BOC - 2021/44. Jueves 4 de Marzo de 2021 - 1099

III. Otras Resoluciones

Consejería de Derechos Sociales, Igualdad, Diversidad y Juventud

1099 - ORDEN de 16 de febrero de 2021, de encargo a la sociedad mercantil Instituto Tecnológico de Canarias, S.A. (ITC), como medio propio personificado y servicio técnico de la Administración Pública de la Comunidad Autónoma de Canarias, para la implantación del uso de la aplicación de Administración Electrónica, FAP (Framework Administración Pública), necesaria para la gestión de expedientes de solicitud de subvenciones destinadas a la realización de programas de interés general con cargo a la asignación tributaria del Impuesto sobre la Renta de las Personas Físicas.

Descargar en formato pdf

ANTECEDENTES DE HECHO

1º.- Con carácter anual se vienen convocando, en régimen de concurrencia competitiva, subvenciones para la realización de programas de interés general con cargo a la asignación tributaria del Impuesto sobre la Renta de las Personas Físicas (IRPF, en adelante) en el ámbito de la Comunidad Autónoma de Canarias.

El objeto principal es el que los fondos se destinen a cubrir la atención integral de las necesidades sociales básicas de personas en situación de pobreza o exclusión, cualquiera que sea su causa, así como en situaciones de especial vulnerabilidad derivadas de discriminaciones por razón de sexo, etnia, edad, discapacidad y orientación sexual.

Partiendo de esta premisa, los órganos competentes para la tramitación de las mismas son los titulares de cada una de las Direcciones Generales que se concretan en:

- Dirección General de Derechos Sociales e Inmigración.

- Dirección General de Dependencia y Discapacidad.

- Dirección General de Protección a la Infancia y la Familia.

- Dirección General de Juventud.

- Dirección General de Diversidad.

- Dirección General de Salud Pública.

- El Instituto Canario de Igualdad, como organismo autónomo adscrito a esta Consejería.

Asimismo, la resolución de concesión de las mismas corresponde a la Consejera de Derechos Sociales, Igualdad, Diversidad y Juventud.

El hecho cierto es que las convocatorias gestionadas en los ejercicios 2018 y 2019, conforme al procedimiento de concurrencia competitiva, en base al modelo de gestión mixta referenciado en el punto anterior, ha puesto de relieve la problemática generada en cuanto a los tiempos de resolución de la tramitación administrativa de dichos procedimientos.

Atendiendo a la situación descrita, en aras a poder cumplir con el principio de eficacia que debe regir toda actuación administrativa, como bien constitucionalmente protegido (artº. 103 de la Constitución española), unido a los principios de economía, celeridad y buena fe (artº. 3 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público) y siempre dentro del marco del principio de legalidad es por lo que podemos llegar a afirmar que la utilización del mecanismo del encargo previsto en el artº. 32 de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público parece ventajosa para la realización de trámites de inicio, instrucción, así como gestión de recursos relativa a la convocatoria referenciada.

2º.- El Instituto Tecnológico de Canarias, S.A. (en adelante ITC), según consta en sus escrituras de constitución, nº de protocolo 2.782, de 28 de agosto de 1992, es una sociedad mercantil pública de la Comunidad Autónoma de Canarias con capital perteneciente íntegramente a la Administración Pública de Canarias, adscrita a la Consejería de Economía, Conocimiento y Empleo, que tiene la condición de medio instrumental y servicio técnico propio de la Administración Pública de la Comunidad Autónoma de Canarias, conforme al Decreto territorial 188/2001, de 15 de octubre, por el que se reconoce a diversas empresas públicas la condición de medio instrumental y servicio técnico propio de la Administración Pública de la Comunidad Autónoma y de las entidades públicas vinculadas o dependientes de la misma (BOC nº 146, de 9.11.01).

Asimismo, en el artículo 1.2 de los Estatutos Sociales del ITC (modificado por Acuerdo de la Junta General Extraordinaria y Universal de fecha 22 de julio de 2020 y elevado a escritura pública de fecha 11 de agosto de 2020), se recoge expresamente la condición de medio instrumental y servicio técnico propio de la Administración Pública de la Comunidad Autónoma de Canarias y los poderes adjudicadores que dependen de ella, estando obligada a realizar los trabajos que cualquiera de los poderes adjudicadores le encomienden, en el marco de sus respectivas competencias y funciones de conformidad con lo dispuesto en su objeto social y, especialmente, aquellas que sean urgentes o que se ordenen como consecuencia de las situaciones de emergencia que se declaren que, además de obligatorias, tendrán carácter preferente.

3º.- El ITC, además de disponer de las suficientes capacidades de investigación, desarrollo y asistencia técnica, es la entidad adecuada para este trabajo de evolución y mejora, debido a que es quien hace el mantenimiento del código fuente base de las integraciones necesarias con PLATINO (Plataforma de Interoperabilidad del Gobierno de Canarias), y de la sede electrónica de la plataforma "Framework de Administración Pública" (FAP).

4º.- Esta Consejería no cuenta con los medios personales y materiales suficientes para el adecuado desarrollo del trabajo objeto del presente encargo, dado el alto grado de especialización del mismo FAP.

5º.- En el ejercicio 2021, se dispone de dotación presupuestaria adecuada y suficiente para atender el encargo en el estado de gastos de la Secretaría General Técnica, en la partida presupuestaria 2302.239A.62600000, por importe de veintisiete mil seiscientos tres euros con treinta y cinco céntimos (27.603,35 euros).

6º.- El ITC actuará en nombre y por cuenta de la Consejería de Derechos Sociales, Igualdad, Diversidad y Juventud y no podrá encargar a terceros las funciones atribuidas por la presente Orden.

7º.- En la ejecución del presente encargo a medio propio personificado existen operaciones de tratamiento de datos personales, en los términos establecidos en el marco normativo en materia de protección de datos.

8º.- Los datos personales objeto de operaciones de tratamiento a los fines de la ejecución del presente encargo a medio propio personificado, están registrados por el Responsable del tratamiento conforme consta en el anexo a la presente Orden.

9º.- Consta en el expediente como parte del paquete de trabajo que el mismo se va a desarrollar en servidores del Gobierno de Canarias.

10º.- Consta memoria de la Secretaría General Técnica de la Consejería de Derechos Sociales, Igualdad, Diversidad y Juventud, de fecha 21 de enero de 2021, justificativa de la necesidad del servicio y de las carencias de medios personales y técnicos para el desempeño del citado encargo, así como memoria económica justificativa del coste del encargo.

11º.- Con fecha 16 de febrero de 2021 la Secretaría General Técnica de la Consejería de Derechos Sociales, Igualdad, Diversidad y Juventud elevó propuesta de Orden.

12º.- Consta en el expediente documentación acreditativa de las tarifas aplicables conforme a la documentación remitida por el Instituto Tecnológico de Canarias, S.A. (ITC).

FUNDAMENTOS DE DERECHO

I.- En el artº. 32 de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, bajo la rúbrica de "Encargos de los poderes adjudicadores a medios propios personificados" se regula el mecanismo del encargo estableciéndose, entre otras cuestiones que no tendrá carácter de contrato administrativo, y encontrándose sujeto al cumplimiento de requisitos y trámites previstos en el mismo, siendo de destacar la necesidad de que se formalice en documento que será publicado en la Plataforma de Contratación.

II.- La sociedad mercantil Instituto Tecnológico de Canarias, S.A. (ITC) es una empresa de la Comunidad Autónoma de Canarias, con capital íntegramente público, adscrita a la Consejería de Economía, Conocimiento y Empleo, que tiene condición de medio instrumental y técnico propio de la Administración Pública de Canarias, conforme al Decreto territorial 188/2001, de 15 de octubre, por el que se reconoce a diversas empresas públicas la condición de medio instrumental y servicio técnico propio de la Administración Pública de la Comunidad Autónoma de Canarias, y de las entidades públicas vinculadas o dependientes de la misma (BOC nº 146, de 9.11.01), así como conforme a lo recogido expresamente en el artículo 1.2 de los Estatutos Sociales del ITC (modificado por Acuerdo de la Junta General Extraordinaria y Universal de fecha 22 de julio de 2020 y elevado a escritura pública de fecha 11 de agosto de 2020). En consecuencia, cumple con los requisitos establecidos en la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público.

III.- En este encargo a medio propio personificado existen operaciones de tratamiento de datos personales, por lo que procede realizar un encargo de tratamiento de datos personales al medio propio personificado, en los términos previstos en el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD), en relación con la Disposición adicional vigésimo quinta de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo, 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014 (LCSP), así como en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPD).

En su virtud, de conformidad con lo dispuesto en el artículo 5.2, apartado c) del Decreto 43/2020, de 16 de abril, por el que se aprueba el Reglamento Orgánico de la Consejería de Derechos Sociales, Igualdad, Diversidad y Juventud,

R E S U E L V O:

Primero.- Objeto.

1. El objeto del encargo se concreta en encargar al Instituto Tecnológico de Canarias, S.A. (ITC) la implantación del uso, en esta Consejería, de la aplicación de Administración Electrónica, FAP (Framework Administración Pública), necesaria para la gestión de expedientes de solicitudes de subvenciones destinadas a la realización de programas de interés general con cargo a la asignación tributaria del Impuesto sobre la Renta de las Personas Físicas, en el ámbito de la Comunidad Autónoma de Canarias.

|IMG 11982-11983

Se deberá tener en cuenta que la aplicación referenciada deberá integrarse con las herramientas, aplicaciones y normativa corporativa que resulten de aplicación, y que se concreta en:

Las especificaciones sobre la plataforma técnica del Gobierno de Canarias están en https://www.gobiernodecanarias.org/administracionespublicas/cibercentro/ciber_normativa.html.

Las especificaciones sobre la plataforma de interoperabilidad del Gobierno de Canarias están en http://www.gobiernodecanarias.org/platino.

Los servicios y normativa técnica corporativa sobre presencia en Internet del Gobierno de Canarias (sedes, portales, herramientas, servicios web, etc.) se encuentran disponibles en http://www.gobiernodecanarias.net/uweb/.

La normativa sobre identidad gráfica se encuentra disponible en http://www.gobiernodecanarias.org/identidadgrafica/.

La documentación y especificaciones sobre la plataforma de intermediación de datos para el acceso a datos de otros Entes u Organismos se encuentra en: http://www.gobiernodecanarias.net/intermediaciondatosciudadanos/Intra-Inter.

Orden de 23 de mayo de 2019, por la que se aprueba la política de dominios en internet de la Administración Pública de la Comunidad Autónoma de Canarias. Boletín Oficial de Canarias nº 107, jueves 6 de junio de 2019.

Criterios para la utilización del sistema corporativo de tramitación Electrónica de procedimientos (STP), versión 4.1 de 28 de julio de 2017, por la que, entre otros criterios se contempla que, con carácter general el Sistema de Tramitación Electrónica de Procedimientos para familias de procedimientos (STP-familias normalizadas de procedimientos) será el sistema corporativo PLATEA.

Segundo.- Régimen jurídico.

El régimen jurídico de este tipo de encargos es el establecido en el artículo 32 de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se trasponen al ordenamiento jurídico español las Directivas del Parlamento Europeo y del Consejo, 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014.

En lo no previsto en la ley anterior, el encargo se adecuará al régimen específico de los encargos a medios propios personificados recogido en el artículo 32 de la Ley 4/2012, de 25 de junio, de medidas administrativas y fiscales, según redacción dada por la Disposición final primera de la Ley 7/2017, de 27 de diciembre, de Presupuestos Generales de la Comunidad Autónoma de Canarias para 2018; y por la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

Además de las normas anteriores, también serán de aplicación al encargo conferido las normas siguientes:

- Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

- Acuerdo del Gobierno de Canarias de 12 de septiembre de 2013, por el que se dictan instrucciones para la correcta ejecución de los servicios externos que se contraten en el ámbito del sector público de la Comunidad Autónoma de Canarias publicado mediante Resolución de la Secretaría General de fecha 13 de septiembre de 2013.

- Las cláusulas del presente documento de formalización del encargo.

Significar que las relaciones del Instituto Tecnológico de Canarias, S.A., con la Consejería de Derechos Sociales, Igualdad, Diversidad y Juventud tienen naturaleza administrativa, no contractual sino meramente instrumental, por lo que a todos los efectos son de carácter interno, dependiente, subordinado y organizativo.

Tercero.- Presupuesto.

El presupuesto de ejecución previsto, suscrito por el Gerente del ITC y la Consejera de Derechos Sociales, Igualdad, Diversidad y Juventud consta desglosado en el Anexo III y IV de la presente Orden y asciende a un importe total de veintisiete mil seiscientos tres euros con treinta y cinco céntimos (27.603,35 euros).

Cuarto.- Medios de ejecución.

El ITC realizará las actuaciones encargadas con sus propios medios materiales y humanos.

Respecto a los medios propios, el ITC cuenta con un equipo técnico conformado de acuerdo a lo recogido en el Anexo IV, donde se desglosan las actuaciones a desarrollar, el personal dedicado a las mismas y el tiempo estimado de realización efectiva.

Con anterioridad a la realización del primer pago y dentro del plazo de un mes a partir de la notificación del encargo, el ITC, S.A. deberá dar de alta el presente encargo en la herramienta de acceso web "RedMine". Dicha herramienta servirá de gestión, seguimiento y evaluación del desarrollo del encargo, por lo que habrá de contener la información pertinente que permita a quien hace, a quien acepta el encargo, y a los responsables de la función interventora, compartir y tener información lo más actualizada posible de lo que acontezca durante el desarrollo del encargo. Tanto la herramienta web como su volcado y/o su transposición a otros soportes, contendrá, además de la documentación de la tramitación administrativa, toda aquella documentación técnica y entregables que durante el desarrollo del encargo se genere.

Se observará por el ITC lo señalado en Acuerdo de Gobierno de 12 de septiembre de 2013, por el que se dictan instrucciones para la correcta ejecución de los servicios externos que se contraten en el ámbito del sector público de la Comunidad Autónoma de Canarias. A tal efecto, deberá de cumplir con las obligaciones recogidas en la cláusula décimo séptima del presente documento.

El encargo no implicará la existencia de nexo jurídico alguno entre el personal al servicio del ITC y la Consejería de Derechos Sociales, Igualdad, Diversidad y Juventud.

Tampoco se podrá producir la subrogación material de la Consejería en las obligaciones laborales y de Seguridad Social en los términos previstos en el artículo 44.1 del Real Decreto Legislativo 2/2015, de 23 de octubre, por el que se aprueba el texto refundido de la Ley del Estatuto de los Trabajadores.

Quinto.- Dirección del encargo.

Por parte de la Consejería de Derechos Sociales, Igualdad, Diversidad y Juventud, será responsable del encargo la persona titular de la Dirección General de Derechos Sociales e Inmigración o persona en quien delegue. Por parte del ITC, actuará como Interlocutor a los efectos de esta encomienda D. Juan Francisco Rodríguez Alvarado, Jefe del Departamento de Computación Científica y Tecnológica.

Corresponde únicamente a estos responsables supervisar la ejecución, adoptar las decisiones y dictar las instrucciones necesarias con el fin de asegurar la correcta realización del presente acto administrativo, para lo cual se reunirán periódicamente, al menos, una vez cada treinta días.

Todos los datos, archivos, informes, documentos de trabajo, en papel o electrónico y cuanta información fuera necesario intercambiar entre la Consejería de Derechos Sociales, Igualdad, Diversidad y Juventud y el ITC para la correcta ejecución de todas las tareas del encargo, habrá de ser siempre canalizada a través de los responsables designados anteriormente.

Sexto.- Forma de pago.

1. Se llevarán a cabo pagos parciales en firme, contra facturas expedidas por el ITC cuya periodicidad dependerá del ritmo de ejecución de las tareas y de común acuerdo entre los responsables del encargo. La expedición de facturas, se hará conforme a la normativa vigente en materia de facturación. El ITC facturará los trabajos realizados, incluyendo la descripción de los trabajos realizados, con los importes correspondientes al presupuesto ejecutado.

2. Con el ánimo de habilitar mecanismos que faciliten dar constancia de lo establecido en el articulo 32 apartado 7, de la Ley 4/2012, de 25 de junio, de medidas administrativas y fiscales, será preciso adjuntar a la factura los siguientes documentos o soportes que deberán ser visados con carácter previo al pago por el director del encargo:

I. Una memoria descriptiva organizada según la estructura establecida en el resuelvo primero, mediante tareas, indicando por estimación o contabilización directa el porcentaje de ejecución o los entregables que procedan, así como los costes reales que han sido necesarios para la realización de cada una de las tareas.

II. La recopilación de los entregables que se hayan entregado o generado en el periodo que se factura.

III. Para la tramitación de los abonos periódicos, se requerirá el visado de dichas memorias, junto con la emisión, por parte del Responsable del encargo, de un documento acreditativo de la realización de los trabajos. Para el abono del último pago, será necesario, además, extender la correspondiente acta de recepción de los trabajos, de conformidad con lo previsto en la normativa vigente en materia de contratación pública.

En todo caso, los pagos al ITC se realizarán respetando las exigencias establecidas en el artículo 21 de la Ley 11/2006, de 11 de diciembre, de la Hacienda Pública Canaria.

Séptimo.- Obligaciones de difusión.

Tanto en el presente encargo como en todas las actuaciones realizadas a su amparo, se establece la obligación del cumplimiento de la normativa sobre tratamiento y utilización de la identidad corporativa del Gobierno de Canarias aprobada según Decreto 184/2004, de 21 de diciembre, y sucesivas órdenes que la desarrollan; así como del uso de todos aquellos logos y/o elementos de difusión que procedan como consecuencia de la participación de terceros intervinientes en las acciones y que puedan surgir en el desarrollo del encargo.

Octavo.- Publicidad.

Al tratarse de un encargo inferior a 50.000 euros, no será necesaria su publicación en la Plataforma de Contratación del Sector Público, en aplicación del artículo 63.6 de la LCSP, sin perjuicio de la publicación de la información que se señala en el mismo. A efectos de dar cumplimiento a lo previsto en el artículo 29.3 de la Ley 12/2014, de 26 de diciembre, de transparencia y de acceso a la información pública, en la memoria correspondiente al último pago deberá recogerse, en apartado especifico, la información que exige el articulo citado.

Noveno.- Plazo de ejecución.

El plazo de ejecución del trabajo encomendado, que se relaciona en el resuelvo primero, se iniciará con la notificación de la presente Orden a la entidad encargada, estableciéndose el plazo límite de justificación y facturación para el pago de los servicios el 31 de diciembre de 2021.

Décimo.- Entregables y plazos de entrega. Informes intermedios.

* El ITC aportará al Responsable del encargo unos informes periódicos donde figuren detallados los trabajos realizados en cada periodo, al menos con carácter trimestral.

* El Director podrá autorizar la modificación de este calendario por motivos de operatividad.

* Informe anual.

Décimo primero.- Control y seguridad de la información.

Todas las actuaciones derivadas del presente encargo se efectuarán de conformidad con lo dispuesto en el artículo 83 del Reglamento (UE) 2016/679, de 27 de abril, del Parlamento Europeo y del Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Los incumplimientos en la materia por parte del ITC darán lugar a la aplicación del régimen sancionador recogido en el artículo 83 del Reglamento y en el artículo 70 y siguientes de la citada Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, sin perjuicio de las consecuencias que puedan derivarse de lo establecido en otras normas del Ordenamiento.

Décimo segundo.- Protección de datos personales y deber de sigilo.

1. En la ejecución del presente encargo a medio propio personificado deberá respetarse en su integridad el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (RGPD), y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, y demás normativa aplicable, en cada momento, en materia de protección de datos personales.

2. El Instituto Tecnológico de Canarias se compromete a preservar la confidencialidad de los datos personales a los que ocasionalmente pueda tener acceso, comunicando a la Consejería de Derechos Sociales, Igualdad, Diversidad y Juventud esta circunstancia, a los efectos de que se pueda determinar la procedencia o no de efectuar un encargo de tratamiento de datos personales. En todo caso, estos datos solo podrán ser utilizados a fin de realizar las actuaciones necesarias señaladas en el presente encargo a medio propio personificado.

Todo el personal del Instituto Tecnológico de Canarias, adscrito o no a la ejecución del presente encargo a medio propio personificado, que, por razón de sus cometidos o por cualquier otra circunstancia, ocasionalmente tenga acceso a cualquier dato personal, tiene el deber de guardar sigilo personal y profesional al respecto aun cuando dejare de prestar servicios para el Instituto Tecnológico de Canarias.

Décimo tercero.- Requerimiento de documento.

Requerir a ITC, en su condición de encargado del tratamiento de datos personales, para que, en el plazo de diez días hábiles, contados a partir de la notificación de esta Orden, aporte una declaración responsable en la que señale:

- Que el personal adscrito, bajo su autoridad, a la ejecución del contrato, ha suscrito los correspondientes compromisos de confidencialidad. Indicando, además, en la declaración la identidad de esas personas, sus funciones y el lugar de desarrollo de las mismas.

- Que ha impartido o se propone impartir, al citado personal, formación en protección de datos, realizando en la declaración una breve descripción de la misma.

- Si le es o no exigible la obligación de contar con su propio registro de actividades de tratamiento efectuadas en su calidad de encargado del tratamiento, regulado en el artículo 30.2 RGPD, en relación con el artículo 31 LOPD. En caso afirmativo, adjuntará copia del referido registro. En caso negativo, justificará la existencia de alguno de los supuestos excepcionales del artículo 30.5 RGPD.

Décimo cuarto.- Control financiero.

El presente encargo queda sometido al control financiero permanente previsto en los artículos 138 y ss. de la Ley 11/2006, de 11 de diciembre, de la Hacienda Pública Canaria.

Cuando en el ejercicio del control financiero se detectase el abono a la entidad encargada de cantidades que excedan de los gastos, directos e indirectos, del encargo realizado, o no se hubiera cumplido con el objeto del encargo, procederá el inicio del correspondiente expediente de reintegro, que se regirá por las disposiciones generales sobre procedimientos administrativos contenidas en el Título IV de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas.

Las cantidades a reintegrar tendrán la consideración de ingresos de Derecho Público, siéndoles aplicables las normas sobre recaudación contenidas en la legislación tributaria.

Así mismo, de acuerdo con lo previsto en el artículo 32.5 de la LCSP, el incumplimiento sobrevenido de cualquiera de los requisitos establecidos en el artículo 32.2 de la LCSP por parte del ITC, S.A. comportará la pérdida de la condición de medio propio personificado y, en consecuencia, la imposibilidad de seguir recibiendo encargos; sin perjuicio de la conclusión del encargo que constituye el objeto de la presente Resolución.

Décimo quinto.- Obligación del Instituto Tecnológico de Canarias, S.A., de garantizar su sostenibilidad financiera.

El ITC está obligado a cumplir con lo establecido en el apartado cuarto del Acuerdo de Gobierno de 24 de abril de 2014, sobre medidas preventivas de detección temprana y de procedimientos previstos en el Acuerdo de Gobierno de 20 de febrero de 2014, por el que se establecen medidas para contribuir a la reducción del periodo medio de pago y garantizar el cumplimiento de la normativa de lucha contra la morosidad y de estabilidad y sostenibilidad financiera, en el que se establece que "todas las sociedades mercantiles públicas y fundaciones del sector público autonómico, así como sus órganos de administración velarán para facturar las encomiendas o no aceptar subvenciones o aportaciones para el fomento de actividades, sin que se acredite que no se pone en riesgo su sostenibilidad financiera. A estos efectos, las entidades deberán previamente realizar un análisis de su repercusión en relación con el resultado del ejercicio y posteriores, así como en relación con su incidencia en la corriente de cobros y pagos, en la posición de la tesorería de la entidad y en los plazos de pagos a los proveedores comerciales".

Igualmente es de aplicación el Real Decreto 1040/2017, de 22 de diciembre, por el que se modifica el Real Decreto 635/2014, de 25 de julio, por el que se desarrolla la metodología de cálculo del periodo medio de pago a proveedores de las Administraciones Públicas y las condiciones y el procedimiento de retención de recursos de los regímenes de financiación, previstos en la Ley Orgánica 2/2012, de 27 de abril, de Estabilidad Presupuestaria y Sostenibilidad Financiera.

Décimo sexto.- No sujeción al Impuesto General Indirecto Canario (IGIC).

Los servicios prestados en virtud del presente encargo no estarán sujetos al IGIC, de conformidad con lo dispuesto en el artículo 9, apartado 9º.C) de la Ley 20/1991, de 7 de junio, de modificación de los aspectos fiscales del Régimen Económico Fiscal de Canarias.

Décimo séptimo.- Obligaciones de las partes.

1. El ITC responderá de los todos los daños y perjuicios irrogados a la Consejería de Derechos Sociales, Igualdad, Diversidad y Juventud por el mal funcionamiento del servicio encomendado, cualquiera que fuere su causa y la naturaleza jurídica de la responsabilidad que se le impute a esta última.

El ITC será, directa y personalmente, responsable de todos los daños y perjuicios que se causen a terceros en ejecución del encargo y por causas a ella imputables.

Cuando los daños o perjuicios causados tengan su causa en una orden directa de Consejería de Derechos Sociales, Igualdad, Diversidad y Juventud serán estos los que respondan de los mismos.

2. A efectos de lo previsto en el artículo 62 de la Ley 9/2017, de Contratos del Sector Público, y a menos que la Secretaría General Técnica de la Consejería de Derechos Sociales, Igualdad, Diversidad y Juventud dispusiere otra cosa, la responsabilidad de la ejecución del servicio objeto de encargo la ostentará quien dirige la ejecución conforme a lo establecido en el punto quinto del resuelvo.

3. Como responsables de dirigir la ejecución del servicio objeto de encargo y de impartir directamente órdenes e instrucciones de trabajo a los trabajadores del ITC, esta última designa a los jefes de departamento y a los técnicos coordinadores pertenecientes a su propia plantilla.

El ITC, en el ejercicio de sus facultades de organización empresarial y sin perjuicio de que acordare otra cosa, atribuye también a tales responsables el control de la asistencia del personal adscrito a sus unidades al lugar de trabajo, el cumplimiento de las normas laborales de su empresa, y la distribución de las vacaciones de manera que el servicio a prestar no se vea afectado. Todo ello, sin perjuicio de las facultades que la legislación aplicable al presente encargo reconoce, en este caso, a la Secretaría General Técnica de la Consejería de Derechos Sociales, Igualdad, Diversidad y Juventud, en orden a establecer directrices para la ejecución del encargo y coordinar la prestación integral del servicio objeto de encargo.

4. Corresponde exclusivamente al ITC la selección del personal que, reuniendo, en su caso, los requisitos de titulación y experiencia exigidos, formarán parte del equipo de trabajo adscrito a la ejecución del encargo.

5. El ITC asume la obligación de ejercer de modo real, efectivo y continuo, sobre el personal integrante del equipo de trabajo encargado de la ejecución del encargo, el poder de dirección inherente a todo empresario. En particular, lo establecido en el punto cuarto del presente encargo. En particular, asumirá la negociación y pago de los salarios, la concesión de permisos, licencias y vacaciones, la sustitución de los trabajadores en caso de baja o ausencia, las obligaciones legales en materia de Seguridad Social, incluido el abono de cotizaciones y pago de prestaciones cuando proceda, las obligaciones legales en materia de prevención de riesgos laborales, el ejercicio de la potestad disciplinaria, así como cuantos derechos y obligaciones se deriven de la relación contractual entre empleado y empleador.

6. El ITC velará especialmente porque los trabajadores adscritos a la ejecución del encargo desarrollen su actividad sin extralimitarse en las funciones desempeñadas respecto de la actividad delimitada en el objeto del presente encargo.

7. El ITC deberá indemnizar a la Consejería de Derechos Sociales, Igualdad, Diversidad y Juventud de todos los daños y perjuicios que deriven del incumplimiento de sus obligaciones con su personal y de las actuaciones de este.

8. En ningún caso, los trabajadores del ITC podrán percibir indemnizaciones por razón del servicio con cargo a los presupuestos de esta Consejería.

9. Los datos obtenidos por el ITC de registros o bases de datos a los que tenga acceso para la ejecución del encargo deberán ser utilizados de acuerdo con las instrucciones dadas por las Direcciones Generales referenciadas. No podrá suministrar información alguna o dar publicidad sobre los mismos a personas o entidades no autorizadas expresamente por las Direcciones Generales referenciadas.

10. En relación con los servicios encargados, el ITC se someterá al control e inspección que la Secretaría General Técnica considere oportuno en cada momento.

11. Obligaciones especiales en materia de protección de datos de carácter personal:

11.1. El ITC se obliga a ejecutar el encargo con observancia plena y estricta sujeción a lo dispuesto en su integridad el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (RGPD), y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y, demás normativa aplicable, en cada momento, en materia de protección de datos personales.

11.2. Dado que las Direcciones Generales referenciadas tienen la condición de responsables de los datos de carácter personal cedidos al ITC como responsable de su tratamiento para la ejecución del encargo, esta última no podrá ceder su tratamiento a terceros, salvo autorización expresa de dichas Direcciones Generales y para los fines y con condiciones que indicare.

El ITC tendrá la condición de encargado del tratamiento, en los términos fijados en el encargo del tratamiento que figuran en el Anexo I.

11.3. El personal del ITC que en ejecución del encargo tenga conocimiento de los datos de carácter personal estará obligado al más estricto y completo sigilo respecto de ellos.

11.4. El ITC no registrará dato alguno de carácter personal en ficheros que no reúnan las condiciones que se determina en la normativa vigente en materia de protección de datos de carácter personal, en especial, y velará especialmente por la seguridad e integridad de la información en los centros de tratamiento, locales, equipos, sistemas y programas.

11.5. Todos los ficheros del ITC que contengan datos de carácter personal obtenidos con ocasión de la ejecución del encargo serán conservados y depurados de acuerdo con lo establecido en la legislación sectorial correspondiente y de protección de datos de carácter personal.

Las condiciones en materia de protección de datos se recogen en el Anexo I.

11.6. Medidas de seguridad.

Sin perjuicio de la obligatoria implantación y aplicación de las medidas de seguridad que la Secretaría General Técnica imponga en cada momento, el ITC implementará las medidas se seguridad exigidas en el Título VIII del Reglamento de protección de datos de carácter personal (RPDCP), aprobado mediante Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (actualmente, Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales).

Atendiendo a la clasificación que el RPDCP hace de los ficheros o tratamientos de datos, las medidas de seguridad que debe aplicar ITC se corresponden con los niveles básico y medio.

Décimo octavo.- Resolución del Encargo.

1. Cuando así lo acordare expresamente la Secretaría General Técnica, podrán ser causas de resolución del encargo las siguientes:

a) Que el encargo entrase en contradicción con las modificaciones de las normas que definen su régimen jurídico siempre que no fuere posible su subsanación mediante la modificación del encargo.

b) El uso y/o cesión de datos obtenidos con ocasión de la ejecución del encargo para fines no autorizados por las Direcciones Generales a las que se presta el servicio.

c) La realización de actuaciones constitutivas de responsabilidad contable por causas imputables directamente al ITC o al personal a su servicio.

2. La resolución del encargo no generará derecho indemnizatorio alguno a favor del ITC.

3. La resolución del encargo obliga al ITC a devolver a la Consejería de Derechos Sociales, Igualdad, Diversidad y Juventud los datos de carácter personal cedidos con ocasión de la ejecución del encargo, así como los documentos de notificación de los que sea depositaria. Dicha devolución se hará en la forma y plazos que indique la Secretaría General Técnica.

Décimo noveno.- Eficacia y plazo de vigencia.

1. El presente encargo tendrá efectos una vez notificado al ITC y su realización queda sujeta a la condición de que exista crédito adecuado y suficiente para su financiación.

2. Su plazo de duración será hasta el 31 de diciembre de 2021. Finalizado el plazo de duración inicial el encargo podrá ser prorrogado por plazos anuales sucesivos hasta un máximo de dos prórrogas, siempre que exista crédito adecuado y suficiente para su financiación.

3. Finalizada la vigencia del encargo y no acordándose la continuación del mismo mediante la firma de un nuevo documento, el ITC deberá devolver a la Consejería de Derechos Sociales, Igualdad, Diversidad y Juventud los datos de carácter personal cedidos con ocasión de la ejecución del encargo, así como los documentos de notificación de los que sea depositaria. Dicha devolución se hará en la forma y plazos que indique la Secretaría General Técnica.

Vigésimo.- Jurisdicción.

Contra la formalización de este encargo cabe interponer, con carácter potestativo, el recurso especial en materia de contratación regulado en el artículo 44 de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, ante el Tribunal Administrativo de Contratos Públicos de la Comunidad Autónoma de Canarias en el plazo de quince (15) días hábiles a contar desde el día siguiente a su publicación en la plataforma de contratación del sector público, o bien directamente recurso contencioso-administrativo ante la Sala competente de lo Contencioso-Administrativo del Tribunal Superior de Justicia de Canarias en el plazo de dos meses.

Vigésimo primero.- Publicación.

Tras la notificación, se publicará en el Boletín Oficial de Canarias.

Por otra parte, en cumplimiento de lo establecido la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno, y en la Ley 12/2014, de 26 de diciembre, de transparencia y de acceso a la información pública de Canarias, este encargo a medio propio deberá publicarse en el Portal del Transparencia de la Comunidad Autónoma de Canarias, con indicación de su objeto, presupuesto y obligaciones económicas.

El ITC, por su parte, estará obligado a facilitar el acceso a la información cuando se le solicite de conformidad con la Ley 19/2013, de 9 de diciembre, y la Ley 12/2014, de 26 de diciembre.

Vigésimo segundo.- Notifíquese el presente encargo al Instituto Tecnológico de Canarias, S.A. (ITC), haciéndole saber que dicha comunicación supondrá la orden de inicio de las actividades comprendidas en el mismo y vendrá obligado a su ejecución en los términos previstos.

Santa Cruz de Tenerife, a 16 de febrero de 2021.

LA CONSEJERA DE DERECHOS SOCIALES,

IGUALDAD, DIVERSIDAD Y JUVENTUD,

Noemí Santana Perera.

A N E X O I

ENCARGO DE TRATAMIENTO DE DATOS PERSONALES

Primera.- Objeto del encargo.

Es objeto del presente encargo de tratamiento, el tratamiento de datos personales por el ITC, que tendrá la condición de encargado del tratamiento realizado por cuenta del responsable, derivado de la ejecución de las actuaciones objeto del encargo a medio propio personificado de referencia.

Los responsables de los datos se concretan en:

- Dirección General de Derechos Sociales e Inmigración.

Resolución del Director General de Derechos Sociales e Inmigración por la que se registra la actividad de tratamiento de datos personales relativa a subvenciones y aportaciones dinerarias que gestiona este centro directivo, de fecha 16 de diciembre de 2020.

- Dirección General de Dependencia y Discapacidad.

Resolución del Director General de Dependencia y Discapacidad por la que se registra la actividad de tratamiento de datos personales relativa a subvenciones y aportaciones dinerarias que gestiona este centro directivo, de fecha 25 de enero de 2021.

- Dirección General de Protección a la Infancia y la Familia:

Resolución de la Directora General de Protección a la Infancia y la Familia por la que se registran las actividades de tratamiento de datos personales que gestiona este centro directivo en relación a procedimiento de concesión de subvenciones y aportaciones dinerarias, Resolución LRS2018MM01641-09/08/2018, en concreto, la actividad de "Procedimientos de convocatorias de concurrencia competitiva en materia de subvenciones en el ámbito de infancia y familia".

Así como las diversas actividades contempladas en la Resolución de la Directora General de Protección a la Infancia y la Familia por la que se registran las actividades de tratamiento de datos personales que gestiona este centro directivo, Resolución LRS2018MM01641-09/08/2018.

- Dirección General de Juventud:

Resolución de la Dirección General de Juventud por la que se registran actividades de tratamiento de datos personales relativos a "Gestión de Ayudas y Subvenciones", de fecha 5 de octubre de 2018.

- Dirección General de Diversidad:

Resolución del Director General de Diversidad por la que se registra la actividad de tratamiento de datos personales relativa a subvenciones y aportaciones dinerarias que gestiona este centro directivo, de fecha 18 de diciembre de 2020.

- Dirección General de Salud Pública:

Resolución del Director General de Salud Pública por la que se registran las actividades de tratamiento de datos personales, de fecha 22 de marzo de 2019.

- El Instituto Canario de Igualdad:

Resolución de la Directora del Instituto Canario de Igualdad por la que se registran las actividades de tratamiento de datos personales relativas a expedientes competencia del Instituto Canario de Igualdad (ICI), así como a actuaciones relativas a cuestiones relacionadas con el derecho de igualdad de trato y de oportunidades entre mujeres y hombres en todos los ámbitos de la vida, de fecha 24 de mayo de 2018.

Segunda.- Finalidad.

Este tratamiento de datos personales tiene por finalidad la adecuada ejecución de las actuaciones objeto del encargo a medio propio personificado, sin que pueda tratar los datos personales para una finalidad distinta.

Si el Encargado del tratamiento destinase los datos a otra finalidad, los comunicara o los utilizara incumpliendo la normativa vigente y/o lo previsto en el presente encargo de tratamiento, será considerado también como Responsable del tratamiento, respondiendo personalmente de las infracciones en que hubiera incurrido.

Tercera.- Duración.

Este encargo de tratamiento tendrá la misma duración que el encargo a medio propio personificado.

Cuarta.- Destino de los datos al término de la duración del encargo.

Al finalizar el encargo, el Encargado del tratamiento, en un plazo máximo de cinco (5) días hábiles, debe devolver al responsable los datos personales, tanto los que fueron automatizados como los que no. La devolución debe comportar el borrado total de los datos personales, tanto los que fueran tratados de forma automatizada, borrándolos de los equipos utilizados para ello, como los que fueron tratados de forma no automatizada, destruyendo diligentemente las copias en soporte papel, en su caso.

El Encargado del tratamiento podrá conservar una copia de los datos personales, los cuales debe mantener bloqueados, para atender posibles responsabilidades administrativas o jurisdiccionales, por el plazo legalmente establecido para ello. Finalizado este, deberá proceder a la destrucción y supresión de tales datos personales.

Quinta.- Tipología de datos personales.

Los datos personales susceptibles de tratamiento por el Encargado, en función del centro directivo responsable, son:

- Dirección General de Derechos Sociales e Inmigración.

- Datos de carácter identificativo: DNI, nombre y apellido, dirección, teléfono, correo electrónico, firma, firma electrónica y cualquier otro sistema de firma e identificación admitido por las Administraciones Públicas.

- Datos tributarios, económicos o financieros.

- Datos laborales y de Seguridad Social.

- Datos específicos de los expedientes de los procedimientos administrativos gestionados en este Centro Directivo.

- Dirección General de Dependencia y Discapacidad.

- Datos de carácter identificativo: DNI o documento asimilado (documento acreditativo de personalidad del solicitante), nombre y apellidos, poder representación para actuar en nombre y representación de la personal jurídica solicitante, Número Identificación Fiscal, domicilio a efectos de notificaciones, teléfono, correo electrónico, firma, firma electrónica y cualquier otro sistema de firma y de identificación admitido por las Administraciones Públicas.

- Datos tributarios, económicos o financieros.

- Datos laborales y de Seguridad Social: Estatutos debidamente legalizados, Documento acreditativo de la inscripción de la entidad en el registro administrativo correspondiente, cuando dicha inscripción sea preceptiva. En su caso, información sobre la inscripción en el Registro Regional de Entidades Colaboradoras en la prestación de servicios sociales, a efectos de ser incorporada, de oficio, por el Departamento a su solicitud.

Certificación en la que conste la identificación de los directivos de la entidad, miembros de su patronato/órgano directivo, fecha nombramiento y modo de elección.

- Datos específicos de los expedientes de los procedimientos administrativos gestionados en este Centro Directivo.

- Dirección General de Protección a la Infancia y la Familia:

- Datos de carácter identificativo: DNI, nombre y apellidos, dirección, teléfono, correo electrónico, firma, firma electrónica y cualquier otro sistema de firma y de identificación admitido por las Administraciones Públicas.

- Datos tributarios, económicos, patrimoniales, financieros y de seguros.

- Datos académicos y profesionales. Datos relativos al empleo. Datos laborales y de Seguridad Social.

- Datos de menores, datos de empleo, datos de circunstancias familiares, datos de familias numerosas, datos de gestión de recursos humanos, nacionalidad.

- Datos de circunstancias sociales.

- Datos especialmente protegidos: datos de salud, datos relativos al sexo, origen racial o étnico, religión o creencias, orientación o identidad sexual, edad, discapacidad.

- Cualquier otra condición o circunstancia personal o social.

- Datos específicos de los expedientes de los distintos procedimientos administrativos, datos relativos a infracciones administrativas.

- Dirección General de Juventud:

- Datos identificativos y de contacto: nombre, apellidos, DNI/NIE, dirección, teléfono, correo electrónico, firma, firma electrónica y cualquier otro sistema de firma y de indentificación admitido por las Administraciones Públicas.

- Características personales: fecha, lugar de nacimiento y sexo.

- Empleo y formación: datos académicos y profesionales, titulaciones, formación y experiencia profesional.

- Dirección General de Diversidad:

- Datos de carácter identificativo: DNI, nombre/nombre sentido y apellidos, dirección, teléfono, correo electrónico, firma, firma electrónica y cualquier otro sistema de firma y de identificación admitido por las Administraciones Públicas.

- Datos tributarios, económicos o financieros.

- Datos laborales y de Seguridad Social.

- Datos específicos de los expedientes de los procedimientos administrativos gestionados en este centro directivo.

- Dirección General de Salud Pública:

- Datos de carácter identificativo: nombre y apellidos, dirección, teléfono, DNI/NIF.

- Datos de detalle de empleo: tipo de contrato, puesto laboral, cargo.

- Datos académicos y profesionales: formación, titulaciones, experiencia profesional.

- Datos relativos a la comisión de infracciones administrativas (infracciones sanitarias de establecimientos públicos).

- Instituto Canario de Igualdad:

- Datos especialmente protegidos: afiliación sindical -a los exclusivos efectos del pago de cuotas sindicales, en su caso; salud; infracciones administrativas, discapacidad, vulnerabilidad, datos de violencia de genero y malos tratos, datos de menores, y datos relativos a procedimientos judiciales e historiales clínicos.

- Datos de carácter identificativo: DNI/NIE, dirección, Nº Seguridad Social/Mutualidad, Teléfono, Nº Registro de Personal, Nombre y Apellidos, Huella dactilar, Marcas físicas, Firma y Firma electrónica, Tarjeta Sanitaria.

- Características personales.

- Circunstancias sociales.

- Datos académicos y profesionales: titulaciones, formación y experiencia profesional.

- Detalles del empleo y carrera administrativa.

- Datos económicos, financieros y de seguro.

- Otro tipo de datos.

Sexta.- Personas afectadas.

Los colectivos de las personas físicas afectadas cuyos datos pueden ser tratados, en función del centro directivo responsable, son:

- Dirección General de Derechos Sociales e Inmigración.

Colectivos cuyos datos son tratados: representantes de entidades sin ánimo de lucro involucradas en los expedientes. El personal de dichas entidades adscrito a la ejecución de las actuaciones objeto de subvención o aportación dineraria.

Procedencia de los datos: las propias entidades involucradas en los expedientes.

- Dirección General de Dependencia y Discapacidad.

Colectivos cuyos datos son tratados: miembros y directivos de las Entidades sin ánimo de lucro involucradas en los expedientes. El personal de dichas entidades adscrito a la ejecución de las actuaciones objeto de subvención.

Procedencia de los datos: las propias entidades involucradas en los expedientes.

- Dirección General de Protección a la Infancia y la Familia:

Son personas afectadas por los fines de las actuaciones objeto de encargo a medio propio personificado los miembros de las Entidades Colaboradoras en atención integral a los menores, principalmente la persona representante, las personas directivas de la entidad y los miembros de su patronato u órgano directivo.

- Dirección General de Juventud:

Personas físicas y representantes de las personas jurídicas, que sean solicitantes, beneficiarias o destinatarias de las ayudas y subvenciones.

- Dirección General de Diversidad:

Colectivos cuyos datos son tratados: representantes de las Entidades sin ánimo de lucro involucradas en los expedientes. El personal de dichas entidades adscrito a la ejecución de las actuaciones objeto de subvención o aportación dineraria.

Procedencia de los datos: las propias entidades involucradas en los expedientes.

- Dirección General de Salud Pública:

- Personas incursas en procedimientos sancionadores por infracción de la normativa sanitaria.

- Representantes legales.

- Personas de contacto/responsables/empleados de entidades u organismos autorizados.

- Empleados públicos/privados.

- Instituto Canario de Igualdad:

Descripción: personas físicas o jurídicas, administraciones públicas, personas solicitantes o beneficiarias.

Procedencia: la persona física interesada o su representación legal, otras personas físicas, entidades privadas y administraciones públicas.

Séptima.- Personas autorizadas para el tratamiento de los datos personales.

El Encargado del tratamiento garantizará que los datos personales se traten únicamente por el personal que, dentro de aquel adscrito a la ejecución del encargo a medio propio personificado, haya autorizado y declarado para este cometido.

Si se produjeran bajas, sustituciones o incorporaciones respecto al personal declarado, el Encargado del tratamiento deberá entregar al Responsable del tratamiento, en el plazo máximo de siete (7) días naturales, una nueva declaración responsable comunicando esta circunstancia, así como la identificación, funciones y lugar de trabajo de los trabajadores a quienes afecte, y señalando, en el caso de incorporaciones, que los nuevos trabajadores han suscrito un compromiso de confidencialidad.

Tanto el Encargado como el personal que trate los datos están sujetos a un deber de confidencialidad, que permanecerá incluso tras la finalización del encargo.

El Encargado deberá informar convenientemente a su personal de las medidas de seguridad que han de adoptar para la protección de los datos, y les garantizará la formación necesaria en la materia.

Octava.- Tratamiento de datos personales en el territorio de la Unión Europea.

Los sistemas de información y comunicaciones para la recogida, almacenamiento, procesamiento y gestión de los tratamientos de datos personales deben ubicarse y prestarse dentro del territorio de la Unión Europea.

Estos datos no podrán ser objeto de transferencia a un tercer país u organización internacional, con excepción de los que hayan sido objeto de una decisión de adecuación de la Comisión Europea o cuando así lo exija el cumplimiento de las obligaciones internacionales asumidas por el Reino de España.

Novena.- Ejercicio de derechos en materia de protección de datos.

En el supuesto de que una persona afectada ejerza sus derechos (acceso, rectificación, supresión, limitación del tratamiento, portabilidad de datos, oposición y a no ser objeto de decisiones individualizadas automatizadas); el Encargado del tratamiento debe remitir la documentación, a través del Registro Oficial correspondiente, al Responsable del tratamiento, en un plazo máximo de dos (2) días hábiles.

El Responsable del tratamiento podrá requerir al Encargado del tratamiento para que, en un plazo máximo de dos días hábiles, aporte documentación adicional para contestar dicha solicitud.

Décima.- Deber de cooperación del Encargado del tratamiento.

El Encargado del tratamiento debe:

* Facilitar el acceso a los datos personales y a las operaciones de tratamiento del Delegado de Protección de Datos designado por el Responsable del tratamiento.

* Cooperar con la autoridad de control.

* Colaborar con el Responsable del tratamiento a solicitud de este.

* Poner a su disposición cuanta información o documentación le sea requerida para dar cumplimiento al marco normativo en materia de protección de datos.

* Comunicar de forma inmediata si advierte que una instrucción es susceptible de infringir dicho marco normativo.

Undécima.- Medidas de seguridad del tratamiento de datos personales.

El Encargado del tratamiento debe aplicar las medidas técnicas y organizativas apropiadas para garantizar que las operaciones de tratamiento de datos personales se realicen en un nivel de seguridad adecuado. Como mínimo habrán de contemplar:

- La seudonimización1 (Es decir, el tratamiento de datos personales de forma que no puedan atribuirse a una persona afectada sin utilizar información adicional) y el cifrado de datos personales2 (Esto es, la conversión de los datos personales en ilegibles).

- La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

- La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico3 (Esto es que debe impedirse el acceso a los datos personales a personas no autorizadas, para ello deberán adoptarse medidas tales como establecer perfiles individuales de acceso al personal autorizado con derechos de administración, establecer contraseñas robustas y seguras en el uso de equipos informáticos usados para el procesamiento y almacenamiento de los datos personales, así como el uso de cortafuegos y cualquier otra medida de seguridad contra ataques cibernéticos. Además, debe llevar a cabo la actualización adecuada de los equipos informáticos, disponer de sistemas antivirus que inhiba malware entre otros, sistemas de detección de intrusiones de red; realizar copias de seguridad periódicamente que se almacenará en lugar distinto a aquel en el que se encuentre la información en origen, a los fines de que en caso de pérdida, puedan recuperarse los datos personales, proceder al almacenamiento seguro tanto de los automatizados como los no automatizados, y en el caso de que fueran destruidos, asegurar que esta sea absoluta, utilizando los medios pertinentes para ello).

- El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento4 (Es decir, las medidas técnicas adoptadas deben ser revisadas de forma periódica, lo cual incluye los análisis periódicos de seguridad de los equipos informáticos y sus servidores).

Son aplicables:

- Respecto al tratamiento no automatizado de los datos, las medidas de seguridad previstas en Capítulo IV del Título VIII del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

- Respecto al tratamiento automatizado de los datos, las medidas de seguridad del Anexo II del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

- Si el Encargado se encontrara autorizado, en su caso, para la utilización de los recursos informáticos, telefónicos o redes de comunicación de la Administración Pública de la Comunidad Autónoma de Canarias, resultaría además de aplicación el Acuerdo del Gobierno de Canarias de 25 de junio de 2018, que aprueba las instrucciones que conforman la normativa de seguridad en el uso de los recursos informáticos, telefónicos y de redes de comunicación de la Administración Pública de la Comunidad Autónoma de Canarias (BOC nº 127, de 3.7.18).

Duodécima.- Notificación de violaciones de seguridad de los datos personales.

El Encargado del tratamiento notificará al Responsable del tratamiento, de manera fehaciente, cada violación de seguridad5 (Entendida como la pérdida, destrucción o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados de otra forma, o la comunicación o acceso no autorizado a dichos datos) de los datos personales, con carácter inmediato y, de ser posible, en un plazo de 48 horas desde que tenga constancia.

La notificación debe comprender como mínimo, la descripción de:

- La naturaleza de la violación de la seguridad de los datos personales; el número aproximado de personas afectadas, cuando sea posible; y las categorías y el número aproximado de registros de datos personales afectados.

- Las posibles consecuencias de la vulneración de la seguridad de los datos personales.

- Las medidas correctivas adoptadas para poner remedio a la violación de seguridad, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Decimotercera.- Subencargados del tratamiento.

El Encargado del tratamiento debe contar con la autorización expresa y por escrito del Responsable del tratamiento para acudir a la subcontratación, así como para incorporar o sustituir a los subcontratistas (Subencargados del tratamiento).

Son requisitos imprescindibles para otorgar dicha autorización, además de los establecidos en la normativa aplicable por razón de la materia, los siguientes:

- Que el tratamiento de datos personales por parte del Subencargado se ajuste a la legalidad vigente y a las instrucciones que dicte el Responsable del tratamiento.

- Que el Encargado del tratamiento y el Subencargado formalicen un contrato u otro acto jurídico de encargo de tratamiento de datos en los términos previstos en el presente anexo, que será puesto a disposición del Responsable del tratamiento.

Corresponde al Encargado del tratamiento inicial formular dicho contrato o acto jurídico, de tal forma que el Subencargado del tratamiento quede sujeto a las mismas condiciones que él, en lo referente al adecuado tratamiento de los datos personales.

En el caso de incumplimiento por parte del Subencargado del tratamiento, el Encargado del tratamiento inicial seguirá siendo plenamente responsable del cumplimiento de las obligaciones correspondientes ante el Responsable del tratamiento.

Decimocuarta.- Modificaciones del presente anexo.

Si, como consecuencia de la ejecución del encargo de tratamiento, y siempre que se respetase la normativa aplicable, resultara necesario modificar el presente anexo, el Encargado del tratamiento lo requerirá razonadamente, especificando los cambios que solicita. En caso de que el Responsable del tratamiento manifestara su conformidad, este instará la modificación de la presente Orden, para la emisión de un anexo actualizado que recoja fielmente el detalle del tratamiento.

El Responsable del tratamiento también puede instar por propia iniciativa la modificación del presente anexo de la Orden, previa audiencia al Encargado del tratamiento.



© Gobierno de Canarias