Por Orden CLT/489/2024, de 21 de mayo («Boletín Oficial del Estado» núm. 125, de 23 de mayo de 2024) se convocó el procedimiento de concurrencia para la selección de una entidad colaboradora para la facilitación y gestión de los medios de pago del programa de ayudas «Bono Cultural Joven».
Una vez tramitado el correspondiente procedimiento, previsto en la citada Orden CLT/489/2024, de 21 de mayo, se dictó Resolución de la Subsecretaria de Cultura, de fecha 9 de julio de 2024, por la que se seleccionó a la Sociedad Estatal Correos y Telégrafos, SA, S.M.E., como entidad colaboradora que se encargará de la facilitación y gestión de los medios de pago de las ayudas del «Bono Cultural Joven» para las convocatorias 2024 y 2025. Esta resolución fue publicada en la sede electrónica del Ministerio de Cultura, conforme a lo establecido en el artículo 12 de la referida Orden CLT/489/2024, de 21 de mayo.
Igualmente, la mencionada resolución ordenaba la formalización de un convenio de colaboración entre el Ministerio de Cultura y la entidad seleccionada, que fue finalmente suscrito en fecha 29 de julio de 2024.
Una vez perfeccionado el convenio de colaboración con la firma de ambas partes, y de conformidad con lo dispuesto en la cláusula décima del citado convenio, dispongo:
Ordenar la inscripción del convenio de colaboración en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación del sector público estatal, previsto en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, así como su publicación en el «Boletín Oficial del Estado».
Esta resolución no pone fin a la vía administrativa y contra la misma se podrá interponer recurso de alzada ante la persona titular del Ministerio de Cultura, en el plazo de un mes a contar desde el día siguiente a la publicación en la sede electrónica, de conformidad con lo establecido en los artículos 121 y 122 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.
Madrid, 30 de julio de 2024.–La Subsecretaria de Cultura, María del Carmen Páez Soria.
En Madrid, a 29 de julio de 2024.
REUNIDOS
De una parte, doña María del Carmen Páez Soria, en su calidad de titular de la Subsecretaría de Cultura (en adelante Subsecretaría u órgano concedente), cargo que ostenta en virtud del nombramiento efectuado mediante el Real Decreto 229/2024, de 27 de febrero (BOE núm. 52, de 28 de febrero de 2024), y en ejercicio de las competencias que le atribuye el apartado décimo. h) de la Orden CLT/503/2024, de 27 de mayo, sobre fijación de límites para la administración de créditos para gastos y de delegación de competencias.
Y de otra parte, Sociedad Estatal Correos y Telégrafos, SA, S.M.E., con domicilio a los efectos en Madrid, calle Conde de Peñalver 19, 28006, NIF A83052407 y representada legalmente por don José Miguel Moreno Moreno con DNI ***4453**, actuando en su condición de Director de Estrategia, Sostenibilidad y Marca, mancomunadamente con don Francisco Ferrer Moreno con DNI ***5591** actuando en su condición de Secretario General, en virtud de las facultades emanadas de los poderes conferidos en escritura otorgada ante el Notario de Madrid, don Juan Kutz Azqueta, a 29 de febrero de 2024, con el número 350 de su protocolo.
Ambas partes se reconocen mutua y recíprocamente capacidad para obligarse mediante el presente convenio en los términos que en él se contienen y, al efecto,
MANIFIESTAN
Que el Ministerio de Cultura, a tenor de lo dispuesto en el Real Decreto 323/2024, de 26 de marzo, por el que se desarrolla su estructura orgánica básica, es el Departamento de la Administración General del Estado encargado, entre otras funciones, de la propuesta y ejecución de la política del Gobierno en materia de promoción, protección y difusión del patrimonio histórico español, de los museos estatales y de las artes, del libro, la lectura y la creación literaria, de las actividades cinematográficas y audiovisuales y de los libros y bibliotecas estatales, así como la promoción y difusión de la cultura en español, el impulso de las acciones de cooperación cultural y, en coordinación con el Ministerio de Asuntos Exteriores, Unión Europea y Cooperación, de las relaciones internacionales en materia de cultura.
Entre los órganos directivos del Ministerio, corresponden a la Subsecretaría de Cultura las competencias y funciones establecidas en el artículo 63 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, en el Real Decreto 323/2024, de 26 de marzo, por el que se desarrolla la estructura orgánica básica del citado Ministerio, en la orden la Orden CLT/503/2024, de 27 de mayo, sobre fijación de límites para la administración de créditos para gastos y de delegación de competencias.
Que el Ministerio de Cultura, en el ejercicio de las competencias que le corresponden, viene impulsando medidas y actuaciones orientadas a garantizar la sostenibilidad de las industrias culturales y creativas de nuestro país, propiciando la recuperación y dinamización de un sector afectado sensiblemente por la crisis causada por el virus COVID-19, al tiempo que se fomenta el acceso de la ciudadanía a la cultura.
Que, entre las medidas mencionadas, se encuentra el «Bono Cultural Joven», contemplado en la disposición adicional centésima cuarta de la Ley 31/2023, de 23 de diciembre, de Presupuestos Generales del Estado para 2023, con vigencia indefinida.
Que en el artículo 6 del Real Decreto 191/2023, de 21 de marzo, por el que se establecen las normas reguladoras del «Bono Cultural Joven», se recoge la posibilidad de contar con entidades colaboradoras, de conformidad con lo dispuesto en la Ley 38/2003, de 17 de noviembre, General de Subvenciones (en adelante LGS), para la gestión de las ayudas y adhesión de las entidades, la entrega y distribución de los fondos a los beneficiarios, la comprobación del cumplimiento de las condiciones y requisitos para la adhesión y el otorgamiento de las ayudas, de las operaciones de venta y del control de los límites establecidos en el artículo 8 del citado Real Decreto 191/2023, siempre que no suponga el ejercicio de potestades públicas.
Que en virtud de lo dispuesto en los artículos 12.2 y 16.5 de la LGS respecto a la participación y selección de entidades colaboradoras en la gestión de subvenciones; en el Real Decreto 191/2023, de 21 de marzo, y en aplicación de la Orden CLT/489/2024, de 21 de mayo, por la que la entidad colaboradora Sociedad Estatal Correos y Telégrafos, SA, S.M.E., ha resultado seleccionada para la facilitación y gestión de los medios de pago para la ejecución de las ayudas del programa «Bono Cultural Joven», se derivan al presente convenio el alcance y las condiciones de la colaboración entre ambas partes, con arreglo a las siguientes
CLÁUSULAS
Constituye el objeto del presente convenio establecer el marco de colaboración entre las partes firmantes para la facilitación y gestión de los medios de pago a las personas beneficiarias de las ayudas derivadas del programa «Bono Cultural Joven», en los términos previstos en la Orden CLT/489/2024, de 21 de mayo de 2024.
El objeto de la colaboración previsto en el apartado 1 se circunscribirá a la gestión de las ayudas del «Bono Cultural Joven» correspondientes a las convocatorias 2024 y 2025, sin perjuicio de lo previsto en el artículo 5 de la citada orden.
La Sociedad Estatal Correos y Telégrafos, SA, S.M.E., es una entidad colaboradora con personalidad jurídica privada de las previstas en el artículo 12 de la Ley 38/2003, de 17 de noviembre, General de Subvenciones. Esta entidad reúne las condiciones de solvencia y eficacia que se establecen en los artículos 4 y 6 de la Orden por la que se convoca el procedimiento de selección de una entidad colaboradora para la facilitación y gestión de los medios de pago del programa «Bono Cultural Joven».
La entidad colaboradora, sin perjuicio de lo dispuesto en el artículo 15 de la LGS, y de lo establecido en la orden por la que se convoca el procedimiento de concurrencia para la selección de una entidad colaboradora para la facilitación y gestión de los medios de pago del programa «Bono Cultural Joven», se obliga a lo siguiente:
1. Facilitar el soporte y realizar la gestión, bajo la dirección y supervisión del Ministerio de Cultura, de los medios de pago derivados del «Bono Cultural Joven», habilitando para ello una plataforma tecnológica específica y las aplicaciones informáticas más adecuadas para la puesta en marcha, la eficaz ejecución y el seguimiento del programa. La colaboración deberá permitir de modo continuado el seguimiento, control y trazabilidad de la emisión de las tarjetas prepago que incorporan el «Bono Cultural Joven» de la distribución a las personas beneficiarias y de las transacciones realizadas en las entidades adheridas al programa.
2. Tener operativas la plataforma y aplicaciones informáticas para la facilitación y gestión de los medios de pago, virtuales y físicos, y la integración con los sistemas desarrollado a fecha 24 de julio de 2024.
3. Utilizar la imagen corporativa del programa «Bono Cultural Joven», facilitada por la Subsecretaría de Cultura, en todos los soportes físicos y digitales.
4. Poner a disposición de la Subsecretaría de Cultura y, en su caso, de la entidad colaboradora para el apoyo en la gestión de las ayudas, con carácter periódico (al menos mensual, que se entregará en los cinco días naturales siguientes a la finalización del mes de referencia) la siguiente información:
4.1 Número de personas beneficiarias y tarjetas prepago emitidas.
4.2 Número de transacciones y volumen de contabilizado por las tarjetas de prepago según la tipología de actividades y gastos subvencionables establecida en el artículo 8 del Real Decreto 191/2023, de 21 de marzo, y en el artículo 2 de la orden de convocatoria de selección de una entidad colaboradora para la facilitación y gestión de los medios de pago del programa «Bono Cultural Joven».
4.3 Identificador-N.º tarjeta por convocatoria.
4.4 Punto de venta: tipo (Internet, gran superficie especializado,…) área, subárea y epígrafe IAE.
4.5 Número de entidades adheridas al programa, y su ubicación por municipio, provincia y comunidad autónoma.
4.6 Informe de medidas de control de calidad sobre la información administrativa: mails a usuarios sin tarjeta activa, o sin movimientos en tarjeta; verificación mediante muestras de tarjetas sin compra, de compras realizadas (comercio, persona beneficiaria, importe, etc.).
4.7 Informe de consultas realizadas por personas beneficiarias y entidades adheridas a través del servicio de atención al usuario.
4.8 Otros de naturaleza análoga.
5. Poner a disposición de la Subsecretaría de Cultura y, en su caso, de la entidad colaboradora para el apoyo en la gestión de las ayudas, los siguientes ficheros, con periodicidad mensual, en el máximo de cinco días naturales finalizado cada mes de referencia:
5.1 Fichero de «Entidades adheridas» que incluya al menos los siguientes campos: Identificador interno de la entidad (Identificador univoco asignado al autorizar la adhesión); Denominación Entidad; NIF principal; fecha de alta, fecha de baja, epígrafe IAE de la actividad principal; Otros epígrafes IAE de actividades secundarias; código CNAE de la actividad principal; Otros códigos CNAE de actividades secundaria; datos de localización de la sede de la entidad (códigos oficiales –predefinidos y cerrados– de municipio, provincia y comunidad autónoma); Tipo de Entidad (Internet, gran superficie; especializado…).
5.2 Fichero de «Puntos de Venta adheridos» que incluya al menos los siguientes campos: Identificador interno de la entidad (Identificador univoco asignado al autorizar la adhesión); Identificador del comercio dentro de la entidad (Identificador univoco asignado al comercio, MerchanID); Denominación comercio; Identificador del TPV (Terminal ID); Categoría del TPV (productos en soporte físico; contenido digital o en línea; y artes en vivo, patrimonio cultural y artes audiovisuales); Fecha de alta, fecha de baja; Datos de ubicación del punto de venta (códigos oficiales –predefinidos y cerrados– de municipio, provincia y comunidad autónoma).
5.3 Fichero de «Tarjetas creadas». Este fichero debería incluir, al menos, los siguientes campos: Identificador de tarjeta (cardholderID), Fecha de alta, Identificador de la persona beneficiaria (NIF_NIE); Fecha baja; Estado de la tarjeta (abierta, activa, bloqueada....); Tipo de tarjeta (física; virtual).
5.4 Fichero de «Transacciones». Este fichero debería incluir, al menos para las transacciones de compra y de devolución, los siguientes campos: Identificador de la transacción (Transacción ID), Identificador de tarjeta (cardholderID); Identificador del comercio dentro de la entidad (Identificador univoco asignado al comercio, MerchanID); Identificador del TPV (Terminal ID); Cuantía la transacción (de compra o devolución, mAmount1); Identificador de la operación (APPROVAL CODE); Código de producto, según siguiente listado:
– Artes en vivo, patrimonio cultural y artes audiovisuales: Patrimonio Cultural (museos; monumentos; bibliotecas; otros); Escénicos o musicales (teatro; danza; zarzuela; ópera; circo; conciertos; otros); cine, espectáculos taurinos.
– Productos culturales en soporte físico: Libros; prensa o revistas; partituras; música; vídeos; videojuegos, otros.
– Contenido digital o en línea: Suscripciones plataformas (libros; prensa; música, audiovisual; videojuegos); Soportes digitales (libros, música, vídeos, videojuegos, otros).
6. Poner a disposición de la Subsecretaría de Cultura información estadística, con periodicidad mensual, obtenida a través de los ficheros contemplados en los puntos 4 y 5 de la presente cláusula.
7. Distribuir y entregar las tarjetas prepago virtuales y físicas a las personas beneficiarias, en el plazo máximo de 30 días, a contar desde la fecha de las resoluciones parciales de concesión de las ayudas, que contendrán los fondos del programa recibidos a tales efectos, sin ningún coste o requisito adicional.
Estos fondos, en ningún caso, se considerarán integrantes del patrimonio de la entidad colaboradora.
8. Realizar las gestiones oportunas para dar de alta a las entidades que vayan a adherirse al programa, al efecto de permitir la realización de transacciones comerciales con cargo al «Bono Cultural Joven» y poder recibir los pagos en los medios específicos para ello, así como la modificación y bajas de los citados medios de pago registrados, cuando proceda.
9. Informar, con una periodicidad semanal, de la emisión de las tarjetas y de las transacciones realizadas, así como otros aspectos relacionados que se estimen relevantes.
10. Cumplir, en materia de protección de datos, con el Reglamento (UE) n.º 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, con la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales, y con las demás disposiciones vigentes sobre la materia. A estos efectos, se deberá mantener la gestión de las bases de datos del presente programa al margen de las bases de datos de la clientela de la entidad financiera y no se podrá utilizar para ningún fin distinto de la propia administración y gestión de los bonos.
11. Elaborar un balance definitivo, en el plazo de un mes desde la caducidad de la última tarjeta emitida, sin perjuicio de la información que sobre este aspecto requiera la Subsecretaría de Cultura en cualquier momento.
12. Reembolsar el saldo sobrante al Tesoro Público, en la forma y en los plazos que establezca la Subsecretaría de Cultura, admitiéndose reembolsos parciales en función de la caducidad de las tarjetas prepago emitidas.
13. Someterse a las actuaciones de comprobación y control financiero de los órganos competentes de la Administración en el ejercicio de sus funciones.
14. Cumplir con los requisitos y obligaciones impuestas por el artículo 15 de la Ley 38/2003, de 17 de noviembre, General de Subvenciones.
La Subsecretaría de Cultura se compromete a:
1. Librar los fondos correspondientes a las personas beneficiarias para la entrega de las ayudas del «Bono Cultural Joven» en forma de tarjetas prepago virtuales o físicas, correspondientes a las convocatorias que se impulsen y desarrollen dentro del plazo establecido en la cláusula décima y una vez dictadas las resoluciones parciales de concesión.
2. Entregar los materiales gráficos relativos a la imagen del programa «Bono Cultural Joven», para su inclusión en todos los soportes físicos y digitales.
La entidad colaboradora articulará las aplicaciones informáticas técnicamente más adecuadas para incorporar el alta de las personas beneficiarias del «Bono Cultural Joven» y habilitará la solución técnica idónea para la descarga digital de las tarjetas prepago por parte de las personas beneficiarias.
Cada persona beneficiaria dispondrá de una única tarjeta prepago o, en su caso, tres tarjetas, virtuales o físicas, en función de las tipologías de actividades y productos subvencionables previstos en el artículo 8 del Real Decreto 191/2023, que podrán ser utilizadas exclusivamente en las entidades adheridas al programa.
El uso de estas tarjetas se efectuará en las entidades adheridas y, a tal efecto, la entidad colaboradora habilitará los mecanismos y canales necesarios para hacerlo efectivo.
Las tarjetas tendrán un plazo de caducidad de un año desde la fecha de la resolución de concesión, en el que podrán realizar los gastos subvencionables mediante el «Bono Cultural Joven».
Cada «Bono Cultural Joven» tendrá el valor determinado en el artículo 8 del Real Decreto 191/2023 y su importe se irá reduciendo en función del valor de los gastos realizados, de acuerdo con los criterios y los límites establecidos en la normativa reguladora.
El uso de la aplicación y la descarga de la tarjeta prepago por la persona beneficiaria supondrá la aceptación de las condiciones de uso y de la política de privacidad, conforme al Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE/Reglamento general de protección de datos, y la Ley Orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales, de la que será informado convenientemente.
A) Financiación del Programa.
1. La entidad colaboradora recibirá los fondos correspondientes a las ayudas para la emisión de las tarjetas, mediante sucesivos pagos, una vez dictadas las correspondientes resoluciones de concesión de las ayudas, y por el importe de las mismas, sin que sea necesaria la constitución de garantía.
2. La entidad colaboradora seleccionada procederá a la apertura de una cuenta bancaria finalista destinataria de los fondos que permita su seguimiento, así como la verificación de las ayudas otorgadas. En ningún caso los fondos recibidos ni los intereses que, en su caso, produzcan se considerarán integrantes de su patrimonio.
3. La entidad colaboradora seleccionada no imputará costes adicionales por otros conceptos ni percibirá ninguna compensación económica adicional por la gestión de los gastos realizados por las personas beneficiarias con cargo a las tarjetas prepago, ni a las entidades adheridas al programa «Bono Cultural Joven».
B) Compensación económica.
1. La ejecución del convenio se financiará con cargo a la aplicación presupuestaria 24.01.334A.482, con imputación a los ejercicios 2024, 2025, 2026 y 2027, y tendrá un importe total máximo de 5.600.000 euros. El importe total integra la totalidad de los costes de facilitación y gestión de todas las tarjetas prepago que resulten válidamente emitidas, así como los conceptos establecidos en el artículo 3 de la Orden por la que se convoca el procedimiento de concurrencia para la selección de una entidad colaboradora para la facilitación y gestión de los medios de pago del programa de ayudas «Bono Cultural Joven».
2. El importe de la compensación económica se abonará, en la forma prevista en el artículo 3 de la orden por la que se convoca el procedimiento de concurrencia para la selección de una entidad colaboradora para la facilitación y gestión de los medios de pago del programa de ayudas «Bono Cultural Joven», en la cuenta de la entidad colaboradora que comunique a estos efectos, y de acuerdo a las siguientes anualidades:
– Anualidad 2024:
Gastos de implantación y desarrollo del sistema. | 375.000 € |
Emisión de tarjetas convocatoria BCJ 2024. | 2.000.000 € |
Refuerzo servicio atención usuarios. | 25.000 € |
Total anualidad 2024. | 2.400.000 € |
– Anualidad 2025:
Emisión de tarjetas convocatorias BCJ 2024 y 2025. | 2.500.000 € |
Adaptaciones inicialmente no previstas BCJ 2024 y 2025. | 50.000 € |
Refuerzo servicio atención usuarios. | 50.000 € |
Total anualidad 2025. | 2.600.000 € |
– Anualidad 2026:
Emisión de tarjetas convocatoria BCJ 2025. | 500.000 € |
Adaptaciones inicialmente no previstas BCJ 2024 y 2025. | 50.000 € |
Refuerzo servicio atención usuarios. | 25.000 € |
Total anualidad 2026. | 575.000 € |
– Anualidad 2027:
Adaptaciones inicialmente no previstas BCJ 2025. | 25.000 € |
Total anualidad 2027 | 25.000 € |
Para el reparto de los distintos conceptos en las cuatro anualidades indicadas se ha partido de la experiencia previa en la gestión del programa del «Bono Cultural Joven» en las convocatorias 2022 y 2024, considerando que la mayoría de las tarjetas prepago serán emitidas dentro del ejercicio económico del año de la convocatoria de ayudas, trasladando al ejercicio siguiente una partida mínima correspondiente a posibles expedientes iniciados en la parte final de plazo, que requieran la aportación de documentación adicional u otras circunstancias que impidan la concesión dentro del ejercicio económico. Igualmente se ha previsto un refuerzo del servicio de atención al usuario coincidente con el periodo estimado de emisión de las tarjetas prepago y de ejecución de los gastos. Finalmente consta una partida relativa a adaptaciones inicialmente no previstas que puedan surgir durante la ejecución, en las tres últimas anualidades, excluyendo la primera en la que se realiza la implantación y desarrollo del sistema.
La propiedad intelectual del sistema que se implante para la ejecución de lo previsto en el presente convenio corresponderá a la entidad colaboradora.
En relación con el tratamiento y la protección de datos de carácter personal resultará de aplicación lo dispuesto en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, y en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos, en adelante, RGPD), especialmente, en lo que se refiere al tratamiento de datos. Adicionalmente se someterá a lo dispuesto en la presente cláusula y a las instrucciones establecidas en el anexo de este convenio de colaboración.
La Sociedad Estatal Correos y Telégrafos, SA, S.M.E., realizará la función de encargado de tratamiento de los datos de carácter personal contenidos en los expedientes cuya gestión es objeto del convenio no considerándose comunicación de datos el acceso a los mismos, de acuerdo a lo establecido en el RGPD, en la Ley Orgánica 3/2018 y en sus normas de desarrollo.
La entidad colaboradora Sociedad Estatal Correos y Telégrafos, SA, S.M.E., se compromete a:
a) Tratar los datos únicamente conforme a las instrucciones de la Subsecretaría de Cultura, en su condición de responsable del tratamiento, no aplicándolos o utilizándolos con fines distintos a los previstos en el presente convenio.
b) Garantizar la debida confidencialidad de las personas autorizadas para tratar datos personales contenidos en los expedientes cuya gestión es objeto del convenio.
c) Adoptar las medidas de índole técnica y organizativas apropiadas que garanticen un nivel de seguridad de los datos de carácter personal adecuado al riesgo, teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto los fines del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas.
d) En caso de recurrir a otro encargado del tratamiento, respetará las condiciones indicadas en los apartados 2 y 4 del artículo 28 del RGPD.
A estos efectos, el Ministerio de Cultura autoriza a la Sociedad Estatal Correos y Telégrafos, SA, S.M.E., a recurrir, como subencargado del tratamiento, a BNEXT Electronic Issuer, EDE, SL, con NIF B-88463534 y con domicilio en calle Zurbano, 71, Madrid, 28010 (en adelante, «BNEXT») o a cualquiera que la sustituya previa conformidad del Ministerio de Cultura, en el desarrollo de las prestaciones que la Sociedad Estatal Correos y Telégrafos, SA, S.M.E., tiene encomendadas para el cumplimiento del objeto de la colaboración, de conformidad con lo dispuesto en la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014, en lo que afecta a la subcontratación.
e) Asistirá a la Subsecretaría de Cultura, a través de las oportunas medidas técnicas y organizativas, siempre que sea posible, para que ésta pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de los derechos de los interesados en relación con sus datos personales, para lo cual, cualquier solicitud en este sentido que reciba será puesta en conocimiento de la Subsecretaría de Cultura en el plazo de 72 horas.
f) Ayudará a la Subsecretaría de Cultura a garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del RGPD, teniendo en cuenta la naturaleza del tratamiento y la información a disposición de la entidad colaboradora financiera. En particular, si esta tuviera conocimiento de un incidente de seguridad, lo comunicarán a la Subsecretaría de Cultura en el plazo de 24 horas a través del correo electrónico que se determine a efectos del cumplimiento de las obligaciones de esta como responsable, con la asistencia que fuera necesaria en el ámbito de sus funciones; asimismo, asistirá a la Subsecretaría de Cultura, siempre que fuera posible en su obligación de efectuar una evaluación de impacto si se estimase necesario; por último, y aunque no está prevista la realización de transferencias internacionales de datos, si fueran necesarias se realizarán siguiendo los instrucciones de la Subsecretaría de Cultura.
g) Una vez cumplido el convenio, devolverá a la Subsecretaría de Cultura los datos de carácter personal, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto de tratamiento.
h) Pondrá a disposición de la Subsecretaría de Cultura toda la información necesaria para demostrar el cumplimiento de las anteriores obligaciones, así como para permitir y contribuir a la realización de auditorías, incluidas inspecciones por parte de la Subsecretaría de Cultura o de otro auditor autorizado por ella.
La entidad colaboradora financiera conservará debidamente bloqueados los datos en tanto pudieran derivarse responsabilidades de su relación con la Subsecretaría de Cultura.
Como responsable del tratamiento de los datos de carácter personal, son obligaciones de la Subsecretaría de Cultura:
a) Facilitar por escrito al encargado las instrucciones necesarias para el tratamiento de los datos personales, y específicamente en lo referente a las medidas técnicas y organizativas a aplicar y destrucción o devolución de los datos.
b) Dar respuesta al interesado respecto a sus solicitudes de ejercicio de los derechos de acceso, rectificación, supresión y portabilidad de los datos, de limitación y oposición a su tratamiento, así como a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado de sus datos, cuando procedan. Dichas solicitudes se ejercitarán a través de la sede electrónica del Ministerio de Cultura, presencialmente en las oficinas de registro o por correo postal. Igualmente el interesado podrá consultar cualquier duda al respecto a través de la dirección de correo electrónico: dpd@cultura.gob.es.
c) En su caso, notificar las violaciones de seguridad a la Autoridad de Control y al interesado.
d) Elaborar la evaluación de impacto cuando proceda.
e) Efectuar las consultas a la Autoridad de control, cuando proceda.
f) Cualquier otra recogida en la legislación en vigor y aplicable a los responsables de tratamiento de datos personales.
Se constituye una Comisión Técnica de Seguimiento que estará encargada de velar por la adecuada realización del objeto del convenio y estará compuesta por cinco miembros. Tres actuarán en representación de la Subsecretaría de Cultura, siendo uno de ellos el Jefe del Gabinete Técnico de la Subsecretaría. Por parte de la entidad colaboradora, integrarán la Comisión dos personas de la entidad colaboradora relacionadas con el contenido del presente convenio y que la misma determine.
A la citada Comisión, podrán incorporarse los asesores que cada una de las partes designe, si lo estima oportuno, entre su personal.
Podrán incorporarse igualmente representantes de las otras entidades colaboradoras cuando los asuntos que se traten sean de interés general del programa, sean necesarios para la eficaz coordinación o afecten al ámbito de las actividades que deban realizar en virtud de lo establecido en los respectivos instrumentos de colaboración.
La Comisión de Seguimiento tendrá las siguientes competencias:
a) Vigilar el correcto cumplimiento de lo establecido en el presente convenio.
b) Resolver los problemas de interpretación y cumplimiento que se deriven de la ejecución del convenio.
c) Evaluar y aprobar propuestas de mejora en la distribución y entrega de las ayudas, así como en la gestión de las autorizaciones, modificaciones y bajas de los Terminales de Puntos de Venta (TPV) y FUC de las entidades adheridas.
La Comisión se reunirá periódicamente para evaluar el progreso en la ejecución del convenio y a la finalización del mismo. Independientemente de este régimen de reuniones, la Subsecretaría de Cultura podrá instar las reuniones que estime necesario.
Las reuniones de la Comisión se podrán realizar tanto en modalidad presencial como no presencial, haciendo uso de medios electrónicos tales como audio/ videoconferencia o correo electrónico.
Sin perjuicio de las funciones de la comisión, la Subsecretaría de Cultura podrá llevar a cabo, de manera periódica, actuaciones de comprobación sobre la entrega y distribución de las ayudas por parte de la entidad colaboradora.
El presente convenio se perfeccionará con la firma del documento y resultará eficaz una vez inscrito, en el plazo de cinco días hábiles desde su formalización, en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación del sector público estatal, de conformidad con el artículo 48.8 de la Ley 40/2015, de 1 de octubre. Asimismo, será objeto de publicación en el «Boletín Oficial del Estado».
Tendrá una vigencia de treinta y seis meses desde la fecha de la firma, pudiendo ser prorrogado por acuerdo expreso de ambas partes, que se adoptará con anterioridad a la finalización de la vigencia anteriormente indicada.
Las partes podrán resolverlo de mutuo acuerdo y por denuncia de cualquiera de las mismas cuando sobreviniesen causas que impidiesen o dificultasen en gran medida el cumplimiento del convenio. En este caso, la parte afectada lo comunicará a la otra con un mes de antelación como mínimo.
Cualquier modificación de este convenio deberá ser aprobada por las dos partes, por escrito, y los documentos resultantes se añadirán como adendas a este convenio.
El presente convenio de colaboración se suscribe al amparo de lo dispuesto en el artículo 16 de la Ley 38/2003, de 17 de noviembre, General de Subvenciones. Se regirá por sus propias cláusulas y, supletoriamente, por la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, y demás normas generales del Derecho Administrativo.
Cualquier conflicto que pudiera suscitarse sobre la interpretación o ejecución del presente convenio se resolverá por mutuo acuerdo de las partes y, en su defecto, serán aplicables las disposiciones de la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa.
En prueba de conformidad, ambas partes suscriben el presente convenio.–Por el Ministerio de Cultura P. D. A. P. (Orden CLT/503/2024, de 27 de mayo), firmado electrónicamente, la Subsecretaria de Cultura, María del Carmen Páez Soria.–Por la Sociedad Estatal Correos y Telégrafos, SA, S.M.E., el Director de Estrategia, Sostenibilidad y Marca, José Miguel Moreno Moreno y el Secretario General, Francisco Ferrer Moreno.
a) Categorización Esquema Nacional de Seguridad (ENS)
De conformidad con lo dispuesto en el artículo 38 del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS), el Ministerio de Cultura ha catalogado el servicio-sistema de la siguiente forma:
D | I C | A | T | ||
---|---|---|---|---|---|
Servicio de «Bono Cultural Joven». | B | N/A | N/A | N/A | N/A |
Información de Datos personales de los jóvenes beneficiarios (identidad, residencia legal). | N/A | B | B | B | B |
Información de Datos de las entidades adheridas. | N/A | B | B | B | B |
Información de la gestión de las ayudas del bono cultural joven. | N/A | M | B | M | B |
Categorización máxima. | B | M | B | M | B |
En virtud de la anterior categorización, son de aplicación las medidas de seguridad del anexo II del ENS.
b) Instrucciones iniciales de coordinación del responsable del tratamiento de los datos personales del «Bono Cultural Joven» en relación con el artículo 28 del Reglamento UE 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de los datos personales y a la libre circulación de estos datos (RGPD) y los acuerdos previos convenidos con los encargados
Descripción general del tratamiento de Datos Personales a efectuar
El tratamiento consistirá en la facilitación y gestión de los medios de pagos de las ayudas del Bono Cultural Joven a las personas beneficiarias, incluyendo la gestión de la plataforma y aplicaciones informáticas para la puesta en marcha y ejecución del Bono Cultural Joven; emisión, administración y gestión de la prestación de las tarjetas prepago correspondientes a las convocatorias de ayudas del Bono Cultural Joven que se impulsen y desarrollen durante la vigencia del presente convenio, así como su distribución a las personas Beneficiarias; call center para la atención a las personas Beneficiarias sobre la facilitación y gestión de los medios de pago.
Igualmente, la Sociedad Estatal Correos y Telégrafos, SA, S.M.E., se encargará de gestionar la autorización de altas, modificaciones y bajas de los terminales de puntos de venta (TPV) y FUC de las entidades adheridas al programa, a los efectos de aceptar pagos de los medios de pago emitidos.
Colectivo y datos tratados
1. Personas beneficiarias de las ayudas del «Bono Cultural Joven». Ciudadanos que cumplen 18 años en el año en que se publique cada convocatoria: Nombre y apellidos, Documento de Identificación (DNI o NIE), fecha de nacimiento, sexo, nacionalidad, domicilio legal, número de teléfono, correo electrónico, identificador de tarjeta (cardholderID), fecha de alta y fecha de baja de la tarjeta; estado de la tarjeta (abierta, activa, bloqueada, etc.); tipo de tarjeta (física o virtual), movimientos de la tarjeta.
Representantes legales de los anteriores: Nombre y apellidos, NIF o documento legal equivalente, número de teléfono y correo electrónico.
2. Entidades adheridas como personas físicas (autónomos) y representantes de personas jurídicas. Nombre y apellidos del interesado/a, del representante legal o razón social de la persona jurídica que actúa como representante, cuando proceda, NIF de la entidad, documentación de identificación del representante, domicilio fiscal del interesado/a, domicilio a efectos de notificaciones, correo electrónico de entidad y representante, número de teléfono, fecha de adhesión y, en caso, renuncia al programa, epígrafe IAE de la actividad principal; otros epígrafes IAE de actividades secundarias; código CNAE de la actividad principal; otros códigos CNAE de actividades secundaria; datos de localización de la sede de la entidad (códigos oficiales –predefinidos y cerrados– de municipio, provincia y comunidad autónoma); tipo de entidad (Internet, gran superficie; especializado…), identificador del comercio dentro de la entidad (identificador univoco asignado al comercio, MerchanID); denominación comercio; identificador del TPV (Terminal ID); categoría del TPV (productos en soporte físico; contenido digital o en línea; y artes en vivo, patrimonio cultural y artes audiovisuales); fecha de alta y fecha de baja del TPV, datos de ubicación del comercio (códigos oficiales –predefinidos y cerrados– de municipio, provincia y comunidad autónoma), cuantía de la transacción comercial (de compra o devolución, mAmount1); identificador de la operación; código de producto, según las categorías previstas en el artículo 8 del Real Decreto 191/2023, de 21 de marzo:
– Artes en vivo, patrimonio cultural y artes audiovisuales: patrimonio cultural (museos; monumentos; bibliotecas; otros); escénicos o musicales (teatro; danza; zarzuela; ópera; circo; conciertos; otros); cine; espectáculos taurinos.
– Productos en soporte físico (libros; prensa o revistas; partituras; música; videos; videojuegos, otros).
– Contenido digital o en línea: Suscripciones plataformas (libros; prensa; música, audiovisual; videojuegos); Soportes digitales (libros, música, videos, videojuegos, otros).
En el caso de las personas beneficiarias de la ayuda del Bono Cultural Joven, se evitará, en la medida de lo posible, el tratamiento de datos personales de categoría especial por parte del Responsable del Tratamiento. En el caso de que lo anterior no fuera posible, se aportarían nuevas instrucciones por parte del Responsable del Tratamiento con el fin de reforzar las garantías y mitigar cualquier riesgo para los derechos y libertades de las personas afectadas. La comunicación se realizaría, cuando proceda, conforme a lo dispuesto en el artículo 18.1.a) de la Ley 12/2009, de 30 de octubre, reguladora del derecho de asilo y de la protección subsidiaria o con la protección temporal definida en el Real Decreto 1325/2003, de 24 de octubre, por el que se aprueba el Reglamento sobre régimen de protección temporal en caso de afluencia masiva de personas desplazadas.
El encargado tratará los datos personales que sean estrictamente necesarios para cumplir con las obligaciones y actividades derivadas del encargo, en cumplimiento del principio de minimización definido en el RGPD y el artículo 15.4.b) del Real Decreto 191/2023, de 21 de marzo siguiendo, en todo caso, las instrucciones ofrecidas por el Ministerio de Cultura en calidad de Responsable del Tratamiento. En caso necesario, el Responsable del Tratamiento determinará los datos concretos que pueden tratar el Encargado del Tratamiento en las comunicaciones necesarias entre ellas para la ejecución del «Bono Cultural Joven».
Medidas adicionales
Las medidas de seguridad implantadas para el tratamiento podrán ser objeto de modificación, supresión y/o novación en aras a dar cumplimiento a las exigencias que impone el Reglamento General de Protección de Datos (RGPD) y resto de normativa vigente. A estos efectos, el Ministerio de Cultura notificará por escrito a la Sociedad Estatal Correos y Telégrafos SA, S.M.E., cualquier modificación, supresión y/o novación sobre las medidas de seguridad a implementar. Específicamente deberán seguirse las establecidas en el artículo 32.1 del RGPD, la Disposición Adicional primera en su punto 2 de la LOPDGDD, las que figuran en los instrumentos de colaboración de las entidades colaboradoras en la gestión del programa así como las siguientes medidas de seguridad tanto técnicas como organizativas y de cumplimiento adicionales, sin perjuicio de la existencia de otras medidas de seguridad complementarias para asegurar el cumplimiento legal en materia de protección de datos personales o Esquema Nacional de Seguridad (ENS), en el nivel que se ha determinado y contemplado en el presente anexo:
a) La conservación de los datos personales será un elemento de tratamiento de la Sociedad Estatal Correos y Telégrafos, SA, S.M.E., y se hará en servidores locales con backups diarios siempre en servidores diferentes y aislados para garantizar la integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. En el caso de no poder gestionarse en servidores locales, los servidores estarán ubicados en la UE o en el Espacio Económico Europeo (EEE). La finalidad primordial es evitar el daño por ransomware y cualquier otro tipo de ataque de ciberseguridad.
b) No se realizarán transferencias internacionales de ningún tipo. En caso de servicios de computación en la nube y subcontratación por parte del encargado, se exigirá que pongan en conocimiento del responsable transferencias internacionales de datos y, en caso afirmativo, con qué garantías en cumplimiento del capítulo V del RGPD.
c) Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga: la información recogida en el artículo 30.2 del RGPD incluidas las transferencias de datos personales a un tercer país u organización internacional (en su caso), junto con la identificación de dicho tercer país u organización internacional y, en el caso de las transferencias indicadas en el artículo 49 apartado 1, párrafo segundo del RGPD, la documentación de garantías adecuadas.
d) Si fuera necesario por la propia evolución de las necesidades de actualización de los sistemas de información utilizados por el Encargado del Tratamiento para dar el servicio, se comunicará cualquier cambio que se produzca, a lo largo del ciclo de vida de los datos, en los apartados anteriores y no se ejecutará dicho cambio hasta el visto bueno del Responsable del Tratamiento.
e) Si un encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones de interés público.
f) Solo podrán tener acceso a los datos personales aquellas personas autorizadas y únicamente para aquellos datos precisos para la ejecución del programa «Bono Cultural Joven» y para el fin específico que se requiera. Se deberá tener un control de las personas que tengan acceso en cada actuación del Encargado, y será evidenciable, debiendo contar con el correspondiente compromiso de confidencialidad.
g) Llevar un listado de personas autorizadas en el apartado anterior para tratar los Datos Personales objeto del tratamiento y garantizar que las mismas se comprometen a respetar la confidencialidad, y a cumplir con las medidas de seguridad correspondientes, de las que les debe informar convenientemente. Igualmente mantener a disposición del Responsable del Tratamiento dicha documentación acreditativa. Dicha documentación acreditativa no comportará en ningún caso una comunicación de datos personales de las personas autorizadas.
h) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del Responsable del Tratamiento, en los supuestos legalmente admitidos.
i) Llevar, por escrito, un registro de todos los incidentes de seguridad de la información tanto que se deban aportar o no al CCN-CERT.
j) Para la realización del servicio, se requieren las siguientes comunicaciones internas de datos entre los Encargados del Tratamiento del Ministerio de Cultura:
– La Fábrica Nacional de Moneda y Timbre-Real Casa de la Moneda (FNMT-RCM), a través de la plataforma tecnológica de gestión del «Bono Cultural Joven», contiene los datos personales correspondientes a los solicitantes de las ayudas y adhesión de las entidades al citado programa (personas interesados y representantes legales).
– TRAGSATEC obtiene, a través de la plataforma tecnológica de la FNMT-RCM, los datos personales necesarios para realizar la revisión documental de los expediente de concesión de ayudas y de adhesión de las entidades.
– La Sociedad Estatal Correos y Telégrafos, SA, S.M.E., como entidad encargada de facilitar los medios de pago de las tarjetas prepago y de gestión de altas, modificaciones y bajas de TPVs de las entidades adheridas, recibe de forma segura a través de la plataforma informática mediante APIs, los datos personales necesarios de las personas beneficiarias del «Bono Cultural Joven» y de las entidades adheridas al programa.
k) En caso de duda en el acceso a los datos por personal autorizado o en el flujo de estos, se consultará al responsable la manera de proceder y siempre de manera que se respete la confidencialidad y la seguridad de la información.
l) El Encargado del Tratamiento siempre colaborará tanto en el cumplimiento de las obligaciones del responsable como en su demostración.
m) En el ámbito de actuación del encargado, se atenderán las siguientes indicaciones:
– No se permitirá el uso para fines particulares de aquellos ordenadores y dispositivos destinados al tratamiento de los datos personales.
– Cuando el mismo ordenador o dispositivo se utilice para el tratamiento de datos personales y fines de uso personal, se recomienda disponer de varios perfiles o usuarios distintos para cada una de las finalidades. Deben mantenerse separados los usos profesional y personal del ordenador o dispositivo.
– Si, en el procedimiento de tratamiento o acceso a los datos a través de un equipo de los Encargados del Tratamiento, se realice mediante acceso remoto, se debe disponer de las medidas de seguridad adecuadas contando, al menos, de una VPN y doble factor de autenticación, 2FA, o medidas de seguridad equivalentes y que cumplan con el nivel requerido del ENS para en el nivel que corresponda.
– Se recomienda disponer de perfiles con derechos de administración para la instalación y configuración del sistema y usuarios sin privilegios o derechos de administración para el acceso a los datos personales. Esta medida evitará que, en caso de ataque de ciberseguridad, puedan obtenerse privilegios de acceso o modificar el sistema operativo.
– Se garantizará la existencia de contraseñas (o mecanismos equivalentes) para el acceso a los datos personales almacenados en sistemas electrónicos. La contraseña tendrá, al menos, 16 caracteres, mezcla de números y letras, y se renovarán periódicamente (al menos de forma trimestral).
– Cuando a los datos personales accedan distintas personas, para cada persona con acceso a los datos personales, se dispondrá de un usuario y contraseña específicos (identificación inequívoca).
– Se garantizará la confidencialidad de las contraseñas, evitando que queden expuestas a terceros. En ningún caso se compartirán las contraseñas ni se dejarán anotadas en lugar común y el acceso de personas distintas del usuario.
– Actualización de ordenadores y dispositivos. Los dispositivos y ordenadores utilizados para el almacenamiento y el tratamiento de los datos personales deberán mantenerse actualizados en la media posible.
– En los ordenadores y dispositivos donde se realice el tratamiento de los datos personales, se dispondrá de un sistema de antivirus que garantice en la medida posible el robo y destrucción de la información y datos personales. El sistema de antivirus deberá ser actualizado de forma periódica.
– Para evitar accesos remotos indebidos a los datos personales, se velará para garantizar la existencia de un cortafuegos activado en aquellos sistemas en los que se realice el almacenamiento y/o tratamiento de datos personales.
– Cuando se precise realizar la extracción de datos personales fuera del recinto donde se realiza su tratamiento, ya sea por medios físicos o por medios electrónicos, se deberá valorar la posibilidad de utilizar un método de cifrado para garantizar la confidencialidad de los datos personales en caso de acceso indebido a la información.
– En la parte del flujo de trabajo de cada Encargado del Tratamiento y como refuerzo al apartado a), periódicamente se realizará una copia de seguridad en un segundo soporte distinto del que se utiliza para el trabajo diario. La copia se almacenará en lugar seguro, distinto de aquél en que esté ubicado el equipo con los ficheros originales, con el fin de permitir la recuperación de los datos personales en caso de pérdida de la información. La copia de seguridad debe estar encriptada.
– Se deberá evitar el acceso de personas no autorizadas a los datos personales, a tal fin se evitará: dejar los datos personales expuestos a terceros (pantallas electrónicas desatendidas, documentos en papel en zonas de acceso público, soportes con datos personales, etc.), esta consideración incluye las pantallas que se utilicen para la visualización de imágenes del sistema de videovigilancia, si lo hubiera. Cuando la persona se ausente del puesto de trabajo, procederá al bloqueo de la pantalla o al cierre de la sesión.
– Los documentos en papel y soportes electrónicos se almacenarán en lugar seguro (armarios o estancias de acceso restringido) durante las 24 horas del día, y serán custodiados cuando, con motivo de su tramitación, se encuentren fuera de los dispositivos o salas de archivo.
– No se desecharán documentos (papel) o soportes electrónicos (cd, pen drives, discos duros, etc.), con datos personales sin garantizar su destrucción, de forma que la información no sea recuperable.
Elementos del tratamiento
El tratamiento de los Datos Personales comprenderá: registro (grabación), estructuración, modificación, consulta, interconexión (cruce), cotejo, supresión, destrucción (de copias temporales), conservación (en sus sistemas de información), copia de seguridad y recuperación.
Disposición de los datos al finalizar la colaboración
a) Una vez finalice la vigencia del convenio, el encargado (y sus subencargados implícitamente) deben: devolver al responsable del tratamiento los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida la prestación. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.
No obstante, y previa notificación por escrito del Responsable del Tratamiento a la finalización del encargo, el Responsable del Tratamiento podrá requerir al encargado para que, en vez de la opción a), cumpla con la b) o c) siguientes:
b) Devolver al encargado que designe por escrito el responsable del tratamiento, los datos de carácter personal y, si procede, los soportes donde consten, una vez cumplida prestación. La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado. No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.
c) Destruir los datos, una vez cumplida la prestación. Una vez destruidos, el encargado debe certificar su destrucción por escrito y previa petición, debe entregar el certificado al responsable del tratamiento. No obstante, el encargado puede conservar una copia, con los datos debidamente boqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.
Medidas de seguridad
Los datos deben protegerse para evitar que dichos datos pierdan su razonable confidencialidad, integridad y disponibilidad y de acuerdo con la catalogación del riesgo según el anexo I del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad y la evaluación de riesgos realizada. Se deben implantar, al menos, las siguientes salvaguardas:
1. Privacidad desde el diseño y por defecto.
Tipo | Descripción | Salvaguardas |
---|---|---|
Ocultación o pseudonimización (RGPD). | Los datos a comunicar se deben ofuscar. | Si aparece información del entorno de producción, se disociarán los datos identificativos. |
Borrado de información. | Se deben establecer criterios concretos para eliminar los datos. | Se deben definir criterios generales de borrado, conforme a los plazos legales de conservación. |
Seguridad en los requisitos, análisis y diseño de aplicaciones informáticas. | El modelo de datos debe incluir el mínimo número de datos, la exposición de los datos debe predefinirse teniendo en cuenta los requisitos de seguridad. |
Análisis de PbDD. Debe existir una lista de requisitos de seguridad. Un informe debe relacionar los requisitos de seguridad con las medidas de análisis implantadas, y detectar mejoras. |
Seguridad en la puesta en producción de aplicaciones informáticas. | Se debe garantizar que las aplicaciones informáticas tienen controles de seguridad adecuados. |
Evaluar que la aplicación tiene control de accesos. Controlar que las aplicaciones no sean vulnerables al top 10 de OWASP |
Cancelación periódica / Expurgo. | El modelo de datos debe incluir el mínimo número de datos, la exposición de los datos debe predefinirse teniendo en cuenta los requisitos de seguridad. |
Definir y aplicar criterios generales de conservación de la información. Definir procedimientos de expurgo de la información aprobados, y conocidos, por la Organización. Auditar anualmente los procedimientos de cancelación periódica y expurgo. Valorar la contratación de un proveedor certificado en procedimientos de destrucción segura de información. |
Finalidades debidas y no excesivas. | Las finalidades deben ser debidas y no excesivas. | Definir finalidades específicas. |
Políticas de control de accesos. | Restringir el acceso a los datos bajo el principio de necesidad de conocimiento. | Implementar controles de acceso a la información. |
Técnicas de ofuscación o disociación. | Los datos deben ser ininteligibles mediante cifrado, u optar por eliminar la vinculación entre conjuntos de datos independientes. | Se debe eliminar la vinculación entre diferentes conjuntos de datos, manteniéndolos independientes. |
Técnicas de agregación. | Agrupar la información relativa a varios sujetos usando técnicas de generalización y supresión. | Se debe agrupar la información relativa a varios sujetos, no utilizando los datos del sujeto específico. |
Tratar sólo las muestras de sujetos relevantes para la finalidad. | Elegir sólo la muestra de sujetos relevante y los atributos necesarios para el tratamiento; u optar por excluir previamente los sujetos y atributos irrelevantes para el tratamiento realizado. | Revisar los datos necesarios para el tratamiento y almacenamiento |
Técnicas de eliminación de los datos. | Eliminar parcialmente los datos cuando dejen de ser necesarios o suprimirlos por completo cuando dejen de ser relevantes, asegurándose de que no sean recuperables. | Si aparece información del entorno de producción, se deben disociar los datos identificativos. |
Técnicas de sumarización de los datos. | Generalizar los valores de los atributos utilizando intervalos o rangos de valores, en lugar de un valor concreto. | Se deben utilizar rangos de valores simples. |
Técnicas de agrupación de los datos. | Agregar la información de un grupo de registros en categorías, en lugar de utilizar información detallada de cada sujeto. | Aplicar una agregación en el tiempo. |
Técnicas de perturbación de los datos. | Perturbar: utilizar valores aproximados o modificar el dato real mediante el empleo de algún tipo de ruido aleatorio en lugar de trabajar con el valor exacto del dato. | Aplicar técnicas de ofuscación simples. |
Separación de los datos. | Recoger y almacenar los datos en distintas BBDD o apps independientes lógica y físicamente, adoptando medidas adicionales de desvinculación como el borrado programado de tablas de indexación. | Compartimentar el acceso a los datos. |
Distribuir los datos. | Diseminar la recogida y tratamiento de los subconjuntos de datos correspondientes a diferentes tratamientos sobre unidades de tramitación y gestión que sean físicamente independientes y utilicen sistemas y apps diferentes. | La recogida de los datos se debe realizar por departamentos diferentes de quienes van a realizar el tratamiento. |
Recogida del consentimiento del titular de los datos (apps móvil). | Recoger el consentimiento de los titulares de forma inequívoca, mediante manifestación o clara acción afirmativa. Debe ser revocable. | Buscar bases de legitimación alternativas al consentimiento. |
Alertar al interesado (apps móvil). | Se debe informar al interesado del momento en que se está realizando una recogida de datos, aun cuando ya haya sido informado de forma genérica de la base legal que justifica el tratamiento, o haya prestado consentimiento. | El consentimiento debe ser informado. |
Elección por el interesado de la forma de tratamiento (apps móvil). | Proporcionar la funcionalidad granulada de apps y servicios, sin supeditarla al consentimiento del tratamiento de datos innecesarios para su ejecución. | El consentimiento debe ser específico. |
Mecanismos de actualización de los datos (apps móvil). | Implementar mecanismos que faciliten a los usuarios o incluso les permita revisar, actualizar y rectificar directamente los datos para los que se haya facilitado un tratamiento concreto. | La Organización debe contar con procedimientos para gestionar las solicitudes de actualización de información en las tarjetas virtuales. |
Mecanismos de supresión de los datos. | Proporcionar mecanismos para que los usuarios puedan suprimir o solicitar el borrado de los datos personales que hayan facilitado a un responsable. | Contar con Procedimientos de Gestión de Derechos. |
Política de Protección de Datos. | Especificar una política de protección de datos que refleje las cláusulas de privacidad comunicadas a los interesados. Desarrollar procesos de formación y concienciación. | Contar con Procedimientos sobre gestión de obligaciones del RGPD. |
Medidas técnicas y organizativas que ejecuten la Política. | Dar soporte a la política definida mediante el establecimiento y revisión de mecanismos y procedimientos de cumplimiento efectivo e implantación de medidas técnicas y organizativas necesarias. | Realizar análisis de riesgos en seguridad de la información. |
Garantizar el cumplimiento de la Política de Privacidad. | Asegurar el cumplimiento, eficacia y eficiencia de la política de privacidad y de los procedimientos, medidas y controles implantados. | Debe existir un Responsable de Seguridad, o rol similar, en cada entidad y un delegado de protección de datos |
Auditoría. | Revisar de forma sistemática, independiente y documentada el grado de cumplimiento de la política de protección de datos. |
Realizar una autoevaluación periódicamente y una auditoría interna en caso de evaluación negativa. El responsable dispondrá de todas las facilidades en caso de proceder a una auditoría con tanto siempre con una persona de suficiente rango en al entidad que sirva de contacto y para el correcto desarrollo de la misma. |
Registro de decisiones y cambios. | Documentar todas y cada una de las decisiones tomadas en el tiempo, aun cuando hayan resultado contradictorias, identificando quién las tomó, cuándo y justificación para hacerlo. | Los documentos deben contener registros de cambios. |
Notificar eventos de seguridad. | Documentar los resultados de las auditorías realizadas y cualquier incidente que se produzca en operaciones de tratamiento de datos, y ponerlo a disposición de la autoridad. | Informar al Responsable a la mayor brevedad posible de los incidentes de seguridad, antes de 24 horas desde su descubrimiento. |
Informar a los interesados (1). | Suministrar a los interesados la información exigida por el RGPD de forma concisa, transparente, inteligible y de fácil acceso, utilizando un lenguaje claro y sencillo. | Las cláusulas de información deben ser actualizadas al RGPD. |
Informar a los interesados (2). | Informar sobre el tratamiento a los interesados, cuando los datos no se recaben directamente de ellos, en el momento en que sean obtenidos y a más tardar en el plazo de un mes. | Informar a los interesados cuyos datos no se recabaron directamente de ellos. |
2. Seguridad informática.
Tipo | Descripción | Salvaguardas |
---|---|---|
Protección de las instalaciones e infraestructuras (ENS). | RD 311/2022, anexo II. Las instalaciones e infraestructuras deben tener medidas de seguridad física. | Implementar controles de acceso físico a edificios y sistemas contra incendios. |
Protección frente a código dañino (ENS). | RD 311/2022, anexo II., op.exp. Deben existir sistemas antimalware. | Instalar software antimalware en equipos personales. |
Aislamiento de datos en entornos productivos (ENS). | Los datos fuera del entorno de producción no deben ser reales, o bien estar convenientemente protegidos. | El entorno de producción debe estar aislado del resto de entornos. |
Cifrado de información almacenada (ENS). | RGPD. Debe guardarse cifrada la información almacenada en bases de dato o ficheros informáticos. | Se deben cifrar los datos más sensibles (domicilio, etc.). |
Caracterización del puesto de trabajo (ENS). | RD 311/2022, anexo II. mp.per.1. El puesto de trabajo debe estar definido con requisitos de seguridad establecidos. | Se deben clasificar los puestos de trabajo en función del volumen y la sensibilidad de la información a la que pueden acceder. |
Configuración de seguridad (ENS). | RD 311/2022, anexo II. (op.exp.2 ENS). Los sistemas informáticos en producción deben estar configurados para soportar ataques o malas manipulaciones. |
Se deben analizar las vulnerabilidades de los equipos en producción. Se deben deshabilitar los servicios no usados. |
Protección telecomunicaciones. | Los datos se deben transmitir cifrados. | Se deben cifrar las comunicaciones. |
Protección de ficheros temporales. | Los ficheros temporales se deben proteger igual que los datos maestros. | Se debe elaborar un inventario de ficheros temporales. |
Medidas de protección de la documentación. | Medidas de protección de la documentación. | La información en papel se debe guardar en espacios con control de acceso. |
Identificación y autenticación. | Se debe controlar que un usuario es quien dice ser (RD 311/2022, anexo II). | Se debe utilizar Usuario y Contraseña y doble factor de autenticación (2FA) |
3. Sobre el concepto de proceso.
Tipo | Descripción | Salvaguardas |
---|---|---|
Gestión y distribución de soportes (ENS) (1). | (mp.si.2 ENS, criptografía para dispositivos removibles). Los soportes se deben proteger en su almacenamiento y distribución. | Inventariar los soportes y enviar cifrados. |
Procedimiento de autorización (ENS). | RD 311/2022, anexo II. Org.4. Control de que un usuario sólo accede a los servicios que tenga autorizados. | Debe existir un procedimiento formal de autorización. |
Segregación de funciones y tareas (ENS). | RD 311/2022, anexo II: (op.acc.3 ENS), las funciones están separadas. | Los trabajadores que acceden al entorno de producción no deben ser los mismos que acceden al entorno de desarrollo. |
Notificación violaciones seguridad (ENS). | (ART.33 y 34 RGPD) Se deben gestionar, registrar y notificar las incidencias/violaciones de seguridad. | Se deben notificar las violaciones graves de seguridad a la autoridad de control, al CCN y a los titulares de los datos lo más pronto posible y siempre antes de las 72 horas. |
Formación. | Se debe impartir formación. | Sin requisitos especiales. |
Asesoramiento experto. | Se debe contar con asesoramiento experto. |
Se debe implantar una web con contenidos de preguntas frecuentes. El DPD del encargado debe hacer un asesoramiento personalizado.. |
Cláusulas informativas. | Se debe contar con cláusulas informativas. | Deben existir cláusulas publicadas con el nombre del tratamiento, su responsable y el resto de información que exige el RGPD. |
Legitimación de transferencias internacionales y cesiones de datos. | Se deben legitimar las transferencias internacionales y comunicaciones de datos. | Las transferencias internacionales se deben declarar en los datos de registro del tratamiento. |
Pruebas con datos reales. | Los datos fuera del entorno de producción no deben ser reales o bien deben estar convenientemente protegidos. | Se debe disociar el nombre, apellidos y DNI antes de cargar datos de prueba a partir de datos de producción. |
Actualización periódica de la información. | Se debe garantizar la actualización periódica de la información. | Sin requisitos especiales. |
Autorización de subcontrataciones. | Autorización de subcontrataciones. | (Si hay subcontrataciones) El encargado de tratamiento debe solicitar por escrito al responsable del tratamiento la autorización de las subcontrataciones. |
4. Rendición de Cuentas (ayuda al Responsable del Tratamiento).
Tipo | Descripción | Salvaguardas |
---|---|---|
Auditorias de cumplimiento. | (RD 311/2022 y ART.96) Se deben realizar auditorías de seguridad. |
Realizar una auditoría anual de cumplimiento RGPD. Puede hacerla cada encargado internamente sin perjuicio de que el Responsable encargue una a su vez. |
Trazabilidad / Registro de Accesos (ENS). | Registrar y analizar los accesos al sistema de información y a las bases de datos. | Registrar los accesos a los datos de lectura y actualización. |
Revisión de la privacidad desde el diseño y por defecto. | Comprobar periódicamente que las medidas de privacidad están operativas. | Realizar una revisión en la puesta en marcha del tratamiento. |
Cumplimiento deber de secreto. | Se debe cumplir el deber de secreto. | Cada trabajador que accede a los datos debe firmar un contrato de confidencialidad. |
Contratos de encargo y cumplimiento de las obligaciones por el prestador. |
Los contratos de encargo deben cumplir con los requisitos legales, y debe garantizarse el cumplimiento de las obligaciones por el prestador. |
Se debe solicitar un compromiso escrito (declaración responsable) a los encargados de tratamiento de que cumplen con las medidas de seguridad impuestas por el responsable del tratamiento. |
La entidad colaboradora no podrá no implementar o suprimir estas salvaguardas mediante el empleo de un análisis de riesgo o evaluación de impacto propia salvo aprobación expresa de la Subsecretaría de Cultura.
A estos efectos, el personal del encargado del tratamiento debe seguir las medidas de seguridad establecidas, no pudiendo efectuar tratamientos distintos de los definidos por la Subsecretaría de Cultura.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid