I. COMUNIDAD DE MADRID

D) Anuncios

CONSEJERÍA DE SANIDAD

En Madrid, a 9 de febrero de 2021.

REUNIDOS

De una parte, Enrique Ruiz Escudero, Consejero de Sanidad, de la Comunidad de Madrid, nombrado mediante el Decreto 60/2019, de 19 de agosto de la Presidenta de la Comunidad de Madrid, en virtud de las atribuciones que le confiere el artículo 41 a) de la Ley 1/1983, de 13 de diciembre, de Gobierno y Administración de la Comunidad de Madrid y en el 4.3 a) de la Ley 8/1999, de 9 de abril, de adecuación de la Normativa de la Comunidad de Madrid a la Ley Estatal 4/1999, de 13 de enero, de modificación de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común.

De otra parte, Fátima Báñez García, Presidenta de la Fundación CEOE, con domicilio en la Calle Diego de León, 50, y NIF G-78125366, en virtud de su nombramiento en reunión del Patronato de fecha 21 de julio de 2020 y de conformidad con escritura de poder otorgada de fecha 1 de septiembre de 2020 ante el Notario de Madrid, Miguel Mestanza Iturmendi, con el número de protocolo 1.542.

Y de otra parte, Miguel Garrido de la Cierva, como presidente de CEIM Confederación Empresarial de Madrid- CEOE y apoderado según lo dispuesto en la copia de escritura de poder autorizada por el Notario del Ilustre Colegio de Madrid, Antonio de la Esperanza Rodríguez, el 2 de julio de 2019 con el número 3.704 de su protocolo.

Las partes se reconocen recíprocamente la representación que ostentan y plena capacidad jurídica para el otorgamiento del presente convenio y al efecto

MANIFIESTAN

Primero

Corresponde al Consejero de Sanidad la propuesta, el desarrollo, la coordinación y el control de la ejecución de las políticas del gobierno de la Comunidad de Madrid en las materias de Planificación, gestión y asistencia sanitaria, coordinación socio sanitaria, sin perjuicio de las competencias atribuidas a otros órganos de la Comunidad de Madrid, salud pública, entre otras, según lo establecido en el artículo 1 del Decreto 307/2019, de 26 de noviembre, del Consejo de Gobierno, por el que se establece la estructura orgánica de la Consejería de Sanidad. Asimismo, le corresponden las atribuciones que, como jefe de su Departamento, se recogen en el artículo 41 de la Ley 1/1983, de 13 de diciembre, de Gobierno y Administración de la Comunidad de Madrid, las establecidas en la Ley 12/2001, de 21 de diciembre, de Ordenación Sanitaria de la Comunidad de Madrid, y las que le otorguen las demás disposiciones en vigor.

Segundo

A la Consejería de Sanidad, a través del órgano directivo competente en materia de salud pública, le corresponde, entre otras, el ejercicio de las funciones de aprobación de los programas de prevención de enfermedades elaborados por cualquier centro o servicio público del sistema sanitario de la Comunidad de Madrid y la colaboración con el sector privado de servicios de salud, que desarrolle programas o actividades de prevención primaria o secundaria, a fin de establecer objetivos comunes; la elaboración e impulso a los programas de vacunación y el control de las enfermedades y riesgos para la salud en situaciones de emergencia sanitaria, según lo previsto en artículo 11 del Decreto 307/2019, de 26 de noviembre, del Consejo de Gobierno, por el que se establece la estructura orgánica de la Consejería de Sanidad.

Tercero

La Fundación CEOE es una institución sin ánimo de lucro constituida en 1985 por la Confederación Española de Organizaciones Empresariales, la cual agrupa con carácter voluntario a más de 200 organizaciones empresariales territoriales y sectoriales españolas. La Fundación CEOE, como muestra de la responsabilidad social de las empresas españolas, tiene entre sus fines la promoción, el fomento, la organización y gestión de actividades dirigidas a la construcción de una sociedad más justa, entre otros, (i) la formación, educación e investigación; (ii) el emprendimiento y el fomento del espíritu empresarial entre la población en general y los jóvenes en particular; (iii) la internacionalización de las empresas; (iv) la ética empresarial y la promoción de la Responsabilidad Social Corporativa en el mundo empresarial; (v) la cooperación al desarrollo; (vi) la innovación; (vii) la mejora de la empleabilidad de los trabajadores y la integración laboral de colectivos en especiales dificultades, así como otros fines sociales; (viii) la defensa de la competencia y el libre mercado; y (ix) la igualdad de género. Para la consecución de estos fines, la Fundación CEOE celebra cuantas actividades considere necesarias y convenientes, entre ellas, la realización de acuerdos de colaboración de aquellas entidades que compartan los fines referidos.

Cuarto

La Confederación Empresarial de Madrid-CEOE (CEIM) es la confederación de los empresarios madrileños, con más de 40 años de funcionamiento, tanto sectoriales como territoriales. CEIM tiene entre sus fines promover el desarrollo empresarial en beneficio del interés general y específicamente contribuir al desarrollo y bienestar de la Comunidad de Madrid, así como desarrollar el espíritu de solidaridad entre sus miembros, fomentando la comunicación entre ellos a través de la adecuada labora informativa.

Quinto

El 30 de noviembre de 2020, las partes suscribieron el Protocolo general de actuación entre la Comunidad de Madrid, a través de la Consejería de Sanidad, y la Fundación CEOE, para la puesta en marcha del Plan Sumamos S+E, Plan de Acción Sumamos Salud + Economía frente al COVID, con el objeto de impulsar la colaboración necesaria entre los firmantes para establecer, definir y concretar determinadas medidas de revitalización social frente a la COVID-19. En este protocolo también intervenía como parte CEIM.

La cláusula segunda de este protocolo preveía la posibilidad de que las medidas concretas se materializaran a través de la suscripción de convenios de colaboración entre las partes.

Sexto

Por su parte el Real Decreto-Ley 21/2020, de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el COVID-19 en su artículo 23 se determina lo siguiente:

“Se establece la obligación de facilitar a la autoridad de salud pública competente todos los datos necesarios para el seguimiento y la vigilancia epidemiológica del COVID-19 que le sean requeridos por esta, en el formato adecuado y de forma diligente, incluidos, en su caso, los datos necesarios para la identificación personal”.

Asimismo, en el artículo 27 de la citada norma se indica que: “3. Los responsables del tratamiento serán las comunidades autónomas, las ciudades de Ceuta y Melilla y el Ministerio de Sanidad, en el ámbito de sus respectivas competencias, que garantizarán la aplicación de las medidas de seguridad preceptivas que resulten del correspondiente análisis de riesgos, teniendo en cuenta que los tratamientos afectan a categorías especiales de datos y que dichos tratamientos serán realizados por administraciones públicas obligadas al cumplimiento del Esquema Nacional de Seguridad”.

Séptimo

En su virtud y dado que se aprecia una confluencia y complementariedad entre los fines de las partes, las mismas desean establecer una colaboración para adoptar medidas de revitalización social ante la COVID-19 y, en concreto, la realización masiva de test para su detección.

Con base en las anteriores manifestaciones, las partes acuerdan suscribir el presente convenio de colaboración de acuerdo con las siguientes

CLÁUSULAS

Primera

Objeto

El presente convenio tiene por objeto establecer la colaboración entre la Comunidad de Madrid, a través de la Consejería de Sanidad, la Fundación CEOE y la Confederación Empresarial de Madrid (CEIM), para llevar a cabo la realización masiva de test a los trabajadores que se determinen en el seno de la comisión de seguimiento de este convenio. Para ello se determinará la instalación de diversos centros temporales de testeo siguiendo el protocolo marcado por la Viceconsejería de Salud Pública dependiente de la Consejería de Sanidad de la Comunidad de Madrid, y registrando los resultados en la herramienta de registro que la Comunidad de Madrid tiene a este efecto.

Por cada centro que se determine, la empresa responsable deberá suscribir, en caso de que así se estime necesario por parte de la comisión de seguimiento del convenio, el correspondiente Contrato de Encargado de Tratamiento, cuyo modelo se anexa al presente convenio como Anexo I, el cual deberá ser suscrito por la Comunidad de Madrid, a través de la Consejería de Sanidad y, en concreto, por la Dirección General de Salud Pública, y por la empresa con condición de encargada de tratamiento y que deberá anexarse a este convenio. También deberá suscribirse un anexo sobre confidencialidad, que deberá ser suscrito por los profesionales de las empresas que accedan a la aplicación de registro de pruebas diagnósticas COVID-19 y cuyo modelo se adjunta a este convenio.

Segunda

Desarrollo de la actividad

Los test se realizarán a los trabajadores que desempeñan su labor en los centros seleccionados y los trabajadores, de manera voluntaria, podrán registrarse en la aplicación que al efecto establezca la Fundación CEOE, con el fin de poder confirmar una cita para la realización del test.

En el caso de que una prueba diagnóstica resulte positiva, se aplicará el protocolo que la Dirección General de Salud Pública de Consejería de Sanidad de la Comunidad de Madrid tenga aprobado al efecto en cada momento.

El plazo y el horario en que los centros deban estar operativos se ajustarán en función de las necesidades concretas de cada centro.

Tercera

Compromisos de las partes

1. La Comunidad de Madrid, a través de la Consejería de Sanidad, se compromete a:

— Suministrar los test de antígenos para las pruebas en los centros validados previamente por Salud Pública para la población objetivo seleccionada.

— Asesorar en el montaje y operación del centro.

— Poner a disposición la herramienta de registro de resultados, así como la aplicación de altas, bajas y modificación de usuarios que tendrán acceso a la misma.

— Utilizar los circuitos de comunicación existentes para difundir las actividades objeto del presente convenio que se desarrollen.

2. La Fundación CEOE se compromete a:

— Coordinar a las empresas participantes para la aportación del material y de los recursos humanos necesarios para el montaje y la operación del centro: mobiliario, equipos informáticos, consumibles de oficina, sanitarios, administrativos, conexión a Internet, a cuyos efectos, suscribirá los oportunos convenios en los que, al menos, deberá constar la obligación de las empresas participantes de suscribir, en caso de que así sea necesario, el correspondiente Contrato de Encargado de Tratamiento y los compromisos de confidencialidad suscritos por los profesionales de las empresas que accedan a la aplicación de registro de pruebas diagnósticas COVID-19. Estos convenios también determinarán los aspectos básicos sobre el desarrollo de la colaboración para la realización y gestión de testeos en el marco del Plan Sumamos.

— Coordinar el montaje y la operación del centro de testeo.

— Diseñar una aplicación para la gestión de las citas previas a la realización de los test.

— Seguir las directrices de la Consejería de Sanidad en la planificación de la actividad.

— Cumplir la normativa de protección de datos en relación con el tratamiento de los datos personales de los participantes en los test de antígenos. La Fundación CEOE no accederá, ni tratará, en ningún momento, datos personales incorporados en la herramienta de registro de resultados.

3. CEIM se compromete a:

— Seguir las directrices de la Consejería de Sanidad en la planificación de la actividad.

— Cumplir la normativa de protección de datos en relación con el tratamiento de los datos personales de los participantes en los test de antígenos. CEIM no accederá, ni tratará, en ningún momento, datos personales incorporados en la herramienta de registro de resultados.

— Apoyar en la difusión de las iniciativas, especialmente con las empresas y asociaciones miembros de CEIM, para conseguir una mayor afluencia de la población objetivo en estos centros de testeo

Cuarta

Financiación

Tanto la Comunidad de Madrid como la Fundación CEOE y CEIM llevarán a cabo la actividad propia del convenio con los medios ya disponibles, sin que ello tenga repercusión o incidencia alguna en los capítulos de gastos presupuestarios.

Quinta

Buenas prácticas

Las actividades o proyectos que se formalicen tras la firma del presente convenio en ningún caso obligarán a la Comunidad de Madrid a prescribir, recomendar, comprar o concertar el uso de ningún producto o servicio de la Fundación CEOE ni de CEIM.

La formalización del presente convenio tampoco podrá dar lugar, indirectamente, a una dependencia tácita de contratar de manera exclusiva a las partes, en futuras licitaciones relacionadas con su objeto, así como tampoco las colocará en una posición privilegiada respecto a sus competidores en dichas licitaciones.

Sexta

Personal

El personal que participe en la ejecución del presente convenio seguirá bajo la dependencia de la institución a la que esté ligada por relación laboral o de servicios, sin que, en modo alguno, tal relación se modifique o pueda modificarse en virtud de este convenio.

Séptima

Comisión de seguimiento del convenio

Se crea una comisión de seguimiento, formada por dos representantes de cada una de las partes, que será el órgano colegiado encargado del seguimiento, la vigilancia y el control de la ejecución de este convenio y de los compromisos adquiridos por las partes,:

Actuará como secretario/a una persona designada por la Dirección General de Salud Pública.

Serán funciones de la comisión:

— Velar por el buen desarrollo de todas y cada una de las actividades llevadas a cabo de acuerdo con el objeto del convenio, así como su seguimiento y evaluación.

— Acordar la inclusión de nuevos centros de testeo y los colectivos afectados.

— Realizar el seguimiento de la ejecución de las medidas y el impacto logrado.

— Asegurar el cumplimiento de los compromisos de las partes implicadas.

— Resolver cuantas dudas y discrepancias surjan en la interpretación y aplicación del convenio.

La comisión establecerá y aprobará su régimen de funcionamiento y adopción de acuerdos en su primera reunión.

Para el mejor desarrollo de las funciones de la comisión, podrán ser invitados a sus reuniones, con voz, pero sin voto, los técnicos o expertos que se consideren necesarios.

En lo no previsto en esta cláusula, el funcionamiento de la comisión se regulará por lo establecido en la sección 3.^a del capítulo II del título preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, en lo que sea compatible con la naturaleza de la Comisión.

Octava

Causas de resolución

El presente convenio quedará resuelto en los siguientes supuestos:

— Por mutuo acuerdo escrito entre las partes.

— Por incumplimiento de los compromisos establecidos en el convenio por alguna de las partes.

En este caso, la otra parte podrá notificar a la parte incumplidora un requerimiento para que cumpla en un determinado plazo con las obligaciones o compromisos que se consideran incumplidos. Este requerimiento será comunicado a la comisión mixta de seguimiento.

Si transcurrido el plazo indicado en el requerimiento, persistiera el incumplimiento, la parte que lo dirigió notificará a la otra parte s otras partes la concurrencia de la causa de resolución y se entenderá resuelto el convenio. No se prevé indemnización por los perjuicios causados.

— Por su denuncia, en la forma establecida en la cláusula siguiente.

— Por imposibilidad sobrevenida, legal o material, de cumplir las obligaciones derivadas del objeto del convenio.

— Por decisión judicial declaratoria de la nulidad del convenio.

— Por cualquier otra causa legalmente prevista.

De acuerdo con el artículo 52 de la Ley 40/2015, si cuando concurra cualquiera de las causas de resolución del convenio existen actuaciones en curso de ejecución, las partes, a propuesta de la comisión mixta de seguimiento, podrán acordar la continuación y finalización de las actuaciones en curso que consideren oportunas, estableciendo un plazo improrrogable para su finalización.

Novena

Vigencia, prórroga y denuncia

El convenio estará vigente durante seis meses desde el día de la perfección con el consentimiento de las partes, de conformidad con lo establecido por el artículo 48 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

A estos efectos, se entenderá que el día de su perfección es aquel en el que el convenio ha sido suscrito por el último de sus firmantes.

El convenio podrá prorrogarse mediante acuerdo escrito de las partes, por períodos de seis meses, salvo que medie denuncia expresa de alguna de ellas, formulada con una antelación mínima de dos meses a la finalización de la vigencia del convenio o de su prórroga.

Décima

Régimen jurídico

El presente convenio tiene naturaleza administrativa y se rige por las previsiones de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, quedando excluido de la aplicación de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014 en virtud de lo dispuesto en su artículo 6.2, sometiéndose, de acuerdo con el artículo 4 de la misma, a los principios de dicha ley para resolver las dudas y lagunas que pudieran presentarse, así como a las normas generales de Derecho administrativo, a los principios de buena administración y al ordenamiento jurídico en general.

Undécima

Protección de datos personales

Las partes firmantes se comprometen a cumplir las previsiones contenidas en el Reglamento (UE) del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de datos de las personas físicas en lo que respecta al tratamiento de datos personales y la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) y a Ley Orgánica 3/2018 de 5 de diciembre, de Protección de Datos Personales y Garantía de los derechos digitales, así como la normativa posterior que lo desarrolle o modifique.

Los datos de carácter personal que recaben u obtengan las partes en el desarrollo y aplicación del convenio serán tratados y utilizados de conformidad con la normativa vigente.

En particular, las partes se comprometen a respetar el deber de secreto y las limitaciones en su uso marcadas por la normativa de aplicación sobre cualquier información a la que se tenga acceso en la realización de actividades objeto de este convenio, salvo aquella información que deba ser pública según lo dispuesto en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno y la Ley 10/2019, de 10 de abril, de Transparencia y de Participación de la Comunidad de Madrid.

La Dirección General de Salud Pública tendrá la consideración de Responsable del Tratamiento de los datos personales gestionados en la herramienta de registro de resultados de las pruebas. La Fundación CEOE y CEIM no accederán, ni tratarán, en ningún momento, datos personales incorporados en la herramienta de registro de resultados.

Por otro lado, la Fundación CEOE tendrá la consideración de Responsable del Tratamiento de los datos personales gestionados en la aplicación de confirmación de citas para la realización de las pruebas.

En caso de que se considere que debe proporcionarse información que contenga datos personales de los participantes en las pruebas a la Fundación CEOE o CEIM, deberá obtenerse la autorización expresa del Responsable del Tratamiento, con carácter previo, y se garantizará que los datos personales se han anonimizado de forma que sea imposible su reidentificación.

Duodécima

Deber de información mutuo

Las partes informan a los firmantes del convenio de que sus datos de carácter personal van a ser tratados con la finalidad estipulada en el convenio, siendo imprescindible para ello que se aporten sus datos identificativos, el cargo que ostentan, número de DNI o documento equivalente y su firma.

Asimismo, las partes garantizan cumplir con el deber de información con respecto a sus empleados cuyos datos personales sean comunicados entre las partes para el mantenimiento y cumplimiento del convenio.

La base jurídica que legitima el tratamiento de los datos de los interesados es la celebración y ejecución del convenio. Las partes se comunicarán mutuamente la identidad de sus Delegados de Protección de Datos, en caso de que dicho nombramiento les sea de aplicación.

Los datos serán conservados durante la vigencia del convenio y una vez finalizado, durante los plazos establecidos en la legislación vigente con la finalidad de atender a las posibles responsabilidades derivadas de su firma.

En todo caso, los interesados podrán ejercer sus derechos de acceso, rectificación, supresión y oposición, limitación, portabilidad ante la parte que corresponda a través de comunicación por escrito al domicilio social del Responsable aportando fotocopia de su DNI o documento equivalente e identificando el derecho cuyo ejercicio se solicita. Asimismo, en caso de considerar vulnerado su derecho a la protección de datos personales, podrán interponer una reclamación ante la Agencia Española de Protección de Datos.

Decimotercera

Controversias

Dada la naturaleza administrativa del convenio, corresponde conocer de las discrepancias, que no hayan podido resolverse en el seno de la comisión mixta de seguimiento prevista en este convenio, a los tribunales de la jurisdicción contencioso-administrativa, de conformidad con lo previsto por la Ley 29/1998, de 13 de julio, reguladora de dicha jurisdicción.

Y para que así conste, y en prueba de conformidad de las partes firman el presente convenio.

Madrid, a 9 de febrero de 2021.—Por la Comunidad de Madrid: El Consejero de Sanidad, Enrique Ruiz Escudero.—Por la Fundación CEOE: La Presidenta, Fátima Báñez García.—Por CEIM: El Presidente, Miguel Garrido de la Cierva.

ANEXO I

MODELO DE CONTRATO DE ENCARGADO DE TRATAMIENTO

En el presente acuerdo las partes fijan formalmente y por escrito los términos y condiciones para regular el tratamiento de datos de carácter personal y la confidencialidad de la información suministrada y creada entre ellas.

Tendrá la consideración de información confidencial toda la información susceptible de ser revelada por escrito, de palabra o por cualquier otro medio o soporte, tangible o intangible, actualmente conocido o que posibilite el estado de la técnica en el futuro, intercambiada como consecuencia de este convenio.

Las partes se comprometen a mantener el compromiso de confidencialidad respecto a la información y material facilitado y recibido en virtud del presente convenio de forma indefinida tras su finalización.

Confidencialidad

Las partes se obligan con respecto a la información y material que hayan podido recibir como consecuencia de este convenio a:

a) Utilizar la información de forma reservada.

b) No divulgar ni comunicar la información facilitada o recibida, salvo resolución motivada en los términos establecidos en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno y la Ley 10/2019, de 10 de abril, de Transparencia y de Participación de la Comunidad de Madrid.

c) Impedir la copia o revelación de esa información a terceros, salvo que goce de aprobación escrita de las partes y únicamente en los términos de tal aprobación.

d) Se restringirá el acceso a la información a sus empleados y colaboradores, salvo en la medida en que razonablemente puedan necesitarla para el cumplimiento de sus tareas acordadas.

e) No utilizar la información o fragmentos de ésta para fines distintos de la ejecución de este convenio.

f) Cumplir con todos los términos fijados en el presente acuerdo y muy especialmente aquellos relativos a las cláusulas sobre propiedad intelectual e industrial, confidencialidad y obligación de secreto, manteniendo esta confidencialidad y evitando revelar la información a toda persona que no sea empleado o subcontratado.

Las partes serán responsables ante el incumplimiento de esta obligación, ya sea por sus empleados, voluntarios o por subcontratados, etc.

CLÁUSULAS

Primera

Responsable y encargados del tratamiento

La Dirección General de Salud Pública tendrá la consideración de Responsable del Tratamiento y (incluir empresas encargadas de tratamiento) tendrán la consideración de Encargados del Tratamiento, conforme a lo establecido en los artículos 28 y 29 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD), así como en el artículo 33 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y en el resto de normativa vigente en la materia.

Los servicios que se prestarán al Responsable del Tratamiento consisten en: el traslado de la información y datos de interés epidemiológico adquiridos mediante la realización de pruebas para el diagnóstico del SARS-CoV-2 a través de las pruebas realizadas por el encargado de tratamiento.

En consecuencia, el acceso a datos de carácter personal en el marco de este convenio se realiza con el único fin de permitir una adecuada prestación de los servicios y no se considerará como una cesión o comunicación de datos.

En caso de que sea necesario ceder o comunicar datos, se deberá contar con la autorización previa del Responsable del Tratamiento. Asimismo, se tendrá que obtener previamente la aprobación del Comité de Seguimiento.

Segunda.

Definiciones

Los términos específicos en materia de protección de datos serán interpretados conforme a las definiciones establecidas en el artículo 4 del RGPD.

Tercera

Deber de secreto

Los Encargados del Tratamiento (en adelante los Encargados) se obligan a guardar la máxima reserva y secreto sobre la información clasificada como confidencial facilitada por el Responsable del Tratamiento (en adelante el Responsable) con motivo de la prestación de servicios objeto del convenio.

Se considerará información confidencial cualquier información a la que los Encargados accedan en virtud del convenio, en especial la información y datos personales a los que haya accedido o acceda durante su ejecución, salvo aquella información que deba ser pública según lo establecido en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno y la Ley 10/2019, de 10 de abril, de Transparencia y de Participación de la Comunidad de Madrid.

La obligación de confidencialidad tendrá carácter indefinido, manteniéndose en vigor con posterioridad a la finalización por cualquier causa de la relación entre las partes.

Los Encargados serán responsables de que su personal, colaboradores, voluntarios y en general, todas las personas de su responsabilidad que tengan acceso a la información confidencial y a los datos personales del Responsable, respeten la confidencialidad de la información, así como las obligaciones relativas al tratamiento de datos de carácter personal, aun después de finalizar su relación con los Encargados. Por tanto, los Encargados realizarán cuantas advertencias y suscribirán cuantos documentos sean necesarios con dichas personas, con el fin de asegurar el cumplimiento de estas obligaciones.

Los Encargados mantendrán a disposición del Responsable la documentación acreditativa del cumplimiento de la obligación establecida en el párrafo anterior.

Cuarta

Obligaciones de los encargados del tratamiento

Los Encargados del tratamiento asumen las siguientes obligaciones:

— Acceder a los datos de carácter personal responsabilidad del Responsable únicamente cuando sea imprescindible para el buen desarrollo de los servicios.

— Tratar los datos conforme a las instrucciones que reciban del Responsable.

— En caso de que el tratamiento incluya la recogida de datos personales en nombre y por cuenta del Responsable, los Encargados deberán seguir los procedimientos e instrucciones que reciban de él, especialmente en lo relativo al deber de información y, en su caso, a la obtención del consentimiento de los interesados.

— Si los Encargados consideran que alguna de las instrucciones recibidas infringe el RGPD, la LOPDGDD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, informarán inmediatamente al Responsable.

— No destinar, aplicar o utilizar los datos de carácter personal del Responsable con fin distinto del indicado en el convenio o de cualquier otra forma que suponga un incumplimiento de sus instrucciones.

— Asumir la condición de responsables del tratamiento en caso de que destinen los datos a otra finalidad distinta del cumplimiento del objeto del convenio, los comuniquen o los utilicen incumpliendo sus estipulaciones o las obligaciones de la normativa vigente, respondiendo de las infracciones en las que hubieran incurrido personalmente.

— Los Encargados del Tratamiento, así como cualquier empleado o voluntario de los mismos se comprometen a cumplir la política de seguridad de la información en el ámbito de la Administración Electrónica y de los sistemas de información de la Consejería de Sanidad de la Comunidad de Madrid, establecida en la Orden 491/2013, de 27 de junio, y todas las políticas, normas y procedimientos que emanen del citado código, así como las que se determinen en materia de seguridad para el tratamiento de datos de carácter personal.

— No permitir el acceso a los datos de carácter personal responsabilidad del Responsable a ningún empleado o persona que no tenga la necesidad de conocerlos para la prestación de los servicios.

— No revelar, transferir, ceder o de otra forma comunicar los datos de carácter personal responsabilidad del Responsable, ya sea verbalmente o por escrito, por medios electrónicos, papel o mediante acceso informático, ni siquiera para su conservación, a ningún tercero, salvo que exista autorización o instrucción previa del Responsable.

— En caso de estar obligado a ello por el artículo 30 del RGPD y 31 de la LOPDGDD, los Encargados mantendrán un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del Responsable, que contenga la información exigida por el artículo 30.2 del RGPD.

— Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

— Dar apoyo al Responsable en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda y en la realización de las consultas previas a la Autoridad de Control, cuando proceda.

— Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen al Responsable u otro auditor autorizado por este.

— Adoptar y aplicar las medidas de seguridad estipuladas en el artículo 32 del RGPD, y en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS), que garanticen la seguridad de los datos de carácter personal responsabilidad del Responsable y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural.

— En caso de estar obligado a ello por el artículo 37.1 del RGPD y por el artículo 34 de la LOPDGDD, designar un delegado de protección de datos y comunicar su identidad y datos de contacto al Responsable, así como cumplir con todo lo dispuesto en los artículos 37 a 39 del RGPD y 35 a 37 de la LOPDGDD.

— En caso de que los Encargados deban transferir o permitir acceso a datos personales responsabilidad del Responsable a un tercero en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informarán al Responsable de esa exigencia legal de manera previa, salvo que estuviese prohibido por razones de interés público.

— Respetar todas las obligaciones que pudieran corresponderles como encargados del tratamiento con arreglo al RGPD y a la LOPDGDD, o de cualquier otra disposición o regulación complementaria que le fuera igualmente aplicable.

Quinta

obligaciones del responsable del tratamiento

El Responsable manifiesta y hace constar a los efectos legales oportunos que:

a) En caso de que el tratamiento incluya la recogida de datos personales en su nombre y por su cuenta, establecerá los procedimientos correspondientes a la recogida de los datos, especialmente en lo relativo al deber de información y, en su caso, a la obtención del consentimiento de los interesados, garantizando que estas instrucciones cumplen con todas las prescripciones legales y reglamentarias que exige la normativa vigente en materia de protección de datos.

b) En caso de que el tratamiento no incluya la recogida de datos personales en nombre y por cuenta del Responsable, los datos de carácter personal a los que accederán los Encargados en virtud de este convenio, han sido obtenidos y tratados cumpliendo con todas las prescripciones legales y reglamentarias que exige la normativa vigente en materia de protección de datos.

c) Cumple con todas sus obligaciones en materia de protección de datos como responsable del tratamiento y es consciente de que los términos de este convenio en nada alteran ni sustituyen las obligaciones y responsabilidades que sean atribuibles al Responsable del Tratamiento como tal.

d) Supervisar el tratamiento y el cumplimiento de la normativa de protección de datos por parte de los Encargados del Tratamiento.

Sexta

Medidas de seguridad y violación de la seguridad

Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, los Encargados del Tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

a) La seudonimización y el cifrado de datos personales.

b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento, así como la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.

c) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

d) Un catálogo de medidas de seguridad reconocido en normativas o estándares de seguridad de la información.

Al evaluar la adecuación del nivel de seguridad, los Encargados tendrán en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a esos datos.

Los Encargados del Tratamiento permitirán y contribuirán a la realización de auditorías e inspecciones, por parte del Responsable o de otro auditor autorizado por él.

Asimismo, en caso de modificación de la normativa vigente en materia de protección de datos o de otra normativa relacionada y que resultase aplicable al tratamiento objeto del Convenio de referencia, los Encargados garantizan la implantación y mantenimiento de cualesquiera otras medidas de seguridad que le fueran exigibles, sin que ello suponga una modificación de los términos de este convenio.

En caso de violación de la seguridad de los datos personales en los sistemas de información utilizados por los Encargados para la prestación de los servicios objeto del convenio, este deberá notificar al Responsable, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas hábiles, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia conforme a lo dispuesto en el artículo 33.3 del RGPD.

En tal caso, corresponderá al Responsable comunicar las violaciones de seguridad de los datos a la Autoridad de Protección de Datos y/o a los interesados conforme a lo establecido en la normativa vigente. Y en cualquier otro caso cuando así sea de aplicación conforme a lo establecido en la normativa vigente.

Séptima

Destino de los datos al finalizar el convenio

Una vez cumplido o resuelto convenio, los Encargados deberán solicitar al Responsable instrucciones precisas sobre el destino de los datos de carácter personal de su responsabilidad, pudiendo elegir este último entre su devolución, remisión a otro prestador de servicios o destrucción íntegra un tercero o destrucción íntegra, siempre que no exista previsión legal que exija la conservación de los datos, en cuyo caso no podrá procederse a su destrucción.

Los Encargados podrán conservar, debidamente bloqueados, los datos de carácter personal responsabilidad del Responsable, en tanto pudieran derivarse responsabilidades de su relación con él.

Octava

Ejercicio de derechos ante los encargados de tratamiento.

Los Encargados deberán dar traslado al Responsable de cualquier solicitud de ejercicio del derecho de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de los datos y a no ser objeto de decisiones individualizadas automatizadas, efectuada por un interesado cuyos datos hayan sido tratados por los Encargados con motivo del cumplimiento del convenio, a fin de que se resuelva en los plazos establecidos por la normativa vigente.

El traslado de la solicitud al Responsable deberá hacerse con la mayor celeridad posible y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolverla.

Asimismo, los Encargados deberán tramitar cualquier instrucción relativa a derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de los datos y a no ser objeto de decisiones individualizadas automatizadas, que reciban a través del Responsable, a la mayor celeridad posible, y siempre dentro del plazo máximo de dos días hábiles a contar desde la recepción de la solicitud, confirmando por escrito tanto la recepción de la solicitud, como la ejecución de la tarea encomendada.

Novena

Subencargo del tratamiento

Con carácter general los Encargados no podrá subencargar las prestaciones que formen parte del objeto de este convenio y que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para su normal funcionamiento.

Sin perjuicio de lo anterior, en caso de que los Encargados necesitaran subencargar todo o parte de los servicios encargados por el Responsable en los que intervenga el tratamiento de datos personales, deberán comunicarlo previamente y por escrito al Responsable, con una antelación de 1 mes, indicando los tratamientos que se pretende subencargar e identificando de forma clara e inequívoca la empresa subencargada y sus datos de contacto. El subencargo podrá llevarse a cabo si el Responsable no manifiesta su oposición en el plazo establecido.

En este último caso, el subencargado, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para los Encargados del Tratamiento y las instrucciones que dicte el Responsable del Tratamiento.

Corresponde a los Encargados del Tratamiento exigir al subencargado el cumplimiento de las mismas obligaciones asumidas por ellos a través del presente documento y seguirá siendo plenamente responsables ante el Responsable del Tratamiento en lo referente al cumplimiento de las obligaciones.

Los Encargados del Tratamiento están obligados a informar al Responsable de cualquier cambio en la incorporación o sustitución de otros subencargados con una antelación de 1 mes, dando así al Responsable la oportunidad de oponerse a dichos cambios.

Décima

Responsabilidad

Los Encargados serán considerados responsables del tratamiento en el caso de que destinen los datos a otras finalidades, los comuniquen o los utilicen incumpliendo las estipulaciones de este convenio, respondiendo de las infracciones en las que hubieran incurrido personalmente.

Las partes responderán de las infracciones en las que hubiesen incurrido personalmente, manteniendo indemne a la parte contraria frente a cualquier perjuicio que se derivase de ellas.

(03/4.997/21)