud, a los efectos establecido en la Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud».
El informe extrae, además, las siguientes conclusiones:
1. No será necesario el consentimiento del interno para que el personal sanitario penitenciario pueda consultar los datos que pudieran existir en el fichero centralizado de historias clínicas de un determinado sistema de salud autonómico. Tampoco será preciso informar al interno acerca de dicha consulta.
2. No será necesario el consentimiento para el tratamiento de los datos por parte del personal sanitario penitenciario ni para su inclusión en el fichero centralizado de historias clínicas. No obstante, deberá evitarse la inclusión de cualquier dato que permita dar a conocer el hecho de que el tratamiento ha sido prestado por un servicio sanitario penitenciario, salvo la necesaria mención del código del profesional facultativo que haya prestado la atención.
3. Deberá informarse al interesado del tratamiento y cesión de sus datos en caso de que se refieran al tratamiento o diagnóstico realizados en el centro penitenciario.
4. En cuanto a los supuestos de telemedicina, no será preciso el consentimiento del afectado pero sí la información al mismo, debiendo implantarse las medidas de seguridad previstas en el Esquema Nacional de Seguridad regulado por RD 311/2022, de 3 de mayo.
Como consecuencia de todo lo anterior, las partes estiman conveniente la formalización del presente convenio para la puesta en funcionamiento de Telemedicina entre centros penitenciarios y la red de dependencias hospitalarias del SESPA.
CLÁUSULAS
El objeto del presente convenio es:
1. Mejorar la asistencia sanitaria que se presta en los centros penitenciarios de la Comunidad Autónoma Principado de Asturias, facilitando el acceso telemático a las historias clínicas informatizadas que existen en el SESPA por parte del personal médico, farmacéutico y de enfermería de Instituciones Penitenciarias que prestan sus servicios en los centros penitenciarios de Asturias, exclusivamente para la consulta de la historia clínica de pacientes atendidos por ellos en su atención sanitaria habitual. El acceso queda acotado, única y exclusivamente, a los pacientes compartidos, durante el periodo de internamiento u otras situaciones ajustadas a la ley, lo que comporta el acceso a la HC completa de Atención Primaria y Atención Especializada.
2. Facilitar la implementación de la telemedicina.
3. Posibilitar entre ambas instituciones la formación de los profesionales sanitarios.
1. Establecer los mecanismos que aseguren que la utilización del acceso al sistema informático se restrinja a la estrictamente necesaria para la atención sanitaria de los pacientes compartidos y a mantener el deber de secreto y confidencialidad, así como el riguroso cumplimiento de la legislación de protección de datos personales.
2. La Secretaría General de Instituciones Penitenciarias establecerá un sistema de gestión de usuarios transmitiendo al SESPA, puntualmente y sin dilación, las altas o bajas que se puedan presentar entre sus profesionales sanitarios y que ocupen puesto en la asistencia sanitaria de los centros penitenciarios de Asturias.
3. Facilitar sistemas de comunicación que permitan el desarrollo de Telemedicina entre los centros penitenciarios del Ministerio del Interior y los centros sanitarios de referencia en el Principado de Asturias.
4. Permitir la realización de periodos de rotación en los centros penitenciarios a los profesionales sanitarios en formación médicos residentes (MIR), farmacéuticos residentes (FIR) y enfermeros residentes (EIR) que estén realizando su formación en el SESPA y que así lo soliciten de acuerdo con la correspondiente Unidad de Formación.
1. Autorizar al personal sanitario dependiente de la Secretaría General de Instituciones Penitenciarias, que presta sus servicios en los centros penitenciarios de Asturias, el acceso a la consulta de la historia clínica electrónica, a través de un adecuado procedimiento de control de entradas, con la finalidad de que éstos puedan prestar la adecuada asistencia sanitaria a pacientes ingresados en establecimientos penitenciarios.
Para ello será necesario que dicho personal firme un Acuerdo de Confidencialidad donde aparezcan especificadas las obligaciones y la normativa aplicable (Anexo II). Se advertirá, asimismo, que en ningún caso podrá accederse a la Historia Clínica de pacientes a los que no se esté autorizado.
Dicho Acuerdo de Confidencialidad deberá ser previamente autorizado, en cada caso, por personal de la Dirección de competente en materia de asistencia sanitaria del SESPA y finalmente por el Responsable del Tratamiento del SESPA.
2. Facilitar el acceso a los sistemas de comunicación que permitan el desarrollo de Telemedicina entre los centros penitenciarios del Ministerio del Interior y los centros sanitarios de referencia en el Principado de Asturias.
3. Ofertar a los funcionarios sanitarios de Instituciones Penitenciarias la posibilidad de acudir a los cursos de formación continuada que el SESPA oferte a sus profesionales en función de la disponibilidad de plazas.
1. Las partes se comprometen a mantener la confidencialidad de todos los datos e informaciones facilitados por cualquiera de ellas y que sean concernientes a la ejecución del objeto del presente convenio (Anexo I), debiendo mantener dicha información en reserva y secreto y no revelarla de ninguna forma, total o parcialmente, a ninguna persona física o jurídica que no sea parte del mismo, salvo los casos y mediante la forma legalmente previstos.
Con el fin de garantizar los extremos del párrafo anterior, el acceso a la Historia Clínica Digital (HCD) se realizará únicamente por parte del personal médico, farmacéutico y de enfermería que presta sus servicios en los centros penitenciarios de Asturias.
Los sistemas de información de la Historia Clínica identificarán de forma inequívoca y personalizada a todo profesional que intente acceder a la información contenida en la Historia Clínica del ciudadano y verificarán su autorización. Se deberá dejar constancia de todo acceso en términos que permitan tener conocimiento de la persona que accede, la fecha y la finalidad, debiéndose guardar de cada intento de acceso, como mínimo, la identificación del profesional, el paciente al que se accede, fecha, hora y la documentación de la historia clínica a la que se ha accedido, además del tipo de acceso.
2. La Secretaría General de Instituciones Penitenciarias actúa como encargado del tratamiento y, por tanto, tiene el deber de cumplir con la normativa vigente en cada momento, con especial mención a la Ley 41/2002, de 14 de noviembre, reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. En concreto con lo dispuesto en el artículo 16 de la mencionada ley. Si destinase los datos a otra finalidad, los comunicara o los utilizara incumpliendo las estipulaciones del presente convenio y/o la normativa vigente, será considerado también como responsable del tratamiento, respondiendo de las infracciones en que hubiera podido incurrir.
3. La Consejería de Salud, así como el SESPA, para el cumplimiento de la normativa sobre protección de datos, y para la «tutela de la garantía de los derechos de los ciudadanos en materia de autonomía del paciente y los derechos y obligaciones en materia de información y documentación clínica», realizará las auditorías que considere necesarias para la verificación de la correcta utilización de las historias.
clínicas informatizadas, comprobando el acceso a las mismas únicamente del personal autorizado para ello y su uso exclusivo en el marco de sus competencias profesionales.
4. Asimismo, los profesionales sanitarios de Instituciones Penitenciarias en Asturias dispondrán de un protocolo de acceso a sus sistemas informáticos proporcionado por los servicios de la Comunidad Autónoma que garantice el cumplimiento de las normativas de protección de datos.
Las instituciones firmantes desarrollarán y asumirán en su ámbito todas las tareas que sean necesarias para la consecución de los objetivos indicados en las cláusulas 1 y 2. Se emplearán infraestructuras seguras que determine el Principado de Asturias, en el ámbito de sus competencias, para la conexión entre los centros penitenciaros y los centros hospitalarios del SESPA.
El presente convenio no generará ningún tipo de vínculo contractual ni laboral entre las partes firmantes y las personas físicas que desempeñen las actividades propias del mismo.
1. Se establece una Comisión de Seguimiento del presente convenio, constituida por dos representantes de la Secretaría General de Instituciones Penitenciarias y por dos representantes de la Consejería de Salud que serán nombrados por la persona titular de la Secretaría General de Instituciones Penitenciarias y por la persona titular de la Consejería de Salud, respectivamente.
2. Los miembros de esta comisión podrán ser sustituidos por las personas que estos designen.
3. La presidencia de la Comisión de Seguimiento será rotativa cada dos años comenzando por la Consejería de Salud. La presidencia designará a la persona que actúe como secretaria de la comisión.
4. La Comisión de Seguimiento resolverá los problemas de interpretación y cumplimiento que se deriven del presente convenio. Asimismo, corresponden a la Comisión de Seguimiento las siguientes funciones:
– Velar por el buen funcionamiento de las actividades que vayan a desarrollarse en el marco del presente convenio.
– Coordinar la operativa de puesta en marcha de la actividad.
– Realizar el seguimiento y la evaluación de las actividades desarrolladas.
5. Los miembros de esta comisión arbitrarán de común acuerdo su mecánica operativa, reuniéndose un mínimo de una vez al año, y cuantas veces sea necesario a instancia de alguna de las partes. En lo no previsto en el presente convenio, el funcionamiento de la Comisión de Seguimiento se adecuará en lo previsto, para los órganos colegiados, en los artículos 15 a 22 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
El presente convenio no conlleva incremento de gastos para ninguna de las partes firmantes.
1. De conformidad con lo dispuesto en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, el presente convenio resultará eficaz una vez sea inscrito en el Registro Electrónico Estatal de Órganos e Instrumentos de cooperación del Sector Público Estatal. Asimismo, serán publicados en el plazo de 10 días hábiles desde su formalización en el «Boletín Oficial del Estado», sin perjuicio de su publicación facultativa en el boletín oficial de la comunidad autónoma o de la provincia que corresponda a la otra administración firmante.
2. La vigencia de este convenio será de cuatro años. Antes de la finalización de la vigencia del convenio, la Secretaría General de Instituciones Penitenciarias y la Consejería de Salud podrán acordar, expresamente y por escrito, su prórroga por hasta otros cuatro años adicionales.
El convenio podrá ser modificado por acuerdo unánime de la Secretaría General de Instituciones Penitenciarias y la Consejería de Salud, de acuerdo con los trámites previstos en el artículo 50 de la Ley 40/2015, de 1 de octubre.
1. Son causas de extinción del presente convenio las establecidas en el artículo 51 de la Ley 40/2015, de 1 de octubre. Asimismo, el convenio podrá ser denunciado por cualquiera de las partes, denuncia que deberá expresarse y comunicarse por escrito con una antelación de dos meses a la fecha en que se hará efectiva la resolución del convenio.
2. El incumplimiento de las obligaciones y compromisos asumidos en el presente convenio no generará indemnización entre las partes, al tratarse de un acuerdo que no genera obligación económica alguna.
3. En el supuesto de extinción anticipada del convenio, la Comisión de Seguimiento resolverá acerca de la forma de finalización de las actuaciones en curso, en un plazo que no podrá ser superior a los dos meses de duración.
El presente convenio, de naturaleza jurídico-administrativa, se celebra al amparo de la Ley 40/2015, de 1 de octubre.
Las controversias que puedan surgir sobre la interpretación, modificación, ejecución, resolución y efectos que puedan derivarse del presente convenio se resolverán entre las partes de la manera amistosa en el seno de la comisión de seguimiento prevista en la cláusula séptima.
Al tener naturaleza administrativa, el orden jurisdiccional Contencioso-Administrativo será el competente para resolver las cuestiones litigiosas que pudieran suscitarse entre las partes, todo ello de conformidad con lo dispuesto en los artículos 1 y 2 de la Ley 29/1998, de 13 de julio, reguladora de dicha jurisdicción.
Este convenio se publicará en el «Boletín Oficial del Estado», de acuerdo con lo previsto en la Ley 40/2015, de 1 de octubre. Asimismo, se publicará en el Portal de la Transparencia del Gobierno de España, de acuerdo con lo previsto en la Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno.
Todo ello sin perjuicio de su preceptiva publicación en el Boletín Oficial del Principado de Asturias, de conformidad con lo establecido en el artículo 11.5 de la Ley del Principado de Asturias 2/1995, de 13 de marzo, sobre Régimen Jurídico de la Administración.
De conformidad con cuanto antecede y en ejercicio de las atribuciones de que son titulares los firmantes, suscriben el presente convenio en la fecha de la firma electrónica.–El Secretario General de Instituciones Penitenciarias, Ángel Luis Ortiz González.–La Consejera de Salud, por sustitución, la Consejera de la Presidencia, Reto Demográfico Igualdad, y Turismo y Vicepresidenta (Decreto 17/2024, de 9 de abril, del Presidente del Principado de Asturias. BOPA 10 de abril de 2024), Gimena Llamedo González.
1. Estipulaciones como encargado de tratamiento:
De conformidad con lo previsto en el artículo 28 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (en adelante, Reglamento General de Protección de Datos), la Secretaría General de Instituciones Penitenciarias se obliga y garantiza el cumplimiento de las siguientes obligaciones que a continuación se detallan. Igualmente, en lo que corresponda, y por la propia actividad que la Secretaría General de Instituciones Penitenciarias, se aplicará la Ley Orgánica 7/2021, de 26 de mayo, de protección de datos personales tratados para fines de prevención, detección, investigación y enjuiciamiento de infracciones penales y de ejecución de sanciones penales, así como cualquier otra norma de desarrollo y/o modificación de las anteriores que sea de obligado cumplimiento:
a) Tratar los datos personales conforme a las instrucciones documentadas en el presente convenio y aquellas que, en su caso, reciba del SESPA por escrito en cada momento.
La Secretaría General de Instituciones Penitenciarias informará inmediatamente al SESPA cuando, en su opinión, una instrucción sea contraria a la normativa de protección de datos personales aplicable en cada momento.
b) No utilizar ni aplicar los datos personales con una finalidad distinta a la ejecución del objeto del presente convenio.
c) Tratar los datos personales de conformidad con los criterios de seguridad y el contenido previsto en el artículo 32 del Reglamento General de Protección de Datos, así como observar y adoptar las medidas técnicas y organizativas de seguridad necesarias, o convenientes, para asegurar la confidencialidad, secreto e integridad de los datos personales a los que tenga acceso.
En particular, y sin carácter limitativo, se obliga a aplicar las medidas de protección del nivel de riesgo y seguridad detallados en el apartado 4.5 del presente anexo.
d) Mantener la más absoluta confidencialidad sobre los datos personales a los que tenga acceso para la ejecución del convenio, así como sobre los que resulten de su tratamiento, cualquiera que sea el soporte en el que se hubieren obtenido. Esta obligación se extiende a toda persona que pudiera intervenir en cualquier fase del tratamiento por cuenta de la Secretaría General de Instituciones Penitenciarias, siendo deber de esta parte instruir a las personas que de él dependan, de este deber de secreto, y del mantenimiento de dicho deber aun después de la terminación de la ejecución del convenio o de su desvinculación.
e) Llevar un listado de personas autorizadas para tratar los datos personales objeto de este convenio y garantizar que las mismas se comprometen, de forma expresa y por escrito (según modelo del anexo II), a respetar la confidencialidad y a cumplir con las medidas de seguridad correspondientes, de las que les debe informar convenientemente, así como a mantener a disposición del SESPA dicha documentación acreditativa.
f) Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas a su tratamiento.
g) Salvo que cuente en cada caso con la autorización expresa del responsable del tratamiento, no comunicar, ceder ni difundir los datos personales a terceros, ni siquiera para su conservación.
h) Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de:
1.º Acceso, rectificación, supresión y oposición.
2.º Limitación del tratamiento.
i) Nombrar un delegado de protección de datos, en caso de que sea necesario según el Reglamento General de Protección de Datos, y comunicarlo al SESPA, también cuando la designación sea voluntaria, así como la identidad y datos de contacto de la(s) persona(s) física(s) designada(s) por la Secretaría General de Instituciones Penitenciarias como sus representante(s) a efectos de protección de los datos personales (representantes del encargado de tratamiento), responsable(s) del cumplimiento de la regulación del tratamiento de datos personales, en las vertientes legales/formales y en las de seguridad.
j) Una vez finalizada la prestación objeto del presente convenio, se compromete, según corresponda y se instruye en el presente anexo «Tratamiento de Datos Personales», a devolver o destruir:
1.º Los datos personales a los que haya tenido acceso.
2.º Los datos personales generados por la Secretaría General de Instituciones Penitenciarias por causa del tratamiento; y
3.º Los soportes y documentos en que cualquiera de estos datos consten, sin conservar copia alguna, salvo que se permita o requiera por ley o por norma de derecho de la Unión Europea su conservación, en cuyo caso no procederá la destrucción.
El encargado del tratamiento podrá, no obstante, conservar los datos durante el tiempo que puedan derivarse responsabilidades de su relación con el responsable del tratamiento. En este último caso, los datos personales se conservarán bloqueados y por el tiempo mínimo, destruyéndose de forma segura y definitiva al final de dicho plazo.
Quedarán exentos de este compromiso aquellos datos incorporados a los expedientes de evaluación de discapacidad o dependencia, que no puedan ser considerados como excesivos para la finalidad con que han sido comunicados.
k) Según corresponda y se indique en el presente anexo, a llevar a cabo el tratamiento de los datos personales en los sistemas/dispositivos de tratamiento, manuales y automatizados, y en las ubicaciones que en el presente anexo se especifican, equipamiento que podrá estar bajo el control del SESPA o bajo el control directo o indirecto de la Secretaría General de Instituciones Penitenciarias, u otros que hayan sido expresamente autorizados por escrito por el SESPA según se establezca en este anexo en su caso, y únicamente por los usuarios o perfiles de usuarios asignados a la ejecución del objeto de este convenio.
l) Salvo que se indique otra cosa en este anexo o se instruya así expresamente por el SESPA, a tratar los datos personales dentro del Espacio Económico Europeo u otro espacio considerado por la normativa aplicable como de seguridad equivalente, no tratándolos fuera de este espacio ni directamente ni a través de cualesquiera terceros autorizados conforme a lo establecido en este convenio, salvo que esté obligado a ello en virtud del Derecho de la Unión o del Estado miembro que le resulte de aplicación.
En el caso de que por causa de Derecho nacional o de la Unión Europea la Secretaría General de Instituciones Penitenciarias se vea obligada a llevar a cabo alguna transferencia internacional de datos, informará por escrito al SESPA de esa exigencia legal, con antelación suficiente a efectuar el tratamiento, y garantizará el cumplimiento de cualesquiera requisitos legales que sean aplicables al SESPA, salvo que el Derecho aplicable lo prohíba por razones importantes de interés público.
m) De conformidad con el artículo 33 del Reglamento General de Protección de Datos, comunicar al SESPA, de forma inmediata y a más tardar en el plazo de 72 horas, cualquier violación de la seguridad de los datos personales a su cargo de la que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia o cualquier fallo en su sistema de tratamiento y gestión de la información que haya tenido o pueda tener que ponga en peligro la seguridad de los datos personales, su integridad o su disponibilidad, así como cualquier posible vulneración de la confidencialidad como consecuencia de la puesta en conocimiento de terceros de los datos e informaciones obtenidos durante la ejecución del convenio. Comunicará con diligencia información detallada al respecto, incluso concretando qué interesados sufrieron una pérdida de confidencialidad.
Se mantendrá en todo momento informada a la Consejería de Sanidad de las comunicaciones realizadas en este sentido.
n) Cuando una persona ejerza un derecho (de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, u otros reconocidos por la normativa aplicable, conjuntamente, los «Derechos»), ante el encargado del tratamiento, éste debe comunicarlo al SESPA con la mayor prontitud. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción del ejercicio de derecho, juntamente, en su caso, con la documentación y otras informaciones que puedan ser relevantes para resolver la solicitud que obre en su poder, e incluyendo la identificación fehaciente de quien ejerce el derecho.
Asistirá al SESPA, siempre que sea posible, para que éste pueda cumplir y dar respuesta a los ejercicios de Derechos. La responsabilidad última para resolver los ejercicios de derechos recibidos corresponde a la Consejería de Salud.
ñ) Colaborar con el SESPA en el cumplimiento de sus obligaciones en materia de:
1.º Medidas de seguridad.
2.º Comunicación y/o notificación de brechas (logradas e intentadas) de medidas de seguridad a las autoridades competentes o los interesados, y
3.º Colaborar en la realización de evaluaciones de impacto relativas a la protección de datos personales y consultas previas al respecto a las autoridades competentes; teniendo en cuenta la naturaleza del tratamiento y la información de la que disponga.
Asimismo, pondrá a disposición del SESPA, a requerimiento de éste, toda la información necesaria para demostrar el cumplimiento de las obligaciones previstas en este convenio y colaborará en la realización de auditorías e inspecciones llevadas a cabo, en su caso, por el SESPA.
o) En los casos en que la normativa así lo exija (de acuerdo con el artículo 30.5 del Reglamento General de Protección de Datos), llevar, por escrito, incluso en formato electrónico, y de conformidad con lo previsto en el artículo 30.2 del Reglamento General de Protección de Datos, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del SESPA (responsable del tratamiento), que contenga, al menos, las circunstancias a que se refiere dicho artículo.
p) Disponer de evidencias que demuestren su cumplimiento de la normativa de protección de datos personales y del deber de responsabilidad activa, como, a título de ejemplo, certificados previos sobre el grado de cumplimiento o resultados de auditorías, que habrá de poner a disposición del SESPA a requerimiento de ésta.
Asimismo, durante la vigencia del convenio, pondrá a disposición del SESPA toda información, certificaciones y auditorías realizadas en cada momento.
q) Derecho de información: el encargado del tratamiento, en el momento de la recogida de los datos, debe facilitar la información relativa a los tratamientos de datos que se van a realizar. La redacción y el formato en que se facilitará la información se debe consensuar con el responsable antes del inicio de la recogida de los datos.
La presente cláusula de este anexo y las obligaciones en ella establecidas, constituyen el acto jurídico de encargo de tratamiento entre el SESPA y la Secretaría General de Instituciones Penitenciarias a que hace referencia el artículo 28.3 del Reglamento General de Protección de Datos. Las obligaciones y prestaciones que aquí se contienen no son retribuibles de forma distinta de lo previsto en el presente convenio y tendrán la misma duración que el convenio, prorrogándose en su caso por períodos iguales a éste. No obstante, a la finalización del convenio, el deber de secreto continuará vigente, sin límite de tiempo, para todas las personas involucradas en la ejecución del convenio.
Para el cumplimiento del objeto de este convenio no se requiere que la Secretaría General de Instituciones Penitenciarias acceda a ningún otro dato personal responsabilidad del SESPA, y por tanto no está autorizado en caso alguno al acceso o tratamiento de otro dato, que no sean los especificados en este anexo. Si se produjera una incidencia durante la ejecución del convenio que conllevará un acceso accidental o incidental a datos personales responsabilidad del SESPA no contemplados en el presente anexo, la Secretaría General de Instituciones Penitenciarias deberá ponerlo en conocimiento del SESPA con la mayor diligencia y a más tardar en el plazo de 72 horas.
2. Tratamiento de datos de carácter personal por terceros ajenos al convenio:
Cuando el convenio permita que las actividades objeto del convenio sean llevadas a cabo por otra persona física o jurídica, y en caso de que la Secretaría General de Instituciones Penitenciarias pretenda ejecutar las prestaciones del convenio con terceros, y éste deba acceder a datos personales, la Secretaría General de Instituciones Penitenciarias lo pondrá en conocimiento previo del SESPA identificando qué tratamiento de datos personales conlleva, para que el SESPA decida, en su caso, si otorgar o no su autorización a dicha ejecución de actividades.
En todo caso, para autorizar la ejecución de actividades, es requisito imprescindible que se cumplan las siguientes condiciones (si bien, aun cumpliéndose las mismas, corresponde al SESPA la decisión de otorgar, o no, dicho consentimiento):
a) Que el tratamiento de datos personales por parte del tercero que ejecuta las prestaciones del convenio se ajuste a la legalidad vigente, lo contemplado en este convenio y a las instrucciones del SESPA.
b) Que la Secretaría General de Instituciones Penitenciarias y el tercero que ejecute parte de las prestaciones del convenio formalicen un acto jurídico de encargo de tratamiento de datos en términos no menos restrictivos a los previstos en el presente convenio, el cual será puesto a disposición del SESPA a su mera solicitud para verificar su existencia y contenido.
La Secretaría General de Instituciones Penitenciarias informará al SESPA de cualquier cambio previsto en la incorporación o sustitución de otros terceros que ejecuten el convenio, dando así al SESPA la oportunidad de otorgar el consentimiento previsto en esta cláusula. La no respuesta del SESPA a dicha solicitud por el contratista equivale a oponerse a dichos cambios.
3. Información sobre el tratamiento de los datos de carácter personal:
Los datos de carácter personal serán tratados por los servicios sanitarios de los centros penitenciarios ubicados en el Principado de Asturias para ser incorporados a la historia clínica digital de instituciones penitenciarias, con fines asistenciales, epidemiológicos y de gestión sanitaria de los internos de los citados centros penitenciarios, según mandato legal recogido en la Ley Orgánica 1/1979, de 26 de septiembre, General Penitenciaria, desarrollado en el Reglamento Penitenciario, Real Decreto 190/1996, de 9 de febrero.
Los datos de carácter personal serán comunicados a juzgados, tribunales de justicia, fiscalías y a cuantas entidades (públicas o privadas) legitimadas por la ley, y en los términos recogidos en la ley, sean de obligado cumplimiento.
Se conservarán los datos durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos. Será de aplicación lo dispuesto en la normativa nacional y autonómica de archivos y documentación sanitaria.
Los derechos de acceso, rectificación, supresión y portabilidad de sus datos, de limitación y oposición a su tratamiento, así como a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado de sus datos, cuando procedan, se pueden ejercitar ante el SESPA, según los procedimientos administrativos establecidos al efecto.
Puede obtener más información en la página web del Gobierno del Principado de Asturias, Registro de Actividades de Tratamiento, de acuerdo a la legislación vigente de protección de datos de carácter personal, en la siguiente url: https://www.astursalud.es/noticias/-/noticias/registro-actividades-tratamiento.
4. Descripción general del tratamiento de datos personales a efectuar:
4.1 Descripción:
El tratamiento consistirá en la utilización de los datos obtenidos con fines asistenciales, epidemiológicos y de gestión sanitaria. El personal adscrito por la Secretaría General de Instituciones Penitenciarias, para ejecutar las prestaciones del presente convenio puede tratar datos personales. Éstos se tratarán únicamente por el personal adscrito y al único fin de efectuar el alcance del objeto del convenio.
El acceso queda acotado, única y exclusivamente, a los pacientes compartidos, durante el periodo de internamiento u otras situaciones ajustadas a la ley. El acceso comporta, el acceso a la Historia Clínica completa, o a alguna de sus partes (resultados analíticos, pruebas de imagen, tratamientos, de dispensación hospitalaria o no, etc.), y adicionalmente, la capacidad del personal sanitario de Instituciones Penitenciarias para realizar registros en la historia clínica de los pacientes en el nivel de Atención primaria, gestión de agendas de atención especializada y el envío de imágenes (de radiología digital, de dermatología, etc.) a los hospitales de referencia.
En caso de que como consecuencia de la ejecución de las prestaciones del convenio resultara necesario en algún momento la modificación de lo estipulado en este anexo, la parte firmante interesada lo requerirá razonadamente y señalará los cambios que solicita. En caso de que la otra parte firmante estuviese de acuerdo con lo solicitado, se emitiría un anexo actualizado, de modo que el mismo siempre recoja fielmente el detalle del tratamiento, su modificación se realizará mediante la suscripción de una adenda previa tramitación de acuerdo con la ley.
4.2 Colectivos y datos tratados:
Los colectivos de interesados y datos personales tratados a los que puede tener acceso la Secretaría General de Instituciones Penitenciarias son:
Tratamientos y principales colectivos de interesados | Datos personales del tratamiento a los que se puede acceder |
---|---|
Asistencia sanitaria. | Datos de salud. |
4.3 Elementos del tratamiento:
El tratamiento de los datos personales comprenderá: (márquese lo que proceda).
X Recogida (captura de datos). | X Registro (grabación). | X Estructuración. | X Modificación. |
X Conservación (almacenamiento). | X Extracción (retrieval). | X Consulta. | ☐ Cesión. |
☐ Difusión. | ☐ Interconexión (cruce). | X Cotejo. | ☐ Limitación. |
☐ Supresión. | ☐ Destrucción (de copias temporales). | ☐ Conservación (en sus sistemas de información). | ☐ Otros: ........... |
☐ Duplicado. | ☐ Copia (copias temporales). | ☐ Copia de seguridad. | ☐ Recuperación. |
4.4 Disposición de los datos al finalizar el objeto del convenio:
Una vez finalice el objeto del convenio, la Secretaría General de Instituciones Penitenciarias debe:
a) Devolver al responsable del tratamiento los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplido el objeto del convenio. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución del objeto del convenio.
No obstante, el responsable del tratamiento podrá requerir al encargado para que en vez de la opción a), cumpla con la b) o con la c) siguientes:
b) Devolver al encargado que designe por escrito el responsable del tratamiento los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplido el objeto del convenio. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.
c) Destruir los datos, una vez cumplido el objeto del convenio. Una vez destruidos el encargado debe certificar su destrucción por escrito y debe entregar el certificado al responsable del tratamiento. No obstante, el encargado puede conservar una copia, con los datos debidamente boqueados, mientras puedan derivarse responsabilidades de la ejecución del objeto del convenio.
4.5 Medidas de seguridad:
Los datos deben protegerse empleando las medidas que un sujeto diligente debe tomar para evitar que dichos datos pierdan su razonable confidencialidad, integridad y disponibilidad, según Esquema Nacional de Seguridad conforme a la disposición adicional primera de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
La Secretaría General de Instituciones Penitenciarias no podrá implementar o suprimir dichas medidas mediante el empleo de un análisis de riesgo o evaluación de impacto salvo aprobación expresa del SESPA. A estos efectos, el personal de la Secretaría General de Instituciones Penitenciarias debe seguir las medidas de seguridad establecidas por el SESPA, no pudiendo efectuar tratamientos distintos de los definidos por éste.
El Servicio de Salud del Principado de Asturias –en cumplimiento de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente– tiene la obligación de garantizar los derechos de protección de datos de los pacientes y de las personas en el tratamiento de sus datos. Además, hay que considerar que el tratamiento de datos personales referidos a la salud de una persona es un tema especialmente sensible y que requiere protección especial.
Todo ello exige que el usuario al que se le proporciona acceso a los sistemas de información del Servicio de Salud adquiera los compromisos necesarios para garantizar el tratamiento adecuado de la información de acuerdo con la legislación vigente.
Nombre y apellidos: .......................................................................................................
DNI: ............................................. Centro o gerencia: ...................................................
Teléfono móvil (sólo para el envío de la contraseña) .....................................................
Correo electrónico (sólo para personal externo) ............................................................
MANIFIESTO
1. Que conozco los principios básicos que rigen la protección de datos de carácter personal y el Código de buenas prácticas del Servicio de Salud del Principado de Asturias en el uso de los sistemas de información y en el tratamiento de los datos de carácter personal, y que me comprometo a respetarlos.
2. Que me comprometo, asimismo:
a) A mantener el más estricto secreto –incluso una vez extinguida mi relación con el Servicio de Salud– sobre cualquier información a la que pueda tener acceso, en forma escrita o verbal, referente a pacientes o empleados del Servicio de Salud.
b) A limitar mi acceso a los datos y a las operaciones que sean imprescindibles para la finalidad de desempeñar las funciones profesionales correspondientes a mi puesto.
c) A no tratar, ceder, comunicar o utilizar en beneficio propio y a no revelar a terceras personas los datos de carácter personal a los que tenga acceso, y también a respetar en todo momento la privacidad y la confidencialidad de esos datos.
d) A no acceder a datos correspondientes a las personas siguientes, salvo que obtenga el consentimiento expreso de la persona titular de sus datos:
– Personas con cualquier tipo de relación con el usuario (familiar, laboral, etc.).
– Personas conocidas públicamente o con posible interés público.
3. Que declaro que conozco y acepto el hecho de que mi acceso al sistema será monitorizado, de conformidad con el anexo II del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
4. Que me comprometo a comunicar a la mayor brevedad posible cualquier incidencia que pueda afectar a la seguridad de los datos.
5. Que declaro que conozco y acepto las consecuencias en que puedo incurrir en caso de incumplir la normativa aplicable.
............................, ...... de ............................. de 20 .....
(Firma).
Información sobre protección de datos personales:
El responsable del tratamiento de sus datos personales es el Servicio de Salud del Principado de Asturias (Plaza del Carbayón 1. 33001 Oviedo).
Sus datos personales serán tratados con la finalidad de gestionar las identidades electrónicas y autorizaciones de accesos a los sistemas de información. Sus datos personales serán incorporados en la actividad de tratamiento «Gestión de Usuarios».
Tiene derecho a oponerse al tratamiento de sus datos, así como a limitar el mismo, acceder, rectificar, suprimir los datos y ejercer su derecho a portabilidad, mediante petición escrita dirigida al departamento Atención al Usuario del Servicio de Salud del Principado de Asturias (Plaza del Carbayón 1. 33001 Oviedo).
Además, tiene derecho a presentar una reclamación ante una autoridad de control.
La Delegación de Protección de Datos del Servicio de Salud del Principado de Asturias tiene su sede en la Secretaría General de la Plaza del Carbayón, n.º 1 y 2, 33001 Oviedo.
El correo electrónico de contacto es: delegadoprotecciondatos.sespa@sespa.es.
Si quiere más información sobre el tratamiento de sus datos personales, la puede encontrar en el apartado «Registro de actividades de tratamiento» del portal web del Servicio de Salud del Principado de Asturias.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid