I. COMUNIDAD DE MADRID

D) Anuncios

CONSEJERÍA DE SANIDAD

REUNIDOS

De una parte, don Enrique Ruiz Escudero, Consejero de Sanidad de la Comunidad de Madrid, nombrado por Decreto 49/2021, de 19 de junio, de la Presidenta de la Comunidad de Madrid, en uso de las atribuciones que le han sido conferidas por el artículo 41.a) de la Ley 1/1983, de 13 de diciembre, de Gobierno y Administración de la Comunidad de Madrid, y en virtud del artículo 4.3.a) de la Ley 8/1999, de 9 de abril, de adecuación de la normativa de la Comunidad de Madrid a la Ley Estatal 4/1999, de 13 de enero, de modificación de la Ley 30/1992, de 26 de noviembre, en su redacción dada por la Ley 1/2001, de 29 de marzo, sobre los órganos competentes para la suscripción de convenios.

De otra parte, doña Rosa María Martín Aranda, Vicerrectora de Investigación, Transferencia del Conocimiento y Divulgación Científica de la Universidad Nacional de Educación a Distancia (en adelante UNED), con CIF Q-2818016D y domicilio en calle Bravo Murillo, 38, 28015 Madrid, nombrada por Resolución rectoral de 21 de diciembre de 2018 y en virtud de la delegación de competencias aprobada por Resolución de 16 de octubre de 2020, de la Universidad Nacional de Educación a Distancia, por la que se delegan competencias.

Actuando en el ejercicio de las facultades y atribuciones que tienen conferidas para poder convenir y obligarse en nombre de las instituciones y ámbitos que representan en la formalización del presente convenio, a cuyos efectos,

EXPONEN

Primero

Que la Comunidad de Madrid, a través de la Consejería de Sanidad, tiene entre sus competencias, las relativas a la vigilancia, análisis y control epidemiológico de la salud y sus determinantes, así como de la incidencia de las enfermedades transmisibles y no transmisibles y su distribución en los distintos grupos de población, de acuerdo con lo previsto por el Decreto 307/2019, de 26 de noviembre, del Consejo de Gobierno, por el que se establece la estructura orgánica de la Consejería de Sanidad.

Segundo

Que la Ley 33/2011, de 4 de octubre, General de Salud Pública, impulsa la investigación en el desarrollo de las políticas de salud pública y así en su artículo 50 hace referencia a “fomentar la relación entre los grupos de investigación de excelencia y el personal profesional de salud pública” y a “estimular la actividad investigadora facilitando el acceso a los datos e informaciones disponibles en las Administraciones sanitarias”.

Tercero

Que mediante la Orden 571/2015, de 9 de junio, del Consejero de Sanidad, se crea el Sistema de Información de Enfermedades Raras de la Comunidad de Madrid (SIERMA), y en su artículo 5 se indica que se realizará la captación automática a partir de la identificación de personas con enfermedades raras en las fuentes de información disponibles en las que se puedan identificar pacientes con enfermedades raras, en la Administración autonómica.

Cuarto

Que la Universidad Nacional de Educación a Distancia (UNED) es una Entidad de Derecho Público de carácter multisectorial y pluridisciplinar que desarrolla actividades de docencia, investigación y desarrollo científico y tecnológico, interesada en colaborar con los sectores socioeconómicos para asegurar uno de los fines de la docencia e investigación, que es la innovación y la modernización del sistema productivo.

Que la Ley Orgánica 6/2001, de 21 de diciembre, de Universidades, modificada por la Ley Orgánica 4/2007, de 12 de abril, impulsa el establecimiento de los cauces necesarios para fortalecer las relaciones y vinculaciones recíprocas entre Universidad y Sociedad. Así en el artículo 1 de la citada Ley Orgánica indica como funciones de la Universidad “la creación, desarrollo, transmisión y crítica de la ciencia, de la técnica y de la cultura, así como la difusión, la valorización y la transferencia del conocimiento al servicio de la cultura, de la calidad de vida, y del desarrollo económico”.

Quinto

Que el Real Decreto 1239/2011, de 8 de septiembre, por el que se aprueban los Estatutos de la Universidad Nacional de Educación a Distancia, dispone que para el cumplimiento de sus funciones, la Universidad impulsará y apoyará la investigación como procedimiento de creación y renovación del conocimiento, así como de innovación y mejora de la calidad de vida de los ciudadanos.

Sexto

Que la UNED, a través del equipo de trabajo dirigido por los profesores Lourdes Araujo Serna y Juan Martínez Romo, tiene concedido un proyecto de investigación en el marco de la convocatoria 2019 de proyectos de I+D+i en el marco de los programas estatales de I+D+i orientada a los retos de la sociedad (referencia: PID2019-106942RB-C32), en el constan también como investigadores profesionales de la Gerencia Asistencial de Atención Primaria y de la Dirección General de Salud Pública.

Que ambas partes coinciden en reconocer una confluencia de intereses en la colaboración en el Proyecto “INDICA-MED: descubrimiento de información y categorización basada en procesamiento del lenguaje para el dominio médico”.

Por ello, las partes han decidido suscribir el presente Convenio de colaboración, que se regirá por las siguientes

CLÁUSULAS

Primera

Objeto

El objeto del presente Convenio es la colaboración en el proyecto de investigación titulado “INDICA-MED: descubrimiento de información y categorización basada en procesamiento del lenguaje para el dominio médico”, descrito en el Anexo I.

Segunda

Compromisos de las partes

1. La Comunidad de Madrid a través de la Consejería de Sanidad se compromete a:

— Facilitar el acceso a la información médica anonimizada relacionada con enfermedades raras y malformaciones congénitas, en concreto de aquellas personas con un posible diagnóstico de malformación congénita, nacidas a partir del 1 de enero de 2010 y registradas en la base de datos poblacional de Tarjeta Sanitaria de la Comunidad de Madrid. Se considerarán los diagnósticos registrados como episodios de morbilidad en AP-Madrid bajo un código CIAP-2 correspondiente a malformación congénita (A90, B79, D81, F81, H80, K73, L82, N85, R89, S83, T80, U85, W76, X83, Y84).

— Colaborar en la identificación de la terminología que pueda ser de más ayuda en la identificación de casos de interés.

— Colaborar en la evaluación de resultados de la información extraída de los informes.

— Colaborar en la difusión de resultados.

2. La Universidad Nacional de Educación a Distancia se compromete a:

— Garantizar la seguridad y confidencialidad de la información compartida por la Consejería de Sanidad de la Comunidad de Madrid. Aun cuando los documentos a procesar estarán completamente anonimizados, el uso del análisis de texto será también restrictivo, en el sentido de ceñirse estrictamente a los objetivos del presente proyecto y serán destruidos una vez finalizado el mismo.

— Desarrollar técnicas y herramientas para procesar el texto de los registros médicos de morbilidad, extraer información e indicadores útiles para la caracterización de enfermedades raras, y sus relaciones con malformaciones congénitas.

— Colaborar en la evaluación de resultados.

— Colaborar en la difusión de resultados.

Tercera

Coordinación

Los responsables del proyecto serán los profesores doña Lourdes Araujo y don Juan Martínez Romo. Los interlocutores válidos por parte de la Dirección General de Salud Pública serán los investigadores del proyecto, que participan en la gestión del SIERMA.

Cuarta

Comisión de seguimiento

Al objeto de efectuar el seguimiento de las actuaciones previstas en este convenio de colaboración, se constituirá una comisión mixta integrada por dos representantes designados por la Consejería de Sanidad y dos representantes designados por la Universidad Nacional de Educación a Distancia, cuyas funciones serán las siguientes:

— La supervisión y control de la ejecución del Programa anual de actividades.

— La interpretación del presente Convenio.

— Resolver cuantas circunstancias e incidencias se produzcan como consecuencia de la interpretación y ejecución del Convenio.

— Velar por el cumplimiento y ejecución del presente Convenio.

La Comisión de Seguimiento se reunirá tantas veces como lo requiera la buena marcha del convenio al menos una vez al inicio de los trabajos y otra a su finalización.

El funcionamiento de la Comisión de Seguimiento se regirá por lo establecido en la sección 3.^a del capítulo II del título preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

Quinta

Financiación

La presente colaboración no conllevara contraprestaciones económicas entre las partes ni se derivara de ella ningún compromiso económico para ninguna de ellas.

Sexta

Confidencialidad y protección de datos

Las partes firmantes se comprometen a cumplir las previsiones contenidas en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, así como en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento de Protección de Datos), así como la normativa posterior que lo desarrolle o modifique.

Los datos de carácter personal que se recaben u obtengan las partes en el desarrollo y aplicación del convenio, serán tratados y utilizados de conformidad con la normativa vigente.

En particular, las partes se comprometen a respetar el deber de secreto y confidencialidad, y las limitaciones en su caso marcadas por la normativa de aplicación, sobre cualquier información a la que se tenga acceso en la realización de actividades objeto de este convenio, salvo aquella información que deba ser pública según lo establecido en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno y la Ley 10/2019, de 10 de abril, de Transparencia y de participación de la Comunidad de Madrid.

Asimismo, el tratamiento de los datos del presente convenio queda sometido a la mencionada normativa, así como a la vigente en cada momento, de conformidad con el Anexo II y III de este Convenio. El Anexo III será suscrito por los trabajadores de la Universidad Nacional de Educación a Distancia que colaboren en el presente proyecto de investigación, y remitido, una vez cumplimentado, a la Dirección General de Salud Pública.

Séptima

Resultados del proyecto, y difusión de la investigación y propiedad intelectual

Cada parte seguirá siendo propietaria de los conocimientos previos aportados al Proyecto. No se entienden cedidos a la otra parte, en virtud del presente convenio ninguno de los Conocimientos Previos al Proyecto.

Se considerará resultado del Proyecto la creación de un algoritmo informático que lea los textos médicos e indique en cuál de ellos se han detectado indicios de una enfermedad rara y cuáles han sido esos indicios. La ejecución de este algoritmo proporcionará un listado de posibles casos detectados para su evaluación.

Cada una de las partes y quienes tengan conocimiento por cualquiera de ellas, acuerdan preservar como confidencial y se comprometen a no difundir, bajo ningún aspecto, las informaciones científicas, técnicas o de cualquier otra índole, pertenecientes a la otra parte, a las que haya podido tener acceso en el desarrollo de los trabajos correspondientes al proyecto objeto de este convenio, salvo autorización previa por escrito. Esta confidencialidad se mantendrá durante la vigencia del convenio y, en su caso, de la prórroga que se suscriba.

El acceso a dicha información no supondrá la adquisición por la parte que tome conocimiento de ella, de ningún derecho sobre la misma.

Tampoco podrá difundir ninguna de las partes cualquier información relativa a los resultados de los trabajos correspondientes al proyecto objeto de este convenio, que pueda perjudicar cualesquiera derechos de la otra parte.

Cuando una de las partes desee utilizar los resultados parciales o finales, en parte o en su totalidad, para su publicación con otro objetivo distinto al establecido en el “Anexo I”, deberá solicitar conformidad de la otra parte por escrito. La otra parte deberá responder, por escrito, en un plazo máximo de 10 días hábiles, comunicando su autorización, sus reservas o su disconformidad. Transcurrido dicho plazo sin obtener respuesta se entenderá que el silencio es la tácita autorización para su difusión.

Los derechos correspondientes a la propiedad intelectual creada como resultado del proyecto objeto del presente convenio corresponderán a sus autores, en los términos previstos en la legislación de propiedad intelectual.

Los derechos correspondientes a la explotación de la propiedad intelectual creada como resultado del proyecto objeto del presente convenio corresponderán a la Comunidad de Madrid y a la UNED a partes iguales.

Octava

Resolución del Convenio

Serán causas de resolución de este Convenio las siguientes:

a) El transcurso del plazo de vigencia sin haberse acordado la prórroga.

b) El acuerdo unánime de las partes.

c) Incumplimiento de las obligaciones.

Cuando una de las partes considere que la otra parte está incumpliendo los compromisos adquiridos se lo notificará a la otra parte mediante método de comunicación fehaciente e indicará las causas que originan dicho incumplimiento. La otra parte podrá subsanar dicha situación en un plazo de 30 días, a contar desde la fecha de recepción de la notificación.

El incumplimiento de las obligaciones y compromisos asumidos por cualquiera de las partes firmantes del presente convenio no dará derecho a indemnización.

d) La imposibilidad sobrevenida.

e) Cualquier otra causa recogida en la legislación vigente.

Novena

Vigencia, prorroga y modificación del Convenio

El presente convenio tendrá una vigencia de cuatro años desde el día de su firma, pudiendo prorrogarse en cualquier momento antes de su finalización mediante acuerdo unánime y escrito de las partes firmantes del convenio por períodos que en su totalidad no podrán superar el máximo de cuatro años adicionales que establece la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

La duración inicialmente prevista para el Estudio es de 36 meses, a contar desde la firma del presente convenio, por lo que, en caso de finalizar el estudio antes del plazo total de vigencia del convenio, podrá darse por finalizado por mutuo acuerdo entre las partes.

El Proyecto de Investigación podrá comenzar una vez vigente el convenio, dado que ya cuenta con el Informe favorable del Comité de Ética de la Investigación con medicamentos Regional de la Comunidad de Madrid, de fecha 17 de marzo de 2021, y ha sido notificado a la Dirección General de Salud Pública.

A efectos de comienzo de la vigencia del convenio, se entenderá como fecha de la firma y, por tanto, de inicio de su vigencia, la fecha en que haya sido suscrito por el último de sus firmantes.

El contenido del presente convenio podrá ser objeto de modificación por acuerdo unánime de los firmantes.

Décima

Régimen jurídico

El presente convenio tiene naturaleza administrativa, estando sometido al régimen jurídico de convenios previsto en el capítulo VI del título preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, así como a las normas de derecho administrativo, los principios de buena administración y el ordenamiento jurídico en general.

Asimismo, el convenio queda excluido de la aplicación de la Ley 9/2017, de Contratos del Sector Público, de 8 de noviembre, por la que se trasponen al ordenamiento jurídico español las directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014, según lo establecido en su artículo 6.1, pudiendo aplicarse sus principios para resolver las dudas y lagunas que pudieran presentarse, según establece el artículo 4 de esa misma ley.

Undécima

Resolución de controversias

Corresponderá a los órganos de la jurisdicción Contencioso-administrativa conocer de las controversias que no puedan resolverse en el seno de la Comisión de Seguimiento prevista en la cláusula cuarta de este convenio

En prueba de conformidad con cuanto antecede, firman el presente convenio.

Madrid a 14 de diciembre de 2021.—En representación de la Comunidad de Madrid: el Consejero de Sanidad, Enrique Ruiz Escudero.—En representación de la Universidad Nacional de Educación a Distancia: la Vicerrectora de Investigación, Transferencia del Conocimiento y Divulgación Científica, Rosa María Martín Aranda.

ANEXO I

Título del estudio: INDICA-MED: INformation DIscovery and Categorization based on language processing for the MEDical domain (descubrimiento de información y categorización basada en procesamiento del lenguaje para el dominio médico).

Promotor: Dirección General de Salud Pública y Universidad Nacional a Distancia (UNED).

Código del proyecto: PID2019-106942RB-C32.

INTRODUCCIÓN Y JUSTIFICACIÓN DEL ESTUDIO

Procesamiento del lenguaje natural para la caracterización de enfermedades raras

Las enfermedades raras (ER) se caracterizan por su baja prevalencia y su alto nivel de complejidad. Pueden producir una disminución de las capacidades psicofísicas de los afectados, reduciendo su calidad de vida y son potencialmente mortales en muchos casos.

En la Comunidad de Madrid se creó el Sistema de Información de ER de la Comunidad de Madrid (SIERMA), por Orden 571/2015, de 9 de junio, del Consejero de Sanidad. Su gestión corresponde a la Subdirección General de Epidemiología de la Dirección General de Salud Pública. SIERMA tiene como finalidad proveer información de alta calidad sobre enfermedades poco frecuentes para la gestión, la organización de la actividad asistencial y la planificación, dando soporte a los indicadores de gestión y calidad que precise la Consejería de Sanidad de la Comunidad de Madrid. Así mismo permite estudiar y analizar desde el punto de vista epidemiológico estas enfermedades en la región. Por ello, desde SIERMA es fundamental trabajar para mejorar la exhaustividad de la detección de los casos diagnosticados de ER en la población de la Comunidad de Madrid.

La incorporación de casos a SIERMA se nutre de distintas fuentes de información [ZONI14], entre las que figura la historia electrónica de Atención Primaria (HCEAP) de la Comunidad de Madrid (AP-Madrid). En la HCEAP se utiliza la Clasificación Internacional de Atención Primaria (CIAP-2). En el caso de las ER, dado que bajo este concepto se recogen un número muy elevado de patologías (pero cada una de ellas con un número reducido de pacientes), y sin que se le asigne un código CIAP específico, es imprescindible explorar el texto registrado en AP-Madrid para identificar la existencia del diagnóstico.

El desarrollo de motores de búsqueda de texto libre, técnicas de Procesamiento de Lenguaje Natural (PLN) y algoritmos de “machine-learning” para la detección y clasificación de pacientes con ER ha demostrado su utilidad, aprovechando la emergencia de la historia clínica electrónica [GARCELON20] y el desarrollo de nuevas tecnologías [BRASIL19]. En concreto las técnicas de PLN pueden ser de gran ayuda para mejorar el proceso de detección. En este proyecto pretendemos avanzar en el desarrollo de técnicas de PLN con la intención de ayudar a la captación de casos de ER en la Comunidad de Madrid para mejorar la estimación de la prevalencia, proporcionando herramientas para identificar los casos diagnosticados de ER en el texto libre registrado en la historia clínica electrónica de Atención Primaria.

Muchas ER implican diferentes discapacidades. Orphanet, la base de datos y portal internacional sobre ER y medicamentos huérfanos, está recopilando información [CHALENDAR14] para mejorar el conocimiento y la visibilidad de las discapacidades asociadas a las enfermedades, y para proporcionar herramientas para ayudar a las personas afectadas. Con frecuencia estas discapacidades están relacionadas con malformaciones congénitas. Ha habido algunos trabajos dedicados a la identificación de las relaciones entre las ER y las discapacidades [FABREGAT18A, FABREGAT18B].

Métodos similares al PLN, como el aprendizaje profundo, también pueden aplicarse para detectar específicamente malformaciones congénitas. Estas asociaciones serán muy útiles no sólo para caracterizar mejor las ER, sino también para identificar correlaciones significativas entre diferentes malformaciones congénitas que permitan identificar posibles casos polimalformativos en un mismo paciente. Las malformaciones congénitas frecuentemente están vinculadas a síndromes en los que se manifiestan varias, con lo que la identificación del posible síndrome asociado puede mejorar la clasificación del caso en SIERMA. Frecuentemente estos síndromes tienen nombres intrincados que fácilmente pueden contener errores de grafía en su transcripción en la HCEAP, circunstancia en la que el uso de PLN e Inteligencia Artificial también ha demostrado utilizar, al facilitar el reconocimiento de la entidad médica [BHASURAN16].

Esta colaboración entre la Dirección General de Salud Pública y la Universidad Nacional de Educación a Distancia (UNED) forma parte del subproyecto coordinado por D. Lourdes Araujo Serna (Ref. subproyecto 1778107599-107599-4-19) dentro del proyecto “Descubrimiento de Información y Categorización basada en Procesamiento del Lenguaje para el dominio Médico (INDICA-MED, PID2019-106942RB-C32), del Ministerio de Ciencia e Innovación. En el marco del mismo proyecto se ha firmado un convenio de colaboración entre la UNED y el Hospital Clínico San Carlos de Madrid que ha recibido el informe favorable del comité de ética de dicho hospital (acta 9.1/20)y en la que se utilizarán técnicas y procedimientos similares, aunque centrados en la salud mental.

HIPÓTESIS

El análisis automático del texto de los informes de salud puede ser utilizado para mejorar la identificación de casos de ER, ayudando a la mejora de los registros de casos y también a los diagnósticos, mediante una mejor caracterización de las ER.

OBJETIVOS

1. Capturar los posibles casos de ER que no se han reflejado explícitamente en el diagnóstico aplicando técnicas de Procesamiento de Lenguaje Natural.

2. Validar los posibles casos de ER detectados mediante el Procesamiento de Lenguaje Natural que no figuren en SIERMA

3. Identificar relaciones significativas entre ER y varias malformaciones congénitas, que ayudarán a caracterizar la ER, utilizando técnicas de Aprendizaje Automático.

4. Identificar relaciones significativas entre ER y otras enfermedades que puedan acompañarlas con frecuencia, utilizando técnicas de Procesamiento de Lenguaje Natural y de Aprendizaje Automático.

METODOLOGÍA

Diseño

Estudio observacional descriptivo transversal.

Población de estudio

Personas con un posible diagnóstico de malformación congénita, nacidas a partir del 1 de enero de 2010 y registradas en la base de datos poblacional de Tarjeta Sanitaria de la Comunidad de Madrid. Se considerarán los diagnósticos registrados como episodios de morbilidad en AP-Madrid bajo un código CIAP-2 correspondiente a malformación congénita:

Fuentes de datos

— Historia clínica electrónica de Atención Primaria (AP-Madrid).

— Sistema de Información de ER de la Comunidad de Madrid (SIERMA).

— Visor de historia clínica del sistema de salud de la Comunidad de Madrid (Horus).

Procesamiento de la información

La población a estudio se obtiene a partir del repositorio de la base de datos de Tarjeta Sanitaria.

Los investigadores pertenecientes a la DGSP realizarán la selección de la población que cumple criterios de inclusión en el estudio a partir de la base de datos de morbilidad registrada.

El investigador perteneciente a la Gerencia de Atención Primaria de la Comunidad de Madrid en colaboración con los investigadores de la DGSP serán los responsables de seleccionar la población que cumple los criterios de inclusión en el estudio. Cada caso queda identificado mediante su Código de identificación en Tarjeta Sanitaria (CIPA). Una vez seleccionada la población, el investigador perteneciente a la Gerencia de Atención Primaria será el responsable de solicitar a la Dirección Técnica de Sistemas de Información de Atención Primaria de la Comunidad de Madrid la descarga de datos a partir de la historia clínica electrónica de Atención Primaria (AP-Madrid) y de validar el resultado de la misma. Para cada persona seleccionada se descargarán los episodios de morbilidad que tenga registrados en AP-Madrid: concretamente para cada uno su código CIAP-2, su correspondiente texto descriptor y apuntes en texto libre, las fechas de inicio y registro de dicho episodio.

Para cada caso a partir del CIPA se recuperará de la base de datos de Tarjeta Sanitaria de la Comunidad de Madrid los campos correspondientes a nombre, apellido 1 y 2, fecha de nacimiento, sexo y DNI/NIE, con la finalidad de identificar posibles duplicados. Si se identifica un duplicado (misma persona con dos historias en AP-Madrid) se unificará la información descargada en un registro único.

Una vez establecida la base de datos con la información descargada de AP-Madrid, los investigadores de la DGSP procederán a asignar a cada caso un ID único. La correspondencia entre ese ID y el CIPA de la persona, que será el que sirva para revertir la seudosanonimización cuando se recuperen los resultados del tratamiento de los textos, se guardará en un fichero separado de la base de datos, y será guardado en un servidor seguro custodiado por los investigadores de la DGSP.

A continuación, los investigadores de la DGSP procederán a la seudoanonimización de la base de datos previa a su traslado a los investigadores de la UNED. En la base de datos seudoanonimizada solo figurarán el ID único de caso y los datos correspondientes a los episodios de morbilidad (código CIAP-2, texto descriptor, apuntes en texto libre, fecha de inicio del episodio, fecha de registro del episodio).

Esta base final será depurada por los investigadores de la DGSP y de la Gerencia de Atención Primaria para garantizar que no incluyan datos personales en el texto libre que puedan llegar a permitir la identificación de la persona, como nombres, números de teléfono, centros de atención, etc. En caso de detectarse esta información, será eliminada de la base depurada.

La base final depurada y seudoanonimizada será remitida por los investigadores de la DGSP a los investigadores de UNED para su tratamiento. Aun cuando los identificadores estarán completamente anonimizados, el uso del análisis de texto será también restrictivo, en el sentido de ceñirse estrictamente a los objetivos del presente proyecto y las bases de datos serán destruidas una vez finalizado el mismo.

Los archivos originales están alojados en entorno seguro en el Sistema de Información de Salud Pública (SISPAL) que cumple todos los requisitos de protección de datos, con accesos autorizados específicamente con identificación y contraseña.

El tratamiento de datos realizado por los investigadores de la UNED será el siguiente:

Extracción de información de los textos de los informes médicos

Se utilizarán técnicas de procesamiento de Lenguaje Natural (PLN) e Inteligencia Artificial para desarrollar modelos capaces de aprender a identificar rasgos que contribuyan a la identificación de enfermedades:

— Identificación de menciones a entidades médicas: en particular se aplicarán técnicas de detección de entidades médicas, tanto supervisadas, como no supervisadas. La tarea del reconocimiento de entidades médicas (enfermedades, medicamentos, síntomas, etc.) consiste en encontrar los límites de las menciones a conceptos médicos específicos. La existencia de sinónimos y ortografías alternativas de una entidad provocan una explosión de vocabulario y reducen la eficiencia de los diccionarios médicos. Las entidades a menudo consisten en largas secuencias de palabras, lo que hace más difícil detectar los límites con exactitud. Es muy común referirse a las entidades también mediante abreviaturas, a veces no estándar y no definidas dentro del texto.

Entre las técnicas no supervisadas se explorarán técnicas basadas en modelos estadísticos y ontologías. Estas técnicas nos permitirán anotar automáticamente en los textos las menciones a conceptos médicos (enfermedades, malformaciones, síntomas, etc.) relevantes para el problema considerado. Entre las técnicas supervisadas se explorarán técnicas basadas en redes neuronales de aprendizaje profundo. Estas redes neuronales se entrenarán para aprender un modelo capaz de identificar entidades en nuevos textos, ajustando los pesos de las conexiones entre neuronas. Para el entrenamiento se utilizarán informes con las entidades anotadas. Estas anotaciones se obtendrán en una primera aproximación con técnicas no supervisadas y después serán revisadas manualmente por los miembros del equipo.

— Detección de negación y especulación: para interpretar adecuadamente el significado del texto, aparte de las entidades y las relaciones, es muy importante evaluar si los hechos descritos se declaran, se hipotetizan o se niegan. En el ámbito médico, esto es especialmente relevante, ya que los informes médicos pueden descartar algunos diagnósticos, declarar explícitamente la ausencia de ciertos síntomas, o informar de diagnósticos posibles, aunque no confirmados. Así pues, para una adecuada extracción de la información, es de suma importancia establecer el grado de certeza (verdadero, posible, falso) de cada entidad mencionada en el texto. La detección de negación se llevará a cabo con una combinación de métodos basados en reglas, que identifican las partículas de negación o “disparadores” (ningún, ausencia de, sin, etc.) y el ámbito al que afectan. Así mismo se entrenarán modelos supervisados, como los basados en redes neuronales, que a partir de la secuencia de palabras recibida, sean capaces de detectar las negaciones y su ámbito. Las anotaciones de los modelos no supervisados servirán de base para entrenar los supervisados.

Modelos de predicción

La información identificada nos permitirá desarrollar modelos capaces de aprender a partir del análisis de unos informes a hacer predicciones para otros informes nuevos. En particular se utilizarán técnicas de aprendizaje automático, tanto clásicas, como basadas en redes neuronales.

Tradicionalmente el diagnóstico se basa en el conocimiento y la experiencia de un especialista, quien compara el cuadro clínico del paciente con el de pacientes anteriores buscando patrones específicos de una enfermedad. En la actualidad las técnicas de Inteligencia Artificial pueden ser utilizadas para apoyar al especialista en su toma de decisiones incrementando la fiabilidad de sus diagnósticos. En la presente investigación se hará un estudio de las diferentes familias de algoritmos de clasificación (SVM, árboles de decisión, redes neuronales, etc.) para seleccionar los más adecuados para esta tarea. Cada clasificador será configurado con parámetros estándar y puestos a prueba gracias a un conjunto de informes médicos previamente anotados manualmente. Los clasificadores serán evaluados mediante un muestreo estratificado y validaciones cruzadas de 10 pliegues.

Se explorarán también reglas de asociación, una de las principales formas de representarlas pautas estructurales que subyacen a los datos en bruto y que representan las dependencias entre los conjuntos de observaciones contenidas en los datos. Las asociaciones establecidas pueden ser muy útiles en la identificación de relaciones entre ER y malformaciones o con otras enfermedades.

Medidas de evaluación

La capacidad predictiva del sistema será evaluada usando las medidas de precisión (porcentaje de predicciones que coinciden con los datos de referencia), cobertura (porcentaje de los datos de referencia que han sido predichos correctamente), Medida-F (media armónica entre las dos medidas anteriores) y exactitud (accuracy). Los informes médicos se dividirán en conjuntos de entrenamiento y de prueba para realizar la evaluación. Los parámetros de los modelos se ajustarán sobre los datos de entrenamiento.

Tras el tratamiento de los datos por parte de los investigadores de la UNED, se devolverá a los investigadores de la DGSP la base datos con las entidades médicas que se haya podido identificar mediante las técnicas de PLN mencionadas previamente, asignadas a los identificadores anonimizados.

Los investigadores de la DGSP podrán deshacer la seudoanonimización para identificar a las personas y recuperar los datos nominales (nombre, apellidos, fecha de nacimiento, sexo) y códigos de identificación (CIPA, DNI) que permitan el correspondiente cruce con SIERMA, base en la que los casos de ER figuran con datos nominales y con códigos de identificación (CIPA, DNI/NIE) y con los diagnósticos de ER detectada. El cruce con SIERMA permitirá verificar si el caso figura en el Registro de ER, si no figura, o si figura la persona pero no hay coincidencia entre las entidades médicas identificadas en ambas fuentes. Cuando se den estas dos últimas circunstancias, los investigadores de la DGSP valoraran la necesidad de revisar los casos para su validación, mediante el acceso a las historias clínicas electrónicas de los pacientes a través de Horus, estableciendo la selección y priorización que consideren oportunas en función del volumen de casos y la casuística detectadas.

Dado que el estudio pretende explorar las posibilidades de una metodología como el PLN para mejorar la exhaustividad de SIERMA, no forma parte del mismo realizar actuaciones en el ámbito asistencial. En ningún caso se contempla la posibilidad de contactar directamente con los pacientes ni con los profesionales asistenciales para recabar información sobre los casos. Tampoco se contempla la posibilidad de incorporar casos a SIERMA de forma automática a partir de los resultados obtenidos del tratamiento de los textos de la historia clínica de Atención Primaria.

REFERENCIAS

[ZONI15] Zoni, A. C.; Domínguez-Berjón, M. F.; Barceló, E., et al., 2015. Identifying data sources for a national population-based registry: the experience of the Spanish Rare Diseases Registry. Public Health 129 (3): 271-5.

[GARCELON20] Garcelon, N.; Burgun, A.; Salomon, R.; Neuraz, A., 2020. Electronic health records for the diagnosis of rare diseases. Kidney International 97 (4): 676-86.

[BRASIL19] Brasil, S.; Pascoal, C.; Franciso, R., et al., 2019. Artificial Intelligence (AI) in Rare Diseases: Is the Future Brighter? Genes (Basel) 10 (12): 978.

[CHALENDAR14] de Chalendar, M.; Daniel, M.; Olry, A.; Rath, A., 2014. Rare diseases and disabilities: improving the information available with three orphanet projects. Orphanet Journal of Rare Diseases 9 (1): 031.

[FABREGAT18A] Fabregat, H.; Martínez-Romo, J.; Araujo, I., 2018. Overview of the DIANN Task: Disability Annotation Task. IberEval@SEPLN 2018: 1-14 (2018).

[FABREGAT18B] Fabregat, H.; Araujo, L.; Martínez-Romo, J., 2018. Deep neural models for extracting entities and relationships in the new RDD corpus relating disabilities and rare diseases. Computer Methods and Programs in Biomedicine 164: 121-129 (2018).

BHASURAN16] Bhasuran, B.; Murugesan, G.; Abdulkadhar, S.; Natarajan, J., 2016. Stacked ensemble combined with fuzzy matching for biomedical named entity recognition of diseases. J Biomed Inform 2016, Dec, 64: 1-9.

ANEXO II

ACUERDO DE ENCARGO DE TRATAMIENTO

En el presente acuerdo las partes fijan formalmente y por escrito los términos y condiciones para regular el tratamiento de datos de carácter personal y la confidencialidad de la información suministrada y creada entre ellas.

Tendrá la consideración de información confidencial toda la información susceptible de ser revelada por escrito, de palabra o por cualquier otro medio o soporte, tangible o intangible, actualmente conocido o que posibilite el estado de la técnica en el futuro, intercambiada como consecuencia de este convenio, salvo aquella información que deba ser pública según lo establecido en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno y la Ley 10/2019, de 10 de abril, de Transparencia y de Participación de la Comunidad de Madrid.

Las partes se comprometen a mantener el compromiso de confidencialidad respecto a la información y material facilitado y recibido en virtud del convenio de referencia y del presente convenio de forma indefinida tras su finalización.

CONFIDENCIALIDAD

Las partes se obligan con respecto a la información y material que hayan podido recibir como consecuencia de este convenio a:

a) Utilizar la información de forma reservada.

b) No divulgar ni comunicar la información facilitada o recibida, salvo resolución motivada en los términos establecidos en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno y la Ley 10/2019, de 10 de abril, de Transparencia y de participación de la Comunidad de Madrid.

c) Impedir la copia o revelación de esa información a terceros, salvo que goce de aprobación escrita de las partes y únicamente en los términos de tal aprobación.

d) Se restringirá el acceso a la información a sus empleados y colaboradores, salvo en la medida en que razonablemente puedan necesitarla para el cumplimiento de sus tareas acordadas.

e) No utilizar la información o fragmentos de ésta para fines distintos de la ejecución de este convenio.

f) Cumplir con todos los términos fijados en el presente acuerdo y muy especialmente aquellos relativos a las cláusulas sobre propiedad intelectual e industrial, confidencialidad y obligación de secreto, manteniendo esta confidencialidad y evitando revelar la información a toda persona que no sea empleado o subcontratado.

Las partes serán responsables ante el incumplimiento de esta obligación, ya sea por sus empleados, voluntarios o por subcontratados, etc.

CLÁUSULAS

Primera

Responsables del tratamiento

La Comunidad de Madrid, a través de la Consejería de Sanidad tendrá la consideración de Responsable del Tratamiento y la Universidad Nacional de Educación a Distancia, tendrán la consideración de Encargado del Tratamiento, conforme a lo establecido en los artículos 28 y 29 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (en adelante, RGPD), así como en el artículo 33 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y en el resto de normativa vigente en la materia.

En consecuencia, el acceso a datos de carácter personal en el marco de este convenio se realiza con el único fin de permitir una adecuada prestación de los servicios y no se considerará como una cesión o comunicación de datos.

Segunda

Definiciones

Los términos específicos en materia de protección de datos, serán interpretados conforme a lo establecido en el artículo 4 del RGPD.

Tercera

Deber de secreto

El Encargado del Tratamiento (en adelante el Encargado) se obliga a guardar la máxima reserva y secreto sobre la información clasificada como confidencial facilitada por el Responsable del Tratamiento (en adelante el Responsable) con motivo de la prestación de servicios objeto del convenio.

Se considerará información confidencial cualquier información a la que el Encargado acceda en virtud del convenio, en especial la información y datos personales a los que haya accedido o acceda durante su ejecución, salvo aquella información que deba ser pública según lo establecido en la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno y la Ley 10/2019, de 10 de abril, de Transparencia y de Participación de la Comunidad de Madrid.

La obligación de confidencialidad tendrá carácter indefinido, manteniéndose en vigor con posterioridad a la finalización por cualquier causa de la relación entre las partes.

El Encargado será responsable de que su personal, colaboradores, voluntarios y en general, todas las personas de su responsabilidad que tengan acceso a la información confidencial y a los datos personales del Responsable, respeten la confidencialidad de la información, así como las obligaciones relativas al tratamiento de datos de carácter personal, aun después de finalizar su relación con el Encargado. Por tanto, el Encargado realizará cuantas advertencias y suscribirá cuantos documentos sean necesarios con dichas personas, con el fin de asegurar el cumplimiento de estas obligaciones.

El Encargado mantendrá a disposición del Responsable la documentación acreditativa del cumplimiento de la obligación establecida en el párrafo anterior.

Cuarta

Obligaciones del Encargado del Tratamiento

El Encargado del tratamiento asume las siguientes obligaciones:

— Acceder a los datos de carácter personal responsabilidad del Responsable únicamente cuando sea imprescindible para el buen desarrollo de los servicios.

— Tratar los datos conforme a las instrucciones que reciba del Responsable.

— En caso de que el tratamiento incluya la recogida de datos personales en nombre y por cuenta del Responsable, el Encargado deberá seguir los procedimientos e instrucciones que reciba de él, especialmente en lo relativo al deber de información y, en su caso, a la obtención del consentimiento de los interesados.

— Si el Encargado considera que alguna de las instrucciones recibidas infringe el RGPD, la LOPDGDD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, informará inmediatamente al Responsable.

— No destinar, aplicar o utilizar los datos de carácter personal del Responsable con fin distinto del indicado en el convenio o de cualquier otra forma que suponga un incumplimiento de sus instrucciones.

— Asumir la condición de responsable del tratamiento en caso de que destine los datos a otra finalidad distinta del cumplimiento del objeto del convenio, los comunique o los utilice incumpliendo sus estipulaciones o las obligaciones de la normativa vigente, respondiendo de las infracciones en las que hubiera incurrido personalmente.

— El Encargado del Tratamiento, así como cualquier empleado o voluntario del mismo se compromete a cumplir la política de seguridad de la información en el ámbito de la Administración Electrónica y de los sistemas de información de la Consejería de Sanidad de la Comunidad de Madrid, establecida en la Orden 491/2013, de 27 de junio, y todas las políticas, normas y procedimientos que emanen del citado código, así como las que se determinen en materia de seguridad para el tratamiento de datos de carácter personal.

— No permitir el acceso a los datos de carácter personal responsabilidad del Responsable a ningún empleado o persona que no tenga la necesidad de conocerlos para la prestación de los servicios.

— No revelar, transferir, ceder o de otra forma comunicar los datos de carácter personal responsabilidad del Responsable, ya sea verbalmente o por escrito, por medios electrónicos, papel o mediante acceso informático, ni siquiera para su conservación, a ningún tercero, salvo que exista autorización o instrucción previa del Responsable.

— En caso de estar obligado a ello por el artículo 30 del RGPD y 31 de la LOPDGDD, el Encargado mantendrá un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del Responsable, que contenga la información exigida por el artículo 30.2 del RGPD.

— Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

— Dar apoyo al Responsable en la realización de las evaluaciones de impacto relativas a la protección de datos, cuando proceda y en la realización de las consultas previas a la Autoridad de Control, cuando proceda.

— Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen al Responsable u otro auditor autorizado por este.

— Adoptar y aplicar las medidas de seguridad estipuladas en el artículo 32 del RGPD, y en el Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS), que garanticen la seguridad de los datos de carácter personal responsabilidad del Responsable y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya provengan de la acción humana o del medio físico o natural.

— En caso de estar obligado a ello por el artículo 37.1 del RGPD y por el artículo 34 de la LOPDGDD, designar un delegado de protección de datos y comunicar su identidad y datos de contacto al Responsable, así como cumplir con todo lo dispuesto en los artículos 37 a 39 del RGPD y 35 a 37 de la LOPDGDD.

— En caso de que el Encargado deba transferir o permitir acceso a datos personales responsabilidad del Responsable a un tercero en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al Responsable de esa exigencia legal de manera previa, salvo que estuviese prohibido por razones de interés público.

— Respetar todas las obligaciones que pudieran corresponderle como encargado del tratamiento con arreglo al RGPD y a la LOPDGDD, o de cualquier otra disposición o regulación complementaria que le fuera igualmente aplicable.

Quinta

Obligaciones del responsable del tratamiento

El Responsable manifiesta y hace constar a los efectos legales oportunos que:

a) En caso de que el tratamiento incluya la recogida de datos personales en su nombre y por su cuenta, establecerá los procedimientos correspondientes a la recogida de los datos, especialmente en lo relativo al deber de información y, en su caso, a la obtención del consentimiento de los interesados, garantizando que estas instrucciones cumplen con todas las prescripciones legales y reglamentarias que exige la normativa vigente en materia de protección de datos.

b) En caso de que el tratamiento no incluya la recogida de datos personales en nombre y por cuenta del Responsable, los datos de carácter personal a los que accederá el Encargado en virtud de este convenio, han sido obtenidos y tratados cumpliendo con todas las prescripciones legales y reglamentarias que exige la normativa vigente en materia de protección de datos.

c) Cumple con todas sus obligaciones en materia de protección de datos como responsable del tratamiento y es consciente de que los términos de este convenio en nada alteran ni sustituyen las obligaciones y responsabilidades que sean atribuibles al Responsable del Tratamiento como tal.

d) Supervisar el tratamiento y el cumplimiento de la normativa de protección de datos por parte del Encargado del Tratamiento.

Sexta

Medidas de seguridad y violación de la seguridad

Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el Encargado del Tratamiento aplicará medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

a) La seudonimización y el cifrado de datos personales.

b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento, así como la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.

c) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

d) Un catálogo de medidas de seguridad reconocido en normativas o estándares de seguridad de la información.

Al evaluar la adecuación del nivel de seguridad, el Encargado tendrá en cuenta los riesgos que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizados a esos datos.

El Encargado del Tratamiento permitirá y contribuirá a la realización de auditorías e inspecciones, por parte del Responsable o de otro auditor autorizado por él.

Asimismo, en caso de modificación de la normativa vigente en materia de protección de datos o de otra normativa relacionada y que resultase aplicable al tratamiento objeto del Convenio de referencia, el Encargado garantiza la implantación y mantenimiento de cualesquiera otras medidas de seguridad que le fueran exigibles, sin que ello suponga una modificación de los términos de este convenio.

En caso de violación de la seguridad de los datos personales en los sistemas de información utilizados por el Encargado para la prestación de los servicios objeto del convenio, este deberá notificar al Responsable, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas hábiles, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia conforme a lo dispuesto en el artículo 33.3 del RGPD.

En tal caso, corresponderá al Responsable comunicar las violaciones de seguridad de los datos a la Autoridad de Protección de Datos y/o a los interesados conforme a lo establecido en la normativa vigente. Y en cualquier otro caso cuando así sea de aplicación conforme a lo establecido en la normativa vigente.

Séptima

Destino de los datos al finalizar el convenio

Una vez cumplido o resuelto el convenio, el Encargado deberá solicitar al Responsable instrucciones precisas sobre el destino de los datos de carácter personal de su responsabilidad, pudiendo elegir este último entre su devolución, remisión a otro prestador de servicios o su destrucción íntegra por un tercero o su destrucción íntegra, siempre que no exista previsión legal que exija la conservación de los datos, en cuyo caso no podrá procederse a su destrucción.

El Encargado podrá conservar, debidamente bloqueados, los datos de carácter personal responsabilidad del Responsable, en tanto pudieran derivarse responsabilidades de su relación con él.

Octava

Ejercicio de derechos ante el encargado de tratamiento

El Encargado deberá dar traslado al Responsable de cualquier solicitud de ejercicio del derecho de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de los datos y a no ser objeto de decisiones individualizadas automatizadas, efectuada por un interesado cuyos datos hayan sido tratados por el Encargado con motivo del cumplimiento del convenio, a fin de que se resuelva en los plazos establecidos por la normativa vigente.

El traslado de la solicitud al Responsable deberá hacerse con la mayor celeridad posible y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolverla.

Asimismo, el Encargado deberá tramitar cualquier instrucción relativa a derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de los datos y a no ser objeto de decisiones individualizadas automatizadas, que reciba a través del Responsable, a la mayor celeridad posible, y siempre dentro del plazo máximo de dos días hábiles a contar desde la recepción de la solicitud, confirmando por escrito tanto la recepción de la solicitud, como la ejecución de la tarea encomendada.

Novena

Deber de información mutuo

Las partes informan a los firmantes del convenio de que sus datos de carácter personal van a ser tratados con la finalidad estipulada en el convenio, siendo imprescindible para ello que se aporten sus datos identificativos, el cargo que ostentan, número de DNI o documento equivalente y su firma.

Asimismo, las partes garantizan cumplir con el deber de información con respecto a sus empleados cuyos datos personales sean comunicados entre las partes para el mantenimiento y cumplimiento del convenio.

La base jurídica que legitima el tratamiento de los datos de los interesados es la celebración y ejecución del convenio. Las partes se comunicarán mutuamente la identidad de sus Delegados de Protección de Datos, en caso de que dicho nombramiento les sea de aplicación.

Los datos serán conservados durante la vigencia del convenio y una vez finalizado, durante los plazos establecidos en la legislación vigente con la finalidad de atender a las posibles responsabilidades derivadas de su firma.

En todo caso, los interesados podrán ejercer sus derechos de acceso, rectificación, supresión y oposición, limitación, portabilidad ante la parte que corresponda a través de comunicación por escrito al domicilio social del Responsable aportando fotocopia de su DNI o documento equivalente e identificando el derecho cuyo ejercicio se solicita. Asimismo, en caso de considerar vulnerado su derecho a la protección de datos personales, podrán interponer una reclamación ante la Agencia Española de Protección de Datos.

Décima

Subencargo del tratamiento

Con carácter general el Encargado no podrá subencargar las prestaciones que formen parte del objeto de este convenio y que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para su normal funcionamiento.

Sin perjuicio de lo anterior, en caso de que el Encargado necesitara subencargar todo o parte de los servicios encargados por el Responsable en los que intervenga el tratamiento de datos personales, deberá comunicarlo previamente y por escrito al Responsable, con una antelación de 1 mes, indicando los tratamientos que se pretende subencargar e identificando de forma clara e inequívoca la empresa subencargada y sus datos de contacto. El subencargo podrá llevarse a cabo si el Responsable no manifiesta su oposición en el plazo establecido.

En este último caso, el subencargado, que también tendrá la condición de encargado del tratamiento, está obligado igualmente a cumplir las obligaciones establecidas en este documento para el Encargado del Tratamiento y las instrucciones que dicte el Responsable del Tratamiento.

Corresponde al Encargado del Tratamiento exigir al subencargado el cumplimiento de las mismas obligaciones asumidas por él a través del presente documento y seguirá siendo plenamente responsable ante el Responsable del Tratamiento en lo referente al cumplimiento de las obligaciones.

El Encargado del Tratamiento está obligado a informar al Responsable de cualquier cambio en la incorporación o sustitución de otros subencargados con una antelación de un mes, dando así al Responsable la oportunidad de oponerse a dichos cambios.

Undécima

Responsabilidad

El Encargado será considerado responsable del tratamiento en el caso de que destine los datos a otras finalidades, los comunique o los utilice incumpliendo las estipulaciones de este convenio, respondiendo de las infracciones en las que hubiera incurrido personalmente.

Las partes responderán de las infracciones en las que hubiesen incurrido personalmente, manteniendo indemne a la parte contraria frente a cualquier perjuicio que se derivase de ellas.

ANEXO III

COMPROMISO DE CONFIDENCIALIDAD Y DEBER DE SECRETO

I. Confidencialidad

1. El firmante queda expresamente obligado a mantener absoluta confidencialidad y reserva sobre cualquier dato que pudiera conocer con ocasión del cumplimiento de su función, especialmente los de carácter personal, que no podrá copiar o utilizar con fin distinto al que esté determinado, ni tampoco ceder a otros ni siquiera a efectos de conservación. Esta obligación subsistirá una vez finalizada la relación entre las partes.

2. Queda prohibida la salida de información propiedad de la Consejería de Sanidad (CSCM) obtenida de sus sistemas de información o de otras fuentes, por cualquier medio físico o telemático, salvo autorización por escrito del Responsable del Tratamiento.

3. Una vez extinguida la relación con la CSCM los datos de carácter personal pertenecientes al mismo que pueda tener bajo su control el abajo firmante, deberá destruirlos o devolverlos, por el método acordado, así como cualquier otro soporte o documento en el que conste algún dato de carácter personal.

4. El firmante se compromete expresamente a no realizar ninguna actividad de reidentificación de ningún paciente del SERMAS. Únicamente podrá procederse a la reidentificación de los datos en su origen, cuando con motivo de una investigación (que utilice datos seudonimizados), se aprecie la existencia de un peligro real y concreto para la seguridad o salud de una persona o grupo de personas, o una amenaza grave para sus derechos o sea necesaria para garantizar una adecuada asistencia sanitaria.

II. Políticas de seguridad

1. El abajo firmante se compromete a cumplir la política de seguridad de la información en el ámbito de la Administración Electrónica y de los sistemas de información de la la CSCM, establecida en la Orden 491/2013, de 27 de junio, y todas las políticas, normas y procedimientos que emanen de la citada política, así como las que se determinen en materia de seguridad para el tratamiento de datos de carácter personal. Para su conocimiento, se le proporcionará acceso a la normativa que le sea de aplicación.

2. El acceso lógico a los Sistemas de Información y Comunicaciones de la CSCM se hará con la autorización correspondiente, en la forma que se indique y con las medidas de seguridad que se marquen en cada caso, no pudiendo acceder a datos reales sin la autorización por escrito del Responsable o Encargado del Tratamiento.

3. Ante cualquier duda que pueda incidir en la seguridad de los Sistemas de Información y Comunicaciones, deberá consultar con su enlace o Responsable en la CSCM. La función del enlace será ofrecerle asesoramiento, atender cualquier tipo de consulta o necesidad, transmitir instrucciones, ponerle al corriente de sus cometidos, objetivos, entre otras.

III. Propiedad intelectual

1. Queda estrictamente prohibido el uso de programas informáticos en los sistemas de información de la CSCM sin la correspondiente licencia y/o autorización. Los programas informáticos propiedad de la CSCM están protegidos por propiedad intelectual, y por tanto está estrictamente prohibida su reproducción, modificación, cesión o comunicación sin la debida autorización.

2. Queda estrictamente prohibido en los sistemas de información de la CSCM el uso, reproducción, cesión, transformación o comunicación pública de cualquier otro tipo de obra o invención protegida por la propiedad intelectual sin la debida autorización.

IV. Derecho de información

1. En cumplimiento de la normativa vigente en materia de protección de datos, se le informa de que los datos personales que se faciliten serán responsabilidad de la Consejería de Sanidad como Responsable del Tratamiento, cuyo Delegado de Protección de Datos (DPD) es el Comité DPD de la Consejería de Sanidad de la Comunidad de Madrid, con dirección en la calle Melchor Fernández Almagro, número 1, 28029 Madrid, y cuya finalidad es la contemplada en el presente documento.

2. El tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento, de conformidad con lo establecido en el Reglamento (UE) 2016/679, de 27 de abril de 2016, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE. Con esta finalidad sus datos serán conservados durante los años necesarios para cumplir con las obligaciones estipuladas en la normativa vigente aplicable. Asimismo, se le informa de que los datos no serán comunicados a terceros, salvo en aquellos casos obligados por Ley.

3. Podrá ejercer sus derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento y portabilidad, en la medida que sean aplicables, a través de comunicación escrita a los Responsables del Tratamiento, en Calle de la Aduana, 29, 28013 Madrid concretando su solicitud, junto con su DNI o documento equivalente. Asimismo, le informamos de la posibilidad de presentar una reclamación ante la Agencia Española de Protección de Datos.

EXTRACTO DEL DECÁLOGO DE BUENAS PRÁCTICAS PARA USUARIOS DE SISTEMAS DE INFORMACIÓN DE LA CONSEJERÍA DE SANIDAD

1. Internet

1.1. La utilización del acceso a Internet debe responder a fines profesionales.

1.2. El uso de los sistemas de información, podrá ser auditado en los términos que autorice la legislación vigente.

2. Tratamiento y uso de datos de carácter personal

2.1. Los usuarios deben acceder, exclusivamente, a la información necesaria para el desarrollo de las funciones propias de su actividad y únicamente a la que esté autorizado.

2.2. En el acceso a ésta información los usuarios están obligados a cumplir todas las medidas de seguridad establecidas por la normativa en protección de datos, y demás requisitos aplicables conforme a las normas y procedimientos establecidos en la CSCR.

2.3. Todas las personas que intervengan en cualquier fase del tratamiento de datos de carácter personal están obligadas al secreto profesional respecto de los mismos.

2.4. Cuando un soporte informático (disco duro, USB, CD...), o documento, en formato electrónico o papel, contenga datos personales, y vaya a ser desechado, se deberán adoptar las medidas necesarias para impedir cualquier recuperación posterior de la información almacenada o impresa en los mismos.

2.5. El personal que necesite extraer de la CSCR datos de carácter personal deberá solicitar la autorización pertinente y aplicar las debidas medidas de seguridad para proteger esa información.

2.6. Cualquier incidencia o anomalía que pudiera afectar a la seguridad de los datos personales deberá ser comunicada al responsable de seguridad del centro y al Área de Seguridad.

2.7. Los accesos a los sistemas de información podrán ser monitorizados y registrados para auditar el uso de los mismos.

3. Incidentes de seguridad de la información

3.1. Cuando ocurra un incidente que afecte a la seguridad de la información, el usuario deberá reportar el detalle de los hechos acontecidos y de las medidas adoptadas a su superior jerárquico y/o al Área de Seguridad, a fin de que se tomen las decisiones oportunas.

4. Uso de contraseñas

4.1. Tanto las cuentas de usuario como las contraseñas son personales. En consecuencia, no se deberán facilitar a otros usuarios, salvo que se reciba autorización expresa del responsable de informática.

4.2. Los usuarios deben ser cuidadosos y diligentes en la custodia y cuidado de las contraseñas y deben mantenerlas en secreto, debiendo informar en caso de pérdida o compromiso de la misma.

4.3. Los usuarios son los únicos autorizados para el uso de la cuenta, y deben ser conscientes de que son responsables de las acciones que se realicen con su identidad en los sistemas de información.

5. Virus informáticos y otro tipo de “malware”

5.1. Ante la sospecha de una infección por virus, gusanos, etcétera, se deberá comunicar la incidencia al responsable, y/o al centro de soporte de usuarios.

6. Mesas limpias y bloqueo del ordenador

6.1. Cuando los usuarios se ausenten del puesto de trabajo o dejen desatendido el ordenador deberán activar el sistema de bloqueo del que disponga su equipo (salvapantalla protegida por contraseña, bloqueo del terminal, etcétera) con el fin de que se no visualicen datos en la pantalla, así como evitar que se acceda al equipo o aplicaciones por terceros no autorizados.

6.2. Del mismo modo todos los documentos en papel que contengan datos de carácter personal deberán ser custodiados en todo momento, mientras estén siendo usados, por la persona a cargo, evitando el acceso por personas no autorizadas. Una vez que se haya terminado de trabajar con dichos documentos estos deberán guardarse bajo llave o utilizando cualquier otro mecanismo que garantice su custodia e impida el acceso a los mismos.

Leído y entendido, el abajo firmante se compromete a cumplir lo arriba establecido.

Madrid, a ............... de 20 .........

Nombre:

DNI:

Firma:

(03/34.412/21)