Agencia Estatal Boletín Oficial del Estado
Con fecha 28 de octubre de 2024 se ha suscrito el Convenio entre la Tesorería General de la Seguridad Social y el Consorci Mar Parc de Salut de Barcelona, sobre acceso a la información, en cumplimiento de lo dispuesto en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, procede la publicación en el «Boletín Oficial del Estado» del citado convenio, que figura como anexo de esta resolución.
Madrid, 29 de octubre de 2024.–El Secretario General Técnico, Plácido Vázquez García.
REUNIDOS
Don Andrés Harto Martínez, Director General de la Tesorería General de la Seguridad Social, nombrado mediante Real Decreto 132/2020, de 21 de enero, (BOE de 22 de enero), actuando en virtud de lo establecido en el artículo 48.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, y artículos 1 y 3 del Real Decreto 1314/1984, de 20 de junio, por el que se regula la estructura y competencias de la Tesorería General de la Seguridad Social.
Don Jaume Raventós i Monjo, Gerente del Consorci Mar Parc de Salut de Barcelona, con CIF S-0800471-E y con domicilio en Passeig Marítim, 25-29, 08003 de Barcelona, de acuerdo con el nombramiento para el cargo efectuado por el Consell Rector del Consorci Mar Parc de Salut de Barcelona y en virtud del poder de nombramiento de 19 de marzo de 2024 por el Notario de Barcelona, don Tomás Feliu Álvarez de Sotomayor, con número de protocolo 1356.
Ambas partes, en la representación que ostentan, reconociéndose mutua capacidad para obligarse y convenir,
EXPONEN
La Tesorería General de la Seguridad Social (en adelante TGSS) es un Servicio Común de la Seguridad Social con personalidad jurídica propia en el que, por aplicación de los principios de solidaridad financiera y caja única, se unifican todos los recursos financieros, tanto por operaciones presupuestarias como extrapresupuestarias, teniendo a su cargo la custodia de los fondos, valores y créditos y las atenciones generales y de los servicios de recaudación de derechos y pagos de las obligaciones del sistema de la Seguridad Social.
El Real Decreto 1314/84, de 20 de junio, por el que se regula la estructura y competencias de la TGSS, atribuye en su artículo 1.a) las competencias en materia de inscripción de empresas y la afiliación, altas y bajas de los trabajadores, materia regulada posteriormente por el artículo 3 del Reglamento General sobre inscripción de empresas y afiliación, altas y bajas de los trabajadores en la Seguridad Social, aprobado por el Real Decreto 84/1996, de 26 de enero. A tales efectos, en virtud de lo establecido en el artículo 52 del citado Reglamento, corresponde a la TGSS el mantenimiento de un registro de trabajadores con la correspondiente identificación por cada Régimen del Sistema de la Seguridad Social, así como los beneficiarios y demás personas sujetas a la obligación de cotizar. Dicho registro está integrado en el Fichero General de Afiliación cuya titularidad ostenta este Servicio Común. Asimismo, el citado Real Decreto 1314/1984 en su artículo 1.b) atribuye a la TGSS las competencias en materia de gestión y control de la cotización y de la recaudación de las cuotas y demás recursos de financiación del sistema de la Seguridad Social. Materias reguladas posteriormente en el Reglamento General de Recaudación de la Seguridad Social, aprobado por el Real Decreto 1415/2004, de 11 de junio y en el Real Decreto 2064/1995 de 22 de diciembre, por el que se aprueba el Reglamento General sobre Cotización y Liquidación de otros derechos de la Seguridad Social.
El artículo 155 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (en adelante LRJSP) regula expresamente la transmisión de datos entre administraciones públicas en desarrollo del artículo 3.1.k) de la dicha norma.
De acuerdo con la letra c) del número 1 del artículo 141 de la LRJSP en aplicación del deber de colaboración de las Administraciones Públicas se desprende la obligación de «facilitar a las otras Administraciones la información que precisen sobre la actividad que desarrollen en el ejercicio de sus propias competencias».
El artículo 143 de la LRJSP, establece que las Administraciones cooperarán al servicio del interés general y podrán acordar de manera voluntaria la forma de ejercer sus competencias que mejor sirva a este principio, y que la formalización de relaciones de cooperación requerirá la aceptación expresa de las partes, formulada en acuerdos de órganos de cooperación o en convenios.
La cesión de datos por parte de la TGSS a otras administraciones públicas se ampara en el artículo 77.1.d) del texto refundido de la Ley General de la Seguridad Social, aprobado por Real Decreto Legislativo 8/2015, de 30 de octubre.
El Consorci Mar Parc de Salut de Barcelona (en adelante, el Consorcio) es una entidad de derecho público según lo previsto en los artículos 118 y siguientes de la LRJSP constituida en fecha 27 de enero de 2010 mediante convenio entre la Generalitat de Catalunya, a través del Departamento de Salud, y el Ayuntamiento de Barcelona, y tiene como finalidad la asistencia sanitaria, sociosanitaria, así como investigación y docencia en el ámbito de las ciencias de la salud y de la biomedicina.
Que para el desarrollo de sus finalidades el Consorcio dispone de diversos centros y dispositivos asistenciales ubicados en los sectores sanitarios de Barcelona Ciutat Vella, Barcelona Sant Martí, Barcelona Gracia, Barcelona Norte i Maresme, según delimitación del Decreto 10/2013, de 3 de enero.
Para que el Consorcio pueda comprobar la mutua colaboradora de la Seguridad Social competente para la prestación de la asistencia sanitaria de los trabajadores que acuden a sus centros tras un accidente laboral sería conveniente establecer un sistema mediante el cual la TGSS facilitara al Consorcio el acceso, en tiempo real, de la información requerida.
En todo caso, el suministro de información efectuado en el ámbito de aplicación de este convenio deberá respetar los derechos fundamentales al honor y a la intimidad personal y familiar de los ciudadanos y a la protección de datos personales que prescriben los apartados 1 y 4 del artículo 18 de la Constitución Española, en los términos previstos en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE, en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y en las disposiciones reglamentarias del ordenamiento interno en materia de protección de datos de carácter personal.
Dentro del espíritu de mutua colaboración para el cumplimiento de los fines públicos, la TGSS y Consorcio firmaron el 11 de diciembre de 2019 un Convenio de cesión de datos para facilitar el acceso de esta última a las bases de datos de los Ficheros Generales de la TGSS. Este convenio fue publicado en el «Boletín Oficial del Estado» del día 21 de enero de 2020.
En consecuencia, una vez vencido dicho convenio, las partes, con sujeción al ordenamiento jurídico vigente, suscriben el presente convenio con arreglo a las siguientes
CLÁUSULAS
El presente convenio tiene por objeto el acceso por parte del Consorcio a una transacción del Fichero General de Afiliación de titularidad de la TGSS.
Su objeto es comprobar por parte del Consorcio de la mutua colaboradora competente para las prestaciones de asistencia sanitaria de las personas que acuden a sus centros en el supuesto de accidentes de trabajo.
Por el presente convenio, la TGSS autoriza al Consorcio el acceso a la siguiente transacción del Fichero General de Afiliación: ATG64: «Consulta trabajadores Consorci Mar Parc de Salut de Barcelona».
El acceso a la información entre la TGSS y el Consorcio se realizará mediante el siguiente procedimiento:
3.1 La TGSS realizará la autorización inicial del acceso a la transacción del Fichero General de Afiliación a que se refiere el presente convenio.
3.2 La configuración del acceso objeto del presente convenio habrá de cumplir los siguientes principios básicos y requisitos mínimos necesarios para una protección adecuada de la información tratada, establecidos por el Esquema Nacional de Seguridad, regulado por el Real Decreto 311/2022, de 3 de mayo, en la Orden Ministerial de 17 de enero de 1996 (BOE de 25 de enero de 1996) y en los documentos de seguridad de la TGSS, con objeto de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que gestionen en el ejercicio de sus competencias.
3.3 La Administración del sistema se basará en la asignación de perfiles de autorización a los distintos usuarios de acuerdo con las funciones desempeñadas por los mismos. En este sentido, la TGSS asignará un perfil de usuario administrador/autorizador con nivel 4, y éste a su vez dará de alta tantos códigos de usuario como sean necesarios para la realización de las funciones de gestión encomendadas.
A los efectos del presente punto se denomina «usuario» a las personas autorizadas para acceder al sistema informático pero sin facultad para dar de alta en SILCON a otros usuarios ni transferir autorización alguna. Estos serán identificados con el nivel U.
Cuando el convenio sea eficaz, el Consorcio comunicará a la TGSS el nombre completo, DNI, dirección de correo electrónico y teléfono de la persona que asuman el perfil de usuario administrador/autorizador. Igual obligación existirá cuando exista cualquier modificación de los datos o del usuario autorizador.
3.4 Los usuarios administradores/autorizadores y subsidiariamente el Consorcio, son responsables de la asignación de perfiles de autorización a los usuarios, que deben corresponderse con las necesidades de gestión y vigilarán la correcta utilización de las autorizaciones concedidas.
3.5 Todos los usuarios autorizados a acceder al sistema deberán quedar identificados y autentificados, de forma que en todo momento pueda conocerse el usuario y los motivos por los que se accedió a la correspondiente información contenida en el sistema. Para ello en el momento de autorizar un usuario se cumplimentarán todos los campos exigidos tales como características del puesto de trabajo e información complementaria, datos personales, número de teléfono y correo electrónico.
3.6 Cada usuario tendrá un único código de acceso y será responsable de los accesos que se realicen con su código y contraseña personal.
3.7 Cuando algún usuario, ya sea autorizador o autorizado, pase a desempeñar un nuevo puesto de trabajo en distinta unidad de gestión o cause baja en el trabajo de forma voluntaria, o sea objeto de suspensión de empleo, se procederá a la baja del código de usuario. Por otra parte se establecerán controles en cuanto al tiempo de inactividad de los usuarios que pasarán a la situación de cancelados una vez transcurridos 90 días sin acceder al Fichero General de Afiliación. También se dispondrá de la posibilidad de establecer fechas de caducidad de acceso al sistema por parte de usuarios y limitaciones en el horario de conexión.
Sólo podrán tener acceso a la información de la TGSS los órganos del Consorcio que tengan atribuidas las funciones que justifican el acceso. En ningún caso podrán ser destinatarios órganos, organismos o entes que realicen funciones distintas de las descritas en la cláusula Segunda de este convenio.
Todo ello sin perjuicio de la estricta afectación de la información remitida por la TGSS a los fines que la justifican y para los que se solicita. En cualquier caso, el destinatario no podrá ceder a terceros la información a la que ha tenido acceso de la TGSS.
Las autoridades, funcionarios y todo el personal que tenga relación directa o indirecta con la prestación de los servicios previstos en este convenio, guardarán secreto profesional sobre todas las informaciones, documentos y asuntos a los que tengan acceso o de los que tengan conocimiento durante la misma. Estarán obligados a no hacer públicos o enajenar cuantos datos conozcan, incluso después de finalizar el plazo de vigencia de este convenio.
Todos los usuarios identificados, así como sus responsables en Consorcio, deben tener el conocimiento de que la copia de programas y/o uso de datos de carácter personal en tareas impropias son operaciones ilegales que pueden dar lugar a responsabilidades administrativas y, en concreto, las establecidas en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, así como a responsabilidades de cualquier otra naturaleza, incluso penales, razón por la cual cuando, por cualquier medio, se tengan indicios de la utilización de datos, antecedentes, registros o informes con finalidad distinta a la propia gestión asignada al usuario, o su difusión indebida, infringiendo así el deber de secreto profesional, se pondrán dichos hechos en conocimiento del interlocutor de la TGSS definido a estos efectos, al objeto de procurar la adopción de las medidas pertinentes entre ambas partes.
El expediente para conocer de las posibles responsabilidades administrativas que se pudieran derivar de la indebida utilización de la información suministrada en ejecución de este convenio deberá ser iniciado y concluido, así como exigida la responsabilidad, en su caso, por la Administración a la que pertenezca la autoridad, funcionario u otro personal responsable de dicha utilización indebida.
A fin de dar a conocer estas responsabilidades, en todas las altas de usuarios realizadas se deberá cumplimentar un documento donde se especificarán los compromisos adoptados por el usuario, en los términos que se indican en este convenio y en el anexo I que se adjunta a este convenio. Dicho documento quedará en poder del autorizador de nivel 4, si bien podrá ser remitido a la TGSS.
El control y seguridad de los datos suministrados se regirá por lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en las disposiciones reglamentarias del ordenamiento interno en materia de protección de datos de carácter personal, en el Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad y en la política de seguridad en la utilización de medios electrónicos en la Administración de la Seguridad Social y en el Consorcio.
El órgano cesionario deberá garantizar:
– Que tiene implantados los procedimientos que permitan gestionar el ciclo de vida de sus usuarios o componentes autorizados a acceder a los servicios de cesiones de datos del órgano cedente (altas, bajas o modificaciones de autorizaciones).
– Que los datos que se inserten en los servidores del órgano cesionario solo se utilizaran para los fines legal o reglamentariamente previstos.
– Que podrá facilitar una lista actualizada de las personas o componentes autorizados para realizar peticiones de datos en caso de ser solicitada por el órgano cedente.
– Que comunicará cualquier variación relacionada con las personas que ha autorizado a realizar peticiones de datos.
El órgano cesionario debe garantizar que informará adecuadamente a todas las personas para las que solicita la autorización de acceso al menos de:
– Las responsabilidades que asumen.
– La finalidad concreta de la autorización.
– Que el órgano cedente almacena rastros de cada una de las peticiones realizadas.
– Que en cualquier momento se podrá solicitar la justificación de peticiones de datos realizadas, de acuerdo con los requisitos legales y a la finalidad para la que se autorizó la cesión de datos.
– Las medidas de seguridad que deberá tener en cuenta para garantizar la seguridad de la información.
Dichos empleados, previamente a la autorización de acceso, deberán manifestar por escrito que conocen y se comprometen a cumplir sus obligaciones con la confidencialidad de los datos personales a los que tuvieran acceso con motivo de la aplicación de este convenio.
Se establecen los siguientes controles sobre los accesos, la custodia y la utilización de la información suministrada al amparo de este convenio:
a) Control interno por parte del ente cesionario de la información. El Consorcio realizará controles sobre la custodia y utilización que de los datos recibidos realicen las autoridades, funcionarios o resto de personal dependiente del mismo.
Contará con un análisis y gestión de riesgos y una asignación explícita de responsabilidades en materia de seguridad adecuadas para su misión, objetivos y tamaño y deberá aplicar dichos mecanismos de seguridad a la información suministrada por la TGSS.
Impedirá el acceso a la información suministrada por parte de personal no autorizado, estableciendo la trazabilidad de los accesos a la información suministrada, y desarrollando auditorías del acceso a los datos con criterios aleatorios y de riesgo.
Adoptará medidas específicas que eviten el riesgo de que la información pueda ser utilizada, incluso inadvertidamente, para otros propósitos, o por personal en el que concurra algún conflicto de intereses. Así como medidas que aseguren el cumplimiento de las condiciones que sustentan cada una de las cesiones.
b) Control por el ente titular de la información cedida. La TGSS aplicará los controles ordinarios derivados de su sistema de gestión de la seguridad de la información. En particular, los accesos a la información realizada quedarán registrados en el sistema de control de accesos de la TGSS.
El Servicio de Auditoría Interna podrá acordar otras actuaciones de comprobación al objeto de verificar la adecuada obtención y utilización de la información y de las condiciones normativas o convencionales que resultan de aplicación.
Para velar por el seguimiento, vigilancia y control de la ejecución del presente convenio, así como la resolución de los problemas de interpretación y cumplimiento que pudieran plantearse, según lo dispuesto en el artículo 49.f) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público se constituirá una Comisión de Seguimiento formada por el Director General de la TGSS y el Secretario General Gerente del Consorcio o persona en que los mismos deleguen, así como por otros dos vocales representantes de cada organismo. En calidad de asesores, con derecho a voz, pero sin voto, podrán incorporarse otros técnicos.
La Comisión de Seguimiento se reunirá a instancia de cualquiera de las partes y se regirá en cuanto a su funcionamiento y régimen jurídico, respecto a lo no establecido expresamente en la presente cláusula, por lo dispuesto en la sección 3.ª del capítulo II del título preliminar de la citada Ley 40/2015.
De conformidad con lo establecido en el apartado 1.º del artículo 49.h) de la Ley 40/2015, de 1 de octubre, el presente convenio tendrá una vigencia de 4 años, desde su inscripción en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación. Asimismo será publicado en el «Boletín Oficial del Estado», de conformidad con lo dispuesto en el artículo 48.8 de la misma norma legal. Con anterioridad a la finalización del plazo de duración previsto se podrá prorrogar el convenio, por acuerdo unánime de las partes, por un periodo de hasta cuatro años adicionales.
El presente convenio se extinguirá por el cumplimiento de las actuaciones que constituyen su objeto, o por incurrir en causa de resolución. Las causas de resolución son las contempladas en el artículo 51.2 de la Ley 40/2015.
En caso de incumplimiento acreditado de los compromisos asumidos, cualquiera de las dos partes podrá instar la resolución del convenio, previo requerimiento a la parte incumplidora, para que en el plazo de un mes cumpla con las obligaciones o compromisos que se consideren incumplidos. Se dará traslado de dicho requerimiento a la Comisión de seguimiento.
La TGSS podrá acordar la suspensión unilateral o la limitación del suministro de la información cuando advierta incumplimientos de la obligación de sigilo por parte de las autoridades, funcionarios o resto de personal del ente cesionario, anomalías o irregularidades en los accesos o en el régimen de control o incumplimientos de los principios y reglas que deben presidir el suministro de información, de acuerdo con lo previsto en este convenio.
Asimismo, el Consorcio podrá acordar la suspensión unilateral o la limitación de las solicitudes de información cuando advierta incumplimientos del Ente cedente en la aplicación de los principios y reglas que deben presidir el suministro de información, de acuerdo con lo previsto en este convenio.
La parte incumplidora no tendrá que indemnizar económicamente a la otra parte por incumplimiento de las obligaciones del convenio o por su extinción, sin perjuicio de su responsabilidad frente a terceros.
Como consecuencia del cumplimiento y desarrollo de los compromisos adquiridos en el presente convenio, no se generarán contraprestaciones económicas entre las partes.
Este convenio podrá modificarse por acuerdo unánime de las partes, conforme a lo dispuesto en la Ley 40/2015.
Este convenio tiene naturaleza administrativa, conforme a lo dispuesto especialmente para los convenios en el título preliminar, capítulo VI, de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Por otro lado, y sin perjuicio de lo establecido en la cláusula Séptima, las cuestiones litigiosas surgidas por la ejecución del presente convenio serán de conocimiento y competencia del orden jurisdiccional contencioso-administrativo, de conformidad con lo previsto en la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa.
Y en prueba de conformidad, se formaliza y se firma este convenio por duplicado ejemplar y a un solo efecto, en el lugar y la fecha indicados en el encabezamiento.–El Director General de la Tesorería General de la Seguridad Social, Andrés Harto Martínez.–El Gerente del Consorci Mar Parc de Salut de Barcelona, Jaume Raventós i Monjo.
El señor/la señora ............................................., con DNI núm. ........................., y adscrito/a ........................................, por el presente documento,
Comunica:
Que, de conformidad con lo dispuesto en el artículo 5 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y en el artículo 6 de la Orden de 17 de enero de 1996, sobre control de accesos al sistema informático de la Seguridad Social, en el caso de que las funciones que desarrolle o los trabajos que realice conlleven su alta como usuario del sistema informático, adquiere el compromiso de utilizar las transacciones con los fines exclusivos de gestión para los que sea autorizado, y está obligado a guardar el secreto profesional sobre los datos de que tenga conocimiento, siendo responsable de todos los accesos que se realicen a los ficheros informáticos mediante su contraseña personal y el código de acceso facilitado.
Que el incumplimiento de las obligaciones indicadas, el acceso a la información por usuario no autorizado, la asignación de procesos o transacciones no necesarios para la función encomendada y la falta de custodia o secreto de la identificación personal de acceso dará lugar a la exigencia de responsabilidades administrativas, en concreto las establecidas en el título IX de la Ley orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, así como de responsabilidades de cualquier otra naturaleza, incluso penales.
........................................, a ...... de .................... de 2......
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
