I. COMUNIDAD DE MADRID

D) Anuncios

CONSEJERÍA DE SANIDAD

REUNIDOS

De una parte, don Enrique Ruiz Escudero, Consejero de Sanidad de la Comunidad de Madrid, nombrado mediante el Decreto 60/2019, de 19 de agosto, de la Presidenta, en virtud de las atribuciones que le confiere el artículo 41.a) de la Ley 1/1983, de 13 de diciembre, de Gobierno y Administración de la Comunidad de Madrid, y el 4.3.a) de la Ley 8/1999, de 9 de abril, de adecuación de la Normativa de la Comunidad de Madrid a la Ley Estatal 4/1999, de 13 de enero, de modificación de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.

De otra parte, doña Ana Dávila-Ponce de León Municio, Viceconsejera de Asistencia Sanitaria y Directora General del Servicio Madrileño de Salud, nombrada mediante el Decreto 249/2019, de 24 de septiembre, del Consejo de Gobierno, actuando en virtud de las competencias que le otorga el artículo 4.3.b) de la Ley 8/1999, de 9 de abril, de adecuación de la normativa de la Comunidad de Madrid a la Ley estatal 4/1999, de 13 de enero, el artículo 23.2.a) del Decreto 24/2008, de 3 de abril, por el que se establece el régimen jurídico y de funcionamiento del Servicio Madrileño de Salud y el Acuerdo del Consejo de Administración del Servicio Madrileño de Salud, de 9 de mayo de 2008, ratificado en su reunión de 7 de octubre de 2015, por el que se delegan en la Viceconsejera de Asistencia Sanitaria la competencia en materia de convenios.

De otra parte, don Fernando Poderoso Barba, presidente de la Asociación de Hemofilia de la Comunidad de Madrid (en adelante, Ashemadrid), en virtud del acuerdo de 26 de mayo de 2018, actuando en nombre y representación de la citada asociación, según el artículo 29 de sus Estatutos, con domicilio social en Madrid, calle Virgen de Aránzazu, número 29.

Las partes se reconocen recíprocamente la representación que ostentan y plena capacidad jurídica para el otorgamiento del presente documento y al efecto,

MANIFIESTAN

Primero.—Que la Ley 12/2001, de 21 de diciembre, de Ordenación Sanitaria de la Comunidad de Madrid, en su artículo 2.3 recoge entre sus principios rectores la orientación del Sistema Sanitario a los ciudadanos y la promoción y garantía de la calidad de los servicios.

Segundo.—Que al Consejero de Sanidad le corresponde la propuesta, el desarrollo, la coordinación y el control de la ejecución de las políticas del gobierno de la Comunidad de Madrid en las siguientes materias: Planificación, gestión y asistencia sanitaria, atención farmacéutica, infraestructuras y equipamientos sanitarios, aseguramiento sanitario, docencia y formación sanitaria, investigación e innovación sanitaria, humanización sanitaria, coordinación socio-sanitaria, sin perjuicio de las competencias atribuidas a otros órganos de la Comunidad de Madrid, salud pública, salud mental, inspección y ordenación sanitaria y farmacéutica, seguridad alimentaria y trastornos adictivos, según lo establecido en el artículo 1 del Decreto 307/2019, de 26 de noviembre, del Consejo de Gobierno, por el que se establece la estructura orgánica de la Consejería de Sanidad.

Tercero.—Que a la Consejería de Sanidad, a través del órgano directivo competente en materia de humanización y atención al paciente, le corresponde el ejercicio de las funciones de promoción, desarrollo y despliegue de aquellas actuaciones institucionales que garanticen la humanización de la asistencia sanitaria a través de la personalización de la atención en los diferentes niveles y a lo largo de todo el proceso asistencial, según lo previsto en el apartado h) del artículo 5 del Decreto 307/2019, de 26 de noviembre, del Consejo de Gobierno, por el que se establece la estructura orgánica de la Consejería de Sanidad.

Cuarto.—Que la Consejería de Sanidad ha apostado por ofrecer a los ciudadanos un sistema sanitario cercano que, sin aminorar su calidad científico-técnica, ponga al paciente como eje del sistema sanitario y dé respuesta a sus necesidades de una manera integral.

Quinto.—Que el Servicio Madrileño de Salud es un ente de Derecho Público adscrito a la Consejería de Sanidad y como tal participa activamente de las iniciativas y las obligaciones contraídas por esta Consejería, en relación con la mejora de la atención sanitaria en los centros sanitarios que lo integran.

Sexto.—Que la disposición adicional segunda del Decreto 308/2019, de 26 de noviembre, recoge los centros que forman parte del Servicio Madrileño de Salud.

Séptimo.—Que Ashemadrid tiene entre sus fines estatutarios fomentar acciones y medidas que redunden en la resolución de los problemas que plantea la hemofilia y promover la colaboración de los servicios médicos para favorecer una adecuada atención del paciente hemofílico.

Octavo.—Que el 31 de julio de 2013 Ashemadrid suscribió un convenio con el Servicio Madrileño de Salud para la promoción de actuaciones en los hospitales del Servicio Madrileño de Salud, orientadas a fomentar el autocuidado, mejorar la calidad de vida y facilitar la identificación de pacientes afectados. Este convenio finalizó su vigencia el 30 de julio de 2019.

Noveno.—Dada la experiencia acumulada y los buenos resultados de esta colaboración institucional, en especial en lo relativo a la identificación de los pacientes hemofílicos mediante un carnet que incorpora datos de interés para la asistencia sanitaria de urgencia por los servicios extrahospitalarios, la Consejería de Sanidad, el Servicio Madrileño de Salud y Ashemadrid comparten el deseo de seguir desarrollando esta actuación que permite dar seguridad a la atención sanitaria de urgencias en cualquier centro del Servicio Madrileño de Salud y garantizar la continuidad asistencial en situaciones que requieren atención inmediata.

Por todo lo expuesto, las partes acuerdan suscribir el presente convenio en el ámbito sanitario de acuerdo con las siguientes

CLÁUSULAS

Primera

Objeto

El objeto del presente convenio es establecer una colaboración entre la Comunidad de Madrid, a través de la Consejería de Sanidad, el Servicio Madrileño de Salud y Ashemadrid para la utilización y difusión del carnet de identificación del paciente con hemofilia en los servicios de urgencia hospitalaria y extrahospitalaria del Servicio Madrileño de Salud.

Para conseguir dicho objetivo se desarrollarán las siguientes actividades:

— Promover el uso de un carnet de identificación del paciente hemofílico en el que figure su identidad, refleje la variante de la enfermedad, el tratamiento que recibe y los datos de localización del equipo sanitario que le trata y cualquier otra información de interés que redunde en la mejora de la atención y la seguridad del paciente con hemofilia.

— Difundir la existencia y utilidad del carnet de identificación del paciente hemofílico para procurar una asistencia sanitaria más segura.

Segunda

Concurrencia

Esta colaboración no tendrá carácter de exclusiva, por lo que la Comunidad de Madrid podrá firmar con otras asociaciones o entidades con personalidad jurídica propia otros convenios con el mismo objeto.

Tercera

Compromisos de las partes

1. La Comunidad de Madrid, a través de la Consejería de Sanidad, se compromete a:

— Dar publicidad en la página de asociaciones de pacientes de la web de la Comunidad de Madrid las actividades que se desarrollen al amparo de este convenio.

— Difundir en la página web de la Consejería de Sanidad el enlace de acceso a la memoria anual de Ashemadrid.

2. El Servicio Madrileño de Salud, se compromete a:

— Informar a los profesionales sanitarios de las actividades que se desarrollen al amparo del presente convenio.

3. Ashemadrid se compromete a:

— Promover la utilización del carnet de identificación del paciente hemofílico en el que figure su identidad, refleje la variante de la enfermedad, el tratamiento que recibe y los datos de localización del equipo sanitario que le trata y cualquier otra información de interés que redunde en la seguridad y la calidad de la asistencia.

— Elaborar el carnet de identificación del paciente hemofílico y entregárselo para que este lo pueda mostrar a los servicios sanitarios cuando requiera asistencia. Los datos personales que consten en el carnet serán facilitados a Ashemadrid por el propio interesado en base a su consentimiento, una vez informado por esta de la finalidad de su recogida, su derecho a suprimirlos en cualquier momento, sin necesidad de alegar causa alguna y demás derechos que le asisten en materia de protección de datos.

— Garantizar la confidencialidad de los datos personales a los que pudiera tener acceso en el desarrollo de las actividades encomendadas en la ejecución del convenio, así como el escrupuloso cumplimiento de la legislación de protección de datos aplicable en cada momento.

— Tener suscrita una póliza de seguros de accidentes y responsabilidad civil que cubra los daños propios y de terceros que eventualmente pudieran ocasionarse en el ejercicio de las actividades amparadas en el presente convenio.

— Garantizar que su personal reúna la titulación o requisitos necesarios para desarrollar las actividades encomendadas en la ejecución del convenio.

— Remitir anualmente a la Comisión Mixta de Seguimiento del convenio una memoria con las actividades desarrolladas en relación con el convenio y su coste.

Cuarta

Financiación

La ejecución del presente convenio no generará obligaciones económicas para la Consejería de Sanidad, ni el Servicio Madrileño de Salud. Ashemadrid financiará las actividades del convenio con personal y medios propios, cuyo coste aproximado será de 600 euros anuales.

Ashemadrid facilitará anualmente a la Comisión Mixta de Seguimiento una memora con las actividades desarrolladas al amparo del convenio y su coste.

Quinta

Comisión Mixta de Seguimiento

Para el desarrollo del convenio y para resolver cuantas dudas y discrepancias puedan surgir en su interpretación y aplicación, se crea una comisión mixta de seguimiento cuya composición será la siguiente:

— El/la titular de la Dirección General de Humanización y Atención al Paciente o persona en quien delegue, que ejercerá la presidencia de la comisión.

— El/la titular de la Dirección General del Proceso Integrado de Salud o persona en quien delegue.

— El/la titular de la Presidencia de Ashemadrid o persona en quien delegue.

Actuará como Secretario/a una persona designada por la Dirección General de Humanización y Atención al Paciente.

Serán funciones de la comisión:

— Seguimiento, vigilancia y control de la ejecución del convenio y de los compromisos asumidos por cada una de las partes.

— Resolver cuantas dudas y discrepancias surjan con respecto a la interpretación y aplicación del convenio.

La comisión se constituirá en los dos meses siguientes a partir de la firma del convenio. Se reunirá con carácter ordinario una vez al año, y con carácter extraordinario, cuando resulte necesario y lo solicite cualquiera de las partes, comunicando previamente los asuntos a tratar.

El funcionamiento de la comisión se regirá por las normas de funcionamiento interno que apruebe y subsidiariamente por lo establecido en la sección 3.^a del capítulo II del título preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

Sexta

Relaciones laborales

El personal que participe en la ejecución del presente convenio seguirá bajo la dirección y dependencia de la institución a la que esté ligada por relación laboral o de servicios, sin que, en modo alguno, tal relación se modifique o pueda modificarse en virtud de este convenio.

Séptima

Causas de resolución

El presente convenio quedará resuelto en los siguientes supuestos:

— Por mutuo acuerdo escrito entre las partes.

— Por incumplimiento de los compromisos establecidos en el convenio por alguna de las partes.

En este caso, cualquiera de las partes podrá notificar a la parte incumplidora un requerimiento para que cumpla en un determinado plazo con las obligaciones o compromisos que se consideran incumplidos. Este requerimiento será comunicado a la Comisión Mixta de Seguimiento.

Si trascurrido el plazo indicado en el requerimiento persistiera el incumplimiento, la parte que lo dirigió notificará a las otras partes la concurrencia de la causa de resolución y se entenderá resuelto el convenio. No se prevé indemnización por los perjuicios causados.

— Por su denuncia, en la forma establecida en la cláusula siguiente.

— Por imposibilidad sobrevenida, legal o material, de cumplir las obligaciones derivadas del objeto del convenio.

— Por decisión judicial declaratoria de la nulidad del convenio.

— Por cualquier otra causa legalmente prevista.

De acuerdo con el artículo 52 de la Ley 40/2015, si cuando concurra cualquiera de las causas de resolución del convenio existen actuaciones en curso de ejecución, las partes, a propuesta de la Comisión Mixta de Seguimiento, podrán acordar la continuación y finalización de las actuaciones en curso que consideren oportunas, estableciendo un plazo improrrogable para su finalización.

Octava

Vigencia, prórroga y denuncia

El convenio estará vigente durante cuatro años desde el día de la perfección con el consentimiento de las partes, de conformidad con lo establecido por el artículo 48 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

A estos efectos, se entenderá que el día de su perfección es aquel en el que el convenio ha sido suscrito por el último de sus firmantes.

El convenio podrá prorrogarse, por períodos bienales, hasta un máximo de dos períodos (cuatro años adicionales) mediante acuerdo escrito, salvo que medie denuncia expresa de alguna de las partes, formulada con una antelación mínima de dos meses a la finalización de la vigencia del convenio o de su prórroga.

Novena

Régimen jurídico

El presente convenio tiene naturaleza administrativa y se rige por las previsiones de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, quedando excluido de la aplicación de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014, en virtud de lo dispuesto en su artículo 6.2, sometiéndose, de acuerdo con el artículo 4 de la misma, a los principios de dicha ley para resolver las dudas y lagunas que pudieran presentarse, así como a las normas generales de Derecho administrativo, a los principios de buena administración y al ordenamiento jurídico en general.

Décima

Protección de datos

Los datos personales que consten en el carnet identificativo del paciente hemofílico serán facilitados a Ashemadrid por el propio interesado en base a su consentimiento, una vez informado por esta de la finalidad de su recogida, su derecho a suprimirlos en cualquier momento, sin necesidad de alegar causa alguna y demás derechos que le asisten en materia de protección de datos. Ashemadrid garantiza la indemnidad de la Comunidad de Madrid ante supuestos de incumplimiento.

Las partes firmantes se comprometen a cumplir las previsiones contenidas en el Reglamento (UE) del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de datos de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) y a Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los derechos digitales, así como la normativa posterior que lo desarrolle o modifique.

Los datos de carácter personal que se recaben u obtengan las partes en el desarrollo y aplicación del convenio serán tratados y utilizados de conformidad con la normativa vigente.

En particular, las partes se comprometen a respetar el deber de secreto, y las limitaciones en su caso marcadas por la normativa de aplicación, sobre cualquier información a la que se tenga acceso en la realización de actividades objeto de este convenio, salvo aquella información que deba ser pública según lo establecido en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.

El tratamiento de los datos del presente convenio queda sometido a la mencionada normativa, así como a la vigente en cada momento, de conformidad con el Anexo I, que se incorpora a este Convenio.

Decimoprimera

Controversias

Dada la naturaleza administrativa del convenio, corresponde conocer de las discrepancias, que no hayan podido resolverse en el seno de la Comisión Mixta de Seguimiento prevista en la cláusula quinta, a los tribunales de la jurisdicción contencioso-administrativa, de conformidad con la Ley 29/1998, de 13 de julio, reguladora de dicha jurisdicción.

Y para que así conste, y en prueba de conformidad de las partes, firman el presente convenio.

Madrid, a 28 de abril de 2020.—Por la Comunidad de Madrid: El Consejero de Sanidad, Enrique Ruiz Escudero.—Por el Servicio Madrileño de Salud: La Directora General del Servicio Madrileño de Salud, Ana Dávila-Ponce de León Municio.—Por la Asociación de Hemofilia de la Comunidad de Madrid: El Presidente, Fernando Poderoso Barba.

ANEXO I

ACUERDO DE CORRESPONSABLE DE TRATAMIENTO MUTUO

En el presente acuerdo las partes fijan formalmente y por escrito los términos y condiciones para regular el tratamiento de datos de carácter personal y la confidencialidad de la información suministrada y creada entre ellas.

Tendrá la consideración de información confidencial toda la información susceptible de ser revelada por escrito, de palabra o por cualquier otro medio o soporte, tangible o intangible, actualmente conocido o que posibilite el estado de la técnica en el futuro, intercambiada como consecuencia de este convenio, salvo aquella información que deba ser pública según lo establecido en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.

Las partes se comprometen a mantener el compromiso de confidencialidad respecto a la información y material facilitado y recibido en virtud del convenio de referencia y del presente convenio de forma indefinida tras su finalización.

Confidencialidad

Las partes se obligan con respecto a la información y material que hayan podido recibir como consecuencia de este convenio a:

a) Utilizar la información de forma reservada.

b) No divulgar ni comunicar la información facilitada o recibida, salvo resolución motivada en los términos establecidos en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.

c) Impedir la copia o revelación de esa información a terceros, salvo que goce de aprobación escrita de las partes y únicamente en los términos de tal aprobación.

d) Se restringirá el acceso a la información a sus empleados y colaboradores, salvo en la medida en que razonablemente puedan necesitarla para el cumplimiento de sus tareas acordadas.

e) No utilizar la información o fragmentos de esta para fines distintos de la ejecución de este convenio.

f) Cumplir con todos los términos fijados en el presente acuerdo y muy especialmente aquellos relativos a las cláusulas confidencialidad y obligación de secreto, manteniendo esta confidencialidad y evitando revelar la información a toda persona que no sea empleado o subcontratado.

Las partes serán responsables ante el incumplimiento de esta obligación, ya sea por sus empleados, voluntarios o por subcontratados, etcétera.

CLÁUSULAS

Primera

Responsables del tratamiento

Tanto la Comunidad de Madrid, a través de la Consejería de Sanidad, el Servicio Madrileño de Salud y la Asociación de Hemofilia de la Comunidad de Madrid tendrán la consideración de Responsables del Tratamiento (en adelante Corresponsables del Tratamiento), conforme a lo establecido en el artículo 26 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante RGPD), así como en el artículo 29 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), y en el resto de normativa vigente en la materia.

En consecuencia, el acceso a datos de carácter personal en el marco de este convenio se realiza con el único fin de permitir una adecuada prestación de los servicios y no se considerará como una cesión o comunicación de datos.

Segunda

Definiciones

Los términos específicos en materia de protección de datos serán interpretados conforme a lo establecido en el artículo 4 del RGPD.

Tercera

Deber de secreto

Los corresponsables del tratamiento se obligan a guardar la máxima reserva y secreto sobre la información clasificada como confidencial con motivo de la prestación de servicios objeto del convenio.

Se considerará información confidencial cualquier información a la que los corresponsables accedan en virtud del convenio, en especial la información y datos personales a los que haya accedido o acceda durante su ejecución, salvo aquella información que deba ser pública según lo establecido en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.

La obligación de confidencialidad tendrá carácter indefinido, manteniéndose en vigor con posterioridad a la finalización por cualquier causa de la relación entre las partes.

Los corresponsables garantizarán que su personal, colaboradores, voluntarios y en general, todas las personas de su responsabilidad que tengan acceso a la información confidencial y a los datos personales del otro corresponsable, respeten la confidencialidad de la información, así como las obligaciones relativas al tratamiento de datos de carácter personal, aun después de finalizar su relación contractual. Por tanto, los corresponsables realizarán cuantas advertencias y suscribirán cuantos documentos sean necesarios con dichas personas, con el fin de asegurar el cumplimiento de estas obligaciones.

Los corresponsables mantendrán a disposición de la otra parte la documentación acreditativa del cumplimiento de la obligación establecida en el párrafo anterior.

Cuarta

Obligaciones de las partes

Los corresponsables del tratamiento asumen las siguientes obligaciones:

— Acceder a los datos de carácter personal únicamente cuando sea imprescindible para el buen desarrollo de los servicios.

— Tratar los datos con la única finalidad de dar cumplimiento al objeto del convenio.

— Seguir los procedimientos e instrucciones establecidos por la normativa vigente, especialmente en lo relativo al deber de información y, en su caso, la obtención del consentimiento de los interesados.

— Si cualquiera de las partes considera que otra infringe el RGPD, la LOPDGDD, o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, informará inmediatamente a las otras, con el fin de proceder a su rápida subsanación.

— Asumir la responsabilidad que corresponda en caso de que destine los datos a otra finalidad distinta del cumplimiento del objeto del convenio, los comunique o los utilice incumpliendo las estipulaciones de la normativa vigente, respondiendo de las infracciones en que hubiera incurrido personalmente.

— No permitir el acceso a los datos de carácter personal a ningún empleado de su responsabilidad que no tenga la necesidad de conocerlos para la prestación de los servicios.

— No revelar, transferir, ceder o de otra forma comunicar los datos de carácter personal, ya sea verbalmente o por escrito, por medios electrónicos, papel o mediante acceso informático, ni siquiera para su conservación, a ningún tercero, salvo que exista autorización o instrucción previa para ello.

— En caso de estar obligado a ello por el artículo 30 del RGPD y el 31 de la LOPDGDD, mantendrá un registro de todas las categorías de actividades de tratamiento efectuadas en cumplimiento del convenio, que contenga la información exigida por el artículo 30.2 del RGPD.

— Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

— Darse apoyo mutuamente en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.

— Darse apoyo mutuamente en la realización de las consultas previas a la Autoridad de Control, cuando proceda.

— Poner a disposición de la otra parte toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realice la otra parte con la finalidad de verificar el correcto cumplimiento del convenio.

— Adoptar y aplicar las medidas de seguridad estipuladas en el presente Acuerdo, conforme lo previsto en el artículo 32 del RGPD, que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural.

— En caso de estar obligado a ello por el artículo 37.1 del RGPD, y por el artículo 34 de la LOPDGDD, designar un delegado de protección de datos y comunicar su identidad y datos de contacto a la otra parte, así como cumplir con todo lo dispuesto en los artículos 37, 38 y 39 del RGPD, y 35 a 37 de la LOPDGDD.

— Respetar todas las obligaciones que pudieran corresponderle con arreglo al RGPD y a la LOPDGDD, o de cualquier otra disposición o regulación complementaria que le fuera igualmente aplicable.

— En caso de que cualquiera de las partes deba transferir o permitir acceso a datos personales responsabilidad de la otra a un tercero en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará a la otra de esa exigencia legal de manera previa, salvo que estuviese prohibido por razones de interés público.

— En caso de que el tratamiento incluya la recogida de datos personales, se establecerán los procedimientos correspondientes a la recogida de los datos, especialmente en lo relativo a la identificación fehaciente de usuarios, al deber de información y, en su caso, la obtención del consentimiento de los interesados, garantizando que estas instrucciones cumplen con todas las prescripciones legales y reglamentarias que exige la normativa vigente en materia de protección de datos.

— Supervisar el tratamiento y el cumplimiento de la normativa de protección de datos por la otra parte.

Quinta

Medidas de seguridad y violación de la seguridad

Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, las partes aplicarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

a) La seudonimización y el cifrado de datos personales.

b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento, así como la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.

c) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

d) Un catálogo de medidas de seguridad reconocido en normativas o estándares de seguridad de la información.

Al evaluar la adecuación del nivel de seguridad, las partes tendrán en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Las partes permitirán y contribuirán a la realización de auditorías, incluidas inspecciones, a la otra parte.

Asimismo, en caso de modificación de la normativa vigente en materia de protección de datos o de otra normativa relacionada y que resultase aplicable al tratamiento objeto del convenio, las partes garantizan la implantación y mantenimiento de cualesquiera otras medidas de seguridad que le fueran exigibles, sin que ello suponga una modificación de los términos del convenio.

En caso de violación de la seguridad de los datos personales en los sistemas de información utilizados por las partes para la prestación de los Servicios, deberán notificarse mutuamente, sin dilación indebida, y en cualquier caso antes del plazo máximo de veinticuatro horas hábiles, las violaciones de la seguridad de los datos personales a su cargo de las que tengan conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia conforme a lo dispuesto en el artículo 33.3 del RGPD.

En tal caso, cada parte en la medida que le corresponda deberá comunicar las violaciones de seguridad de los datos a la Autoridad de Protección de Datos y/o a los interesados conforme a lo establecido en la normativa vigente.

Sexta

Destino de los datos al finalizar el convenio

Una vez cumplido o resuelto el convenio, cada parte deberá solicitar a la otra instrucciones precisas sobre el destino de los datos de carácter personal de su responsabilidad, pudiendo elegir entre su devolución, remisión a otro prestador de servicios o destrucción íntegra, siempre que no exista previsión legal que exija la conservación de los datos, en cuyo caso no podrá procederse a su destrucción.

Séptima

Ejercicio de derechos en materia de protección de datos

Cada parte deberá dar traslado a la otra de cualquier solicitud de ejercicio del derecho de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de los datos y a no ser objeto de decisiones individualizadas automatizadas, efectuada por un interesado cuyos datos hayan sido tratados por la otra con motivo del cumplimiento del objeto del convenio, a fin de que por el mismo se resuelva en los plazos establecidos por la normativa vigente.

El traslado de la solicitud a la otra parte deberá hacerse con la mayor celeridad posible y siempre dentro del plazo de dos días hábiles, a contar desde la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.

Asimismo, las partes deberán tramitar cualquier instrucción relativa a derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de los datos y a no ser objeto de decisiones individualizadas automatizadas, que reciban de la otra, a la mayor celeridad posible, y siempre dentro del plazo máximo de dos días hábiles a contar desde la recepción de la solicitud, confirmando por escrito tanto la recepción de la solicitud como la ejecución de la tarea encomendada.

Octava

Responsabilidad

Los corresponsables se comprometen a cumplir con las obligaciones establecidas en este convenio y en la normativa vigente.

Cada parte tendrá responsabilidad en el caso de que destine los datos a otras finalidades, los comunique o los utilice incumpliendo las estipulaciones del convenio, respondiendo de las infracciones en que hubiera incurrido personalmente.

Las partes responderán de las infracciones en que hubiesen incurrido personalmente, manteniendo indemne a la parte contraria frente a cualquier perjuicio que se derivase de dicha infracción.

(03/9.995/20)