I. COMUNIDAD DE MADRID

D) Anuncios

CONSEJERÍA DE SANIDAD

SERVICIO MADRILEÑO DE SALUD

En Madrid, a 1 de septiembre de 2021.

REUNIDOS

De una parte, Dña. María Inmaculada Sanz Otero, Delegada del Área de Gobierno de Portavoz, Seguridad y Emergencias, de conformidad con lo dispuesto en el artículo 2.4 del Decreto de 15 de junio de 2019 del Alcalde por el que se nombra a los miembros de la Junta de Gobierno de la Ciudad de Madrid, a los Tenientes de Alcalde, a los titulares de las Áreas de Gobierno y a los Concejales Presidentes de los Distritos, y en virtud de las competencias conferidas en razón de su cargo, conforme al apartado 3.^o 1.8 del Acuerdo de 27 de junio de 2019 de la Junta de Gobierno de la Ciudad de Madrid de organización y competencias del Área de Gobierno de Portavoz, Seguridad y Emergencias.

De otra parte, D. Antonio Zapatero Gaviria, Viceconsejero de Asistencia Sanitaria y Salud Pública, y Director General del Servicio Madrileño de Salud, nombrado mediante Decreto 170/2021, de 7 de julio, del Consejo de Gobierno en su nombre y en representación del Servicio Madrileño de Salud, actuando en uso de las atribuciones conferidas por el artículo 3 del Decreto 307/2019 de 26 de noviembre, del Consejo de Gobierno, por el que se establece la estructura orgánica de la Consejería de Sanidad, el artículo 1.2 del Decreto 308/2019, de 26 de noviembre, del Consejo de Gobierno, por el que se establece la estructura directiva del Servicio Madrileño de Salud, el artículo 23.2 a) del Decreto 24/2008, de 3 de abril, por el que se establece el régimen jurídico y de funcionamiento del Servicio Madrileño de Salud y el Acuerdo del Consejo de Administración del Servicio Madrileño de Salud, de 9 de mayo de 2008, ratificado en su reunión de 17 de junio de 2020, por el que se delegan determinadas competencias en materia de convenios.

Ambas partes, en la representación que ostentan, se reconocen mutua capacidad para obligarse y convenir, y

EXPONEN

I

Este Convenio se regirá por lo dispuesto en sus cláusulas y en las disposiciones correspondientes de las Leyes 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas y 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

II

El Servicio Madrileño de Salud, en virtud de lo previsto en el artículo 4 del Decreto 24/2008, de 3 de abril, del Consejo de Gobierno, por el que se establece el régimen jurídico y de funcionamiento del mismo, es el organismo encargado de la atención integral de la salud en todos los ámbitos asistenciales.

De acuerdo con el artículo 8 del Decreto 308/2019, de 26 de noviembre, del Consejo de Gobierno, por el que se establece la estructura directiva del Servicio Madrileño de Salud, corresponden a la Dirección General de Información y Equipamientos Sanitarios, dependiente del Servicio Madrileño de Salud, entre otras, las siguientes competencias:

a) La planificación, diseño, implantación y mantenimiento de los sistemas y tecnologías de la información para la organización y funcionamiento del Servicio Madrileño de Salud, de acuerdo con las necesidades explicitadas por las unidades directivas.

b) La implantación de las aplicaciones informáticas y la garantía de su integración y homogeneidad en el ámbito sanitario.

c) La elaboración de los criterios básicos, mínimos y comunes de procesamiento, registro y transmisión de la información, tanto cuantitativa como cualitativa, del Servicio Madrileño de Salud, de acuerdo con la Dirección General del Proceso Integrado de Salud y dentro del marco de la planificación sanitaria.

d) El mantenimiento de la base de datos centralizada donde se albergan las actividades que se desarrollan en los diferentes centros y organismos del Servicio Madrileño de Salud. Estableciéndose los mecanismos necesarios para que dicha base de datos pueda proveer de la información que precisen los servicios centrales y los centros del Servicio Madrileño de Salud.

e) El establecimiento de medidas de seguridad en el Servicio Madrileño de Salud, de acuerdo con la normativa vigente de las actividades de tratamiento que contengan datos de carácter personal, y la realización de auditorías en el ámbito de la protección de datos de carácter personal.

f) El establecimiento de mecanismos para garantizar el acceso y la autentificación de los usuarios a los sistemas de información en el Servicio Madrileño de Salud.

g) La implantación, de acuerdo con las necesidades detectadas por la Dirección General del Proceso Integrado de Salud, de nuevas Tecnologías de la información y la comunicación (TIC) y de tramitación electrónica en el Servicio Madrileño de Salud, que estén en relación con los ciudadanos, los profesionales y la atención sanitaria.

III

De conformidad con lo previsto en el Decreto de 15 de junio de 2019 del Alcalde, por el que se establece el número, denominación y competencias de las áreas en las que se estructura la Administración del Ayuntamiento de Madrid, corresponden al Área de Gobierno de Portavoz, Seguridad y Emergencias las competencias ejecutivas en materia de portavocía de la Junta de Gobierno, relaciones con el Pleno, medios de comunicación, promoción de la salud y de la salud pública, drogodependencias, policía municipal, protección civil, SAMUR, bomberos y el Centro Integral de Formación de Seguridad y Emergencias.

Conforme a lo dispuesto en al apartado 3.^o, puntos 1.1 y 1.8 del Acuerdo de 27 de junio de 2019, de la Junta de Gobierno de la Ciudad de Madrid de organización y competencias del Área de Gobierno de Portavoz, Seguridad y Emergencias, corresponde al titular del Área, dirigir e impulsar las políticas municipales en el ámbito de su competencia y celebrar convenios con otras Administraciones y entidades públicas para el desarrollo y ejecución de las competencias del Área de Gobierno.

Que con arreglo al Acuerdo de 27 de junio de 2019 de la Junta de Gobierno de la Ciudad de Madrid de organización y competencias del Área de Gobierno de Portavoz, Seguridad y Emergencias corresponden a esta Área de Gobierno, entre otras, las competencias ejecutivas en materia de promoción de la salud y de la salud pública, drogodependencias, policía municipal, protección civil, SAMUR y bomberos. De entre las citadas ha de destacarse, a los efectos de este acuerdo, la gestión del Servicio de Asistencia Municipal de Urgencia y Rescate (SAMUR-Protección Civil) y de ahora en adelante SAMUR-PC, figurando entre las labores desarrolladas por este Servicio la atención en materia de emergencias extrahospitalarias.

Que para el desarrollo en las mejores condiciones del Servicio prestado por el SAMUR-PC es imprescindible contar con la mayor información clínica del paciente en el momento de su atención.

IV

Ambas instituciones están orientadas a conseguir la mejor atención a los ciudadanos por parte de las administraciones públicas y en concreto en este caso, con el objetivo de poder aportar una respuesta más eficaz en cuanto a su atención sanitaria. Para ello, se considera necesario y favorable compartir e intercambiar información de la historia clínica del paciente.

Por un lado, la atención sanitaria de urgencias y emergencias es facilitada al tener acceso a los datos de la historia clínica de los pacientes donde constan los antecedentes de salud personales, diagnósticos, tratamientos y estado de salud de los ciudadanos. Por otro lado, se complementa la historia clínica del paciente incluyendo datos que se generan en la atención en emergencias contribuyendo a la centralización de datos sanitarios y a la existencia de una historia clínica más completa.

Conviene a ambas instituciones mantener y reforzar la cooperación y asistencia activas en el cumplimiento de las funciones propias, toda vez que tienen objetivos coincidentes y complementarios en esta materia, que aconsejan la mutua colaboración en beneficio de su cumplimiento, con la finalidad de mejorar y complementar sus respectivos cometidos.

Por todo lo expuesto, ambas Instituciones, acuerdan suscribir el presente Convenio según las siguientes:

CLÁUSULAS

Primera

Objeto y ámbito de aplicación

El presente Convenio tiene por objeto fomentar la colaboración, coordinación y cooperación entre el Ayuntamiento de Madrid y del Servicio Madrileño de Salud, en relación con la integración de los sistemas informáticos utilizados en el marco de las emergencias sanitarias, de cara a compartir aquella información necesaria de pacientes para poder realizar el tratamiento más adecuado allí donde se produce la enfermedad o el accidente.

La finalidad principal de la historia clínica es claramente facilitar la asistencia sanitaria, dejando constancia de todos aquellos datos que, bajo criterio médico, permitan ese conocimiento veraz y actualizado del estado de salud. En este sentido, toda asistencia por personal de SAMUR Protección Civil podría también hacerse constar en su historia clínica, completando la información de la historia clínica de los pacientes.

Segunda

Compromisos de las partes

El Servicio Madrileño de Salud se compromete a:

A. Dar acceso a los profesionales y sanitarios de SAMUR-Protección Civil del Ayuntamiento de Madrid a la plataforma de información clínica HORUS de la Comunidad de Madrid. Para ello, se facilitará un fichero por parte del Ayuntamiento de Madrid para que sean generados los accesos de forma directa en HORUS y posteriormente se devolverá por parte del Servicio Madrileño de Salud con las claves para su distribución entre los usuarios, por parte del propio SAMUR.

B. Habilitar la posibilidad de que, a futuro, sea invocado HORUS desde SITREM-SAMUR.

C. El código CIPA de la Comunidad de Madrid deberá ser el identificador clínico unívoco del paciente. Para ello, soportando el acceso mediante DNI, el Servicio Madrileño de Salud proporcionará, a futuro, un servicio o API que pueda ser invocada desde el sistema de SAMUR-PC para la filiación del paciente y su identificación completando los datos desde su base de datos de ciudadanos/pacientes CIBELES.

D. El Servicio Madrileño de Salud está trabajando en la integración de SITREM/GEMA del SUMMA con los sistemas HCE de los hospitales para hacer un aviso de ingreso y preclasificación de pacientes atendidos. Cuando esté probada, y comenzado su despliegue, se facilitará la información para que el Ayuntamiento de Madrid pueda realizar el mismo desarrollo al objeto de integrar los avisos de ingreso de SAMUR-PC.

El Ayuntamiento de Madrid se compromete a:

A. Hacer los desarrollos informáticos necesarios para incorporar la información clínica registrada por SAMUR-PC en su historia clínica electrónica (HCE) como un expediente más de información en HORUS consultable como un episodio de emergencia médica, en una segunda fase, una vez comprobado el correcto funcionamiento de acceso a HORUS por parte del SAMUR-PC.

B. Usar el código CIPA de la Comunidad de Madrid obtenido a través de la solución habilitada por la Comunidad de Madrid como el identificador clínico unívoco del paciente.

C. Colaborar con el Servicio Madrileño de Salud en los trabajos de integración del sistema de tratamiento de emergencias SITREM del SAMUR-PC, adoptando la misma solución de la Comunidad de Madrid, con los sistemas HCE de los hospitales para hacer un aviso de ingreso y preclasificación de pacientes atendidos por SAMUR PC, cuando esté desarrollado por el SERMAS.

Tercera

Confidencialidad de la información, protección de datos de carácter personal

Todas las actuaciones derivadas de la presente colaboración se realizarán con sujeción a lo regulado en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de datos Personales y Garantía de los Derechos digitales, así como del resto de disposiciones normativas que en materia de protección de datos se encuentren en vigor a la firma del Convenio o que pudieran estarlo durante su vigencia.

A estos efectos, las entidades firmantes del Convenio asumen la posición de responsables de los tratamientos que cada una realice en el marco de la ejecución del presente Convenio. El acceso a datos de carácter personal en el marco de este Convenio se realiza con el único fin de permitir una adecuada prestación de los servicios. Asimismo, se limitará a los datos adecuados, pertinentes y necesarios para la finalidad exclusiva de atención sanitaria.

Las partes responderán de las infracciones en que hubiesen incurrido personalmente, manteniendo indemne a la parte contraria frente a cualquier perjuicio que se derivase de dicha infracción.

Los miembros de ambas entidades estarán obligados a guardar el debido sigilo respecto a la información a la que accedan en el desarrollo de este Convenio, salvo aquella información que deba ser pública según lo establecido en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno y la Ley 10/2019, de 10 de abril, de Transparencia y de Participación de la Comunidad de Madrid.

Al efecto, ambas partes suscribirán un acuerdo de corresponsable de tratamiento mutuo que se incluirá como Anexo I al presente documento.

Las partes informan a los firmantes del Convenio de que sus datos de carácter personal van a ser tratados con la finalidad estipulada en el Convenio, siendo imprescindible para ello que se aporten sus datos identificativos, el cargo que ostentan, número de DNI o documento equivalente y su firma.

Asimismo, las partes garantizan cumplir con el deber de información con respecto a sus empleados cuyos datos personales sean comunicados entre las partes para el mantenimiento y cumplimiento del Convenio.

La base jurídica que legitima el tratamiento de los datos de los interesados es la protección de intereses vitales. Las partes se comunicarán mutuamente la identidad de sus Delegados de Protección de Datos, en caso de que dicho nombramiento les sea de aplicación.

Los datos serán conservados durante la vigencia del Convenio y una vez finalizado, durante los plazos establecidos en la legislación vigente con la finalidad de atender a las posibles responsabilidades derivadas de su firma.

En todo caso, los interesados podrán ejercer sus derechos de acceso, rectificación, supresión y oposición, limitación, portabilidad ante la parte que corresponda a través de comunicación por escrito al domicilio social del responsable aportando fotocopia de su DNI o documento equivalente e identificando el derecho cuyo ejercicio se solicita. Asimismo, en caso de considerar vulnerado su derecho a la protección de datos personales, podrán interponer una reclamación ante la Agencia Española de Protección de Datos.

Cuarta

Financiación y gastos de asistencia

Las actividades a desarrollar por este Convenio no implicarán ningún compromiso financiero para el Ayuntamiento de Madrid ni para el Servicio Madrileño de Salud y no supondrán incremento del gasto público ni generarán gasto alguno. Así mismo, no se derivan ni se asumen contraprestaciones económicas entre las partes. Dichas actividades no podrán suponer incremento de dotaciones ni de retribuciones ni de otros gastos de personal.

Quinta

Medidas de seguimiento, vigilancia y control

Las acciones previstas en este Convenio se llevarán a cabo bajo la dirección y supervisión de una Comisión Mixta paritaria, que será el órgano encargado del impulso, seguimiento, interpretación, control del cumplimiento y la evaluación de las acciones derivadas de este Convenio.

1. Composición de la Comisión

La Comisión Mixta estará integrada por dos representantes de cada parte:

a. Serán designados como representantes del Servicio Madrileño de Salud:

— El/La Subdirector/a General de Sistemas y Sistemas de Información, o persona en quien delegue.

— El/La Gerente Asistencial de Hospitales, o persona en quien delegue.

b. Serán designados como representantes del Ayuntamiento de Madrid:

— El/La Subdirector/a General del SAMUR Protección Civil, o persona en quien delegue.

— Un miembro de la Subdirección General de Informática y Nuevas Tecnologías de la Dirección General de Emergencias y Protección Civil o en quien delegue.

2. Funciones de la Comisión

La Comisión tendrá como funciones específicas:

— Realizar el seguimiento y controlar el cumplimiento del Convenio.

— Impulsar las actuaciones recogidas en él, proponer la programación de las actividades derivadas del mismo, realizar el seguimiento y control de su desarrollo, evaluar su resultado y proponer las modificaciones y adaptaciones que, en cada caso, se estimen pertinentes.

— Interpretar el Convenio y resolver las dudas que pueda suscitar su aplicación.

— Aprobar la definición, actualización o modificación de los procedimientos de apoyo o intervención conjunta, así como de los documentos de apoyo a los mismos.

— Constituir los grupos de trabajo específicos para la realización de acciones derivadas del Convenio.

— Efectuar propuestas de encomiendas de gestión.

Los protocolos y acuerdos técnicos que sean acordados en el seno de la Comisión Mixta se incorporarán como Anexos al presente Convenio.

3. Funcionamiento de la Comisión

La reunión constituyente de esta comisión tendrá lugar en el plazo máximo de un mes, a contar desde la fecha de la firma de este Convenio. La comisión mixta deberá reunirse cuando lo solicite alguna de las partes, y en todo caso, dos veces al año.

En lo no previsto en el Convenio, e funcionamiento de la Comisión Mixta se regirá por lo dispuesto en el artículo 15 y siguientes de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, que establecen el régimen jurídico de los órganos colegiados de las distintas Administraciones Públicas.

Sexta

Legislación aplicable y Régimen Jurídico

El presente Convenio tiene naturaleza administrativa y se rige por lo establecido en el artículo 47 y siguientes de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, así como en lo dispuesto en la Ley 22/2006, de 4 de julio, de Capitalidad y de Régimen Especial de Madrid, en el artículo 5 de la Ley 7/1985, de 2 de abril, reguladora de Bases de Régimen Local, y en el artículo 111 del Texto refundido de las Disposiciones legales vigentes en materia de Régimen Local, aprobado por Real Decreto Legislativo 781/1986, de 18 de abril, quedando excluido del ámbito de aplicación de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014, conforme a su artículo 4.1.c).

Asimismo, para resolver las dudas y lagunas que pudieran presentarse, se aplicarán los principios de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, tal y como establece su artículo 4.

Los litigios que puedan surgir entre las partes como consecuencia de la ejecución del presente Convenio deberán solventarse por mutuo acuerdo de las mismas en el seno de la comisión de seguimiento que crea este Convenio. Si no pudiera alcanzarse dicho acuerdo, serán de conocimiento y competencia del Orden Jurisdiccional de lo Contencioso-Administrativo con sede en Madrid.

Séptima

Vigencia del Convenio

El presente Convenio tendrá una duración de 4 años, entrando en vigor el día siguiente al de la última de sus firmas, en virtud del artículo 49 h) 1.^o, de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, salvo denuncia de alguna de las partes, que deberá ser comunicada a la otra con, al menos, tres meses de antelación.

El Convenio podrá prorrogarse por un período de otros cuatro años adicionales en los términos del artículo 49 h) 2.^o de la ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, por acuerdo expreso de las partes, mediante una adenda de prórroga al Convenio, tramitada en cualquier momento anterior a la finalización del plazo de vigencia.

Octava

Modificación e incidencia de las reformas legales

El presente Convenio podrá revisarse en cualquier momento a requerimiento de alguna de las partes y, en su caso, modificarse por acuerdo expreso de ambas partes mediante una adenda de modificación a este Convenio o nuevo Convenio.

Novena

Causas de extinción

1. Son causas de extinción de este Convenio las establecidas en el artículo 51 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

2. Asimismo, el Convenio se podrá extinguir por denuncia expresa de cualquiera de las partes, en cualquier momento, realizada con tres meses de antelación a la fecha en la que se pretenda que la referida finalización surta efectos.

3. En caso de finalización anticipada del Convenio, las actuaciones en curso continuarán su desarrollo hasta su finalización en la fecha prevista en el momento de su programación, por lo que se establecerá un plazo improrrogable que será fijado por las partes cuando se resuelva el Convenio.

4. El cumplimiento y la resolución del Convenio dará lugar a la liquidación del mismo.

La Comisión de Seguimiento continuará en funciones y será la encargada de resolver las cuestiones que pudieran plantearse en relación con las actuaciones en curso o derivadas del Convenio y, asimismo, para el caso de producirse la extinción, hasta que se resuelvan las cuestiones pendientes.

Décima

Consecuencias en caso de incumplimiento de obligaciones y compromisos

En el caso de resolución por incumplimiento de las obligaciones y compromisos asumidos por parte de alguno de los firmantes, con arreglo a los artículos 49.e) y 51 de la Ley 40/2015, de 1 de octubre, cualquiera de las partes podrá notificar a la parte incumplidora un requerimiento para que cumpla en el plazo de 30 días naturales con las obligaciones y compromisos que se consideran incumplidos. Este requerimiento será comunicado a la Comisión Mixta. Si transcurrido el plazo indicado en el requerimiento persistiera el incumplimiento, la parte que lo dirigió notificará a la otra parte la concurrencia de la causa de resolución y se entenderá resuelto el Convenio.

La resolución del Convenio por esta causa no conllevará indemnización por los perjuicios causados, al no haber obligaciones y compromisos económicos asumidos entre las partes.

Y en prueba de conformidad, ambas partes suscriben el presente Convenio.

Madrid, a 1 de septiembre de 2021.—Por el Servicio Madrileño de Salud, el Viceconsejero de Asistencia Sanitaria y Salud Pública y Director General del Servicio Madrileño de Salud, Antonio Zapatero Gaviria.—Por el Ayuntamiento de Madrid, la Delegada del Área de Gobierno de Portavoz, Seguridad y Emergencias, María Inmaculada Sanz Otero.

ANEXO I

ACUERDO DE CORRESPONSABLE DE TRATAMIENTO MUTUO

En el presente Acuerdo, las partes fijan formalmente y por escrito los términos y condiciones para regular el tratamiento de datos de carácter personal y la confidencialidad de la información suministrada y creada entre ellas.

Tendrá la consideración de información confidencial toda la información susceptible de ser revelada por escrito, de palabra o por cualquier otro medio o soporte, tangible o intangible, actualmente conocido o que posibilite el estado de la técnica en el futuro, intercambiada como consecuencia de este Convenio, salvo aquella información que deba ser pública según lo establecido en la Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno, y la Ley 10/2019, de 10 de abril, de Transparencia y de Participación de la Comunidad de Madrid.

Las partes se comprometen a mantener el compromiso de confidencialidad respecto a la información y material facilitado y recibido en virtud del Convenio de referencia y del presente Convenio de forma indefinida tras su finalización.

CONFIDENCIALIDAD

Las partes se obligan con respecto a la información y material que hayan podido recibir como consecuencia de este Convenio a:

a) Utilizar la información de forma reservada.

b) No divulgar ni comunicar la información facilitada o recibida, salvo resolución motivada en los términos establecidos en la Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno, y la Ley 10/2019, de 10 de abril, de Transparencia y de Participación de la Comunidad de Madrid.

c) Impedir la copia o revelación de esa información a terceros, salvo que goce de aprobación escrita de las partes y únicamente en los términos de tal aprobación.

d) Se restringirá el acceso a la información a sus empleados y colaboradores, salvo en la medida en que razonablemente puedan necesitarla para el cumplimiento de sus tareas acordadas.

e) No utilizar la información o fragmentos de esta para fines distintos de la ejecución de este Convenio.

f) Cumplir con todos los términos fijados en el presente Acuerdo y muy especialmente aquellos relativos a las cláusulas sobre propiedad intelectual e industrial, confidencialidad y obligación de secreto, manteniendo esta confidencialidad y evitando revelar la información a toda persona que no sea empleado o subcontratado.

Las partes serán responsables ante el incumplimiento de esta obligación, ya sea por sus empleados, voluntarios o por subcontratados, etc.

CLÁUSULAS

Primera

Responsables del tratamiento

Tanto la Comunidad de Madrid, a través del Servicio Madrileño de Salud, como el Ayuntamiento de Madrid, tendrán la consideración de Responsables del Tratamiento (en adelante Corresponsables del Tratamiento), conforme a lo establecido en el artículo 26 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante RGPD), así como en el artículo 29 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (en adelante, LOPDGDD), y en el resto de normativa vigente en la materia.

Segunda

Definiciones

Los términos específicos en materia de protección de datos serán interpretados conforme a lo establecido en el artículo 4 del RGPD.

Tercera

Deber de secreto

Los corresponsables del tratamiento se obligan a guardar la máxima reserva y secreto sobre la información clasificada como confidencial con motivo de la prestación de servicios objeto del Convenio.

Se considerará información confidencial cualquier información a la que los corresponsables accedan en virtud del Convenio, en especial la información y datos personales a los que haya accedido o acceda durante su ejecución, salvo aquella información que deba ser pública según lo establecido en la Ley 19/2013, de 9 de diciembre, de Transparencia, Acceso a la Información Pública y Buen Gobierno, y la Ley 10/2019, de 10 de abril, de Transparencia y de Participación de la Comunidad de Madrid.

La obligación de confidencialidad tendrá carácter indefinido, manteniéndose en vigor con posterioridad a la finalización por cualquier causa de la relación entre las partes.

Los corresponsables garantizarán que su personal, colaboradores, voluntarios y en general, todas las personas de su responsabilidad que tengan acceso a la información confidencial y a los datos personales del otro corresponsable respeten la confidencialidad de la información, así como las obligaciones relativas al tratamiento de datos de carácter personal, aun después de finalizar su relación contractual. Por tanto, los corresponsables realizarán cuantas advertencias y suscribirán cuantos documentos sean necesarios con dichas personas, con el fin de asegurar el cumplimiento de estas obligaciones.

Los corresponsables mantendrán a disposición de la otra parte la documentación acreditativa del cumplimiento de la obligación establecida en el párrafo anterior.

Cuarta

Obligaciones de las partes

Los corresponsables del tratamiento, asumen las siguientes obligaciones:

— Acceder a los datos de carácter personal únicamente cuando sea imprescindible para el buen desarrollo de los servicios.

— Tratar los datos con la única finalidad de dar cumplimiento al objeto del Convenio.

— Seguir los procedimientos e instrucciones establecidos por la normativa vigente, especialmente en lo relativo al deber de información y, en su caso, la obtención del consentimiento de los interesados.

— Si cualquiera de las partes considera que otra infringe el RGPD, la LOPDGDD, o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, informará inmediatamente a las otras, con el fin de proceder a su rápida subsanación.

— Asumir la responsabilidad que corresponda en caso de que destine los datos a otra finalidad distinta del cumplimiento del objeto del Convenio, los comunique o los utilice incumpliendo las estipulaciones de la normativa vigente, respondiendo de las infracciones en que hubiera incurrido personalmente.

— No permitir el acceso a los datos de carácter personal a ningún empleado de su responsabilidad que no tenga la necesidad de conocerlos para la prestación de los servicios.

— No revelar, transferir, ceder o de otra forma comunicar los datos de carácter personal, ya sea verbalmente o por escrito, por medios electrónicos, papel o mediante acceso informático, ni siquiera para su conservación, a ningún tercero, salvo que exista autorización o instrucción previa para ello.

— En caso de estar obligado a ello por el artículo 30 del RGPD y el 31 de la LOPDGDD, mantendrá un registro de todas las categorías de actividades de tratamiento efectuadas en cumplimiento del Convenio, que contenga la información exigida por el artículo 30.1 del RGPD.

— Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

— Darse apoyo mutuamente en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda.

— Darse apoyo mutuamente en la realización de las consultas previas a la Autoridad de Control, cuando proceda.

— Poner a disposición de la otra parte toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realice la otra parte con la finalidad de verificar el correcto cumplimiento del Convenio.

— Adoptar y aplicar las medidas de seguridad estipuladas en el presente Acuerdo, conforme lo previsto en el artículo 32 del RGPD, que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural.

— En caso de estar obligado a ello por el artículo 37.1 del RGPD, y por el artículo 34 de la LOPDGDD, designar un delegado de protección de datos y comunicar su identidad y datos de contacto a la otra parte, así como cumplir con todo lo dispuesto en los artículos 37, 38 y 39 del RGPD, y 35 a 37 de la LOPDGDD.

— Respetar todas las obligaciones que pudieran corresponderle con arreglo al RGPD y a la LOPDGDD, o de cualquier otra disposición o regulación complementaria que le fuera igualmente aplicable.

— En caso de que cualquiera de las partes deba transferir o permitir acceso a datos personales responsabilidad de la otra a un tercero en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará a la otra de esa exigencia legal de manera previa, salvo que estuviese prohibido por razones de interés público.

— En caso de que el tratamiento incluya la recogida de datos personales, se establecerán los procedimientos correspondientes a la recogida de los datos, especialmente en lo relativo a la identificación fehaciente de usuarios, al deber de información y, en su caso, la obtención del consentimiento de los interesados, garantizando que estas instrucciones cumplen con todas las prescripciones legales y reglamentarias que exige la normativa vigente en materia de protección de datos.

— Supervisar el tratamiento y el cumplimiento de la normativa de protección de datos por la otra parte.

Quinta

Medidas de seguridad y violación de la seguridad

Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, las partes aplicarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

a) La seudonimización y el cifrado de datos personales.

b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento, así como la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.

c) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

d) Un catálogo de medidas de seguridad reconocido en normativas o estándares de seguridad de la información.

Al evaluar la adecuación del nivel de seguridad, las partes tendrán en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a dichos datos. Las partes permitirán y contribuirán a la realización de auditorías, incluidas inspecciones, a la otra parte.

Asimismo, en caso de modificación de la normativa vigente en materia de protección de datos o de otra normativa relacionada y que resultase aplicable al tratamiento objeto del Convenio, las partes garantizan la implantación y mantenimiento de cualesquiera otras medidas de seguridad que le fueran exigibles, sin que ello suponga una modificación de los términos del Convenio.

En caso de violación de la seguridad de los datos personales en los sistemas de información utilizados por las partes para la prestación de los Servicios, deberán notificarse mutuamente, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas hábiles, las violaciones de la seguridad de los datos personales a su cargo de las que tengan conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia conforme a lo dispuesto en el artículo 33.3 del RGPD.

En tal caso, cada parte en la medida que le corresponda deberá comunicar las violaciones de seguridad de los datos a la Autoridad de Protección de Datos y/o a los interesados conforme a lo establecido en la normativa vigente.

Sexta

Destino de los datos al finalizar el Convenio

Una vez cumplido o resuelto el Convenio acordado cada parte deberá solicitar a las otras instrucciones precisas sobre el destino de los datos de carácter personal de su responsabilidad, pudiendo elegir entre su devolución, remisión a otro prestador de servicios o destrucción íntegra, siempre que no exista previsión legal que exija la conservación de los datos, en cuyo caso no podrá procederse a su destrucción.

Séptima

Ejercicio de derechos en materia de protección de datos

Cada parte deberá dar traslado a la otra de cualquier solicitud de ejercicio del derecho de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de los datos y a no ser objeto de decisiones individualizadas automatizadas, efectuada por un interesado cuyos datos hayan sido tratados por la otra con motivo del cumplimiento del objeto del Convenio, a fin de que por el mismo se resuelva en los plazos establecidos por la normativa vigente.

El traslado de la solicitud a la otra parte deberá hacerse con la mayor celeridad posible y siempre dentro del plazo de dos (2) días hábiles, a contar desde la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.

Asimismo, las partes deberán tramitar cualquier instrucción relativa a derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de los datos y a no ser objeto de decisiones individualizadas automatizadas, que reciban de la otra, a la mayor celeridad posible, y siempre dentro del plazo máximo de dos (2) días hábiles a contar desde la recepción de la solicitud, confirmando por escrito tanto la recepción de la solicitud como la ejecución de la tarea encomendada.

Octava

Responsabilidad

Los corresponsables se comprometen a cumplir con las obligaciones establecidas en este Convenio y en la normativa vigente.

Cada parte tendrá responsabilidad en el caso de que destine los datos a otras finalidades, los comunique o los utilice incumpliendo las estipulaciones del Convenio, respondiendo de las infracciones en que hubiera incurrido personalmente.

Las partes responderán de las infracciones en que hubiesen incurrido personalmente, manteniendo indemne a la parte contraria frente a cualquier perjuicio que se derivase de dicha infracción.

(03/1.410/22)