BOC - 2022/119. Jueves 16 de junio de 2022 - 2019

III. Otras Resoluciones

Consejería de Sanidad

2019 - Servicio Canario de la Salud.- Resolución de 3 de junio de 2022, del Secretario General, por la que se dispone la publicación del Convenio de Cooperación entre el Servicio Canario de la Salud (SCS) y Quirón Prevención (QP) para la utilización de los Centros de Salud acreditados por los residentes de Medicina y Enfermería del Trabajo DEQP en Canarias y que los residentes de Medicina y Enfermería del Trabajo adscritos al SCS puedan rotar por QP..

Descargar en formato pdf

El artículo 20 del Decreto 11/2019, de 11 de febrero, por el que se regula la actividad convencional y se crean y regulan el Registro General Electrónico de Convenios del Sector Público de la Comunidad Autónoma y el Registro Electrónico de Órganos de Cooperación de la Administración Pública de la Comunidad Autónoma de Canarias, establece que los órganos u organismos del Sector Público de la Comunidad Autónoma de Canarias, a través de sus secretarías generales técnicas u órgano equivalente, deberán publicar los convenios en el Boletín Oficial de Canarias dentro de los veinte días siguientes a su firma.

De conformidad con la normativa citada y con la finalidad de facilitar al público conocimiento de los compromisos asumidos en el ámbito de la actividad convencional del sector público autonómico,

RESUELVO:

Ordenar la publicación en el Boletín Oficial de Canarias del Convenio de Cooperación entre el Servicio Canario de la Salud (SCS) y Quirón Prevención (QP), para la utilización de los Centros de Salud acreditados por los residentes de Medicina y Enfermería del trabajo DEQP en Canarias y que los residentes de Medicina y Enfermería del Trabajo adscritos al SCS puedan rotar por QP.

Las Palmas de Gran Canaria, a 3 de junio de 2022.- El Secretario General, Abraham Luis Cárdenes González.

ANEXO

CONVENIO DE COOPERACIÓN ENTRE EL SERVICIO CANARIO DE LA SALUD (SCS) Y QUIRÓN PREVENCIÓN (QP), PARA LA UTILIZACIÓN DE LOS CENTROS DE SALUD ACREDITADOS POR LOS RESIDENTES DE MEDICINA Y ENFERMERÍA DEL TRABAJO DEQP EN CANARIAS Y QUE LOS RESIDENTES DE MEDICINA Y ENFERMERÍA DEL TRABAJO ADSCRITOS AL SCS PUEDAN ROTAR POR QP.

REUNIDOS

De una parte, el Servicio Canario de la Salud, representado por D. Blas Gabriel Trujillo Oramas, Consejero de Sanidad del Gobierno de Canarias en virtud de nombramiento efectuado por el Decreto 53/2020, de 19 de junio, del Presidente (BOC nº 123, de 20.1.2020), en calidad de Presidente del Consejo de Dirección del Servicio Canario de la Salud, actuando en nombre y representación del mismo, en virtud de las facultades conferidas en los artículos 29.1.a) y k) de la Ley 14/1990, de 26 de julio, de Régimen Jurídico de las Administraciones Públicas de Canarias, y en los artículos 56.1.a) de la Ley 11/1994, de 26 de julio, de Ordenación Sanitaria de Canarias, y 7 del Decreto 32/1995, de 24 de febrero, por el que se aprueba el Reglamento de Organización y Funcionamiento del Servicio Canario de la Salud.

De otra parte, la empresa privada Quirón Prevención, provista de CIF nº B64076482 y domicilio social en la calle Agustín de Betancourt, 25, de la Ciudad de Madrid, y en su representación D. Emilio Conde Herce, mayor de edad, provisto de DNI nº  ***3558**, en su calidad de apoderado, según se acredita en la escritura de poder otorgada a su favor el pasado 6 noviembre de 2017, ante el Ilustre Notario de Madrid, D. Luis Enrique García Labajo, bajo el nº de protocolo 2.125.

Ambas partes intervienen en nombre y representación de las instituciones señaladas, reconociéndose capacidad jurídica suficiente para suscribir el presente Convenio,

EXPONEN

I.- Que la Dirección del Servicio Canario de la Salud cuenta con la Unidad Docente Multiprofesional de Salud Laboral de carácter autonómico que dispone de los dispositivos acreditados del Complejo Hospitalario Universitario Insular Materno Infantil, el Hospital Universitario de Gran Canaria Dr. Negrín, el Hospital Universitario Nuestra Señora de la Candelaria y el Hospital Universitario de Canarias y, con numerosos Centros de Salud acreditados en la Gerencia de Atención Primaria de Gran Canaria y de Tenerife para la formación en Medicina y Enfermería de Salud Laboral.

II.- Que para la formación de especialistas tanto de Médicos/as como de Enfermeros/as del Trabajo, resulta imprescindible incluir la formación en Servicios de Prevención tal y como recogen los programas formativos de dichas especialidades.

Dichos programas se contemplan actualmente, entre otras, en las siguientes Órdenes ministeriales:

• Orden SCO/1526/2005, de 5 de mayo, por la que se aprueba y publica el programa formativo de la especialidad de Medicina del Trabajo.

• Orden SAS/1348/2009, de 6 de mayo, por la que se aprueba y publica el programa formativo de la especialidad de Enfermería del Trabajo.

III.- Que Quirón Prevención está tramitando la acreditación para formar Médicos y Enfermeros del Trabajo en la Comunidad Autónoma de Canarias dependiente de una Comisión de Docencia de Canarias disponiendo de dispositivos Hospitalarios y de Prevención del grupo Quirón, pero no disponen de dispositivos acreditados de Atención Primaria.

IV.- Que de conformidad con lo dispuesto en el artículo 104 de la Ley 14/1986, de 25 de abril, General de Sanidad, toda la estructura asistencial del sistema sanitario debe estar en disposición de ser utilizada para la docencia pregraduada, postgraduada y continuada para los profesionales.

V.- Que es interés público perseguido por ambas partes al formalizar el presente Convenio, el mantenimiento y mejora de la calidad docente de los programas impartidos junto con el aprovechamiento de los recursos sanitarios, para su óptima utilización en la formación de los residentes especialistas, tanto de Medicina como de Enfermería, cuyo perfil demanda la sociedad actual y en número suficiente para satisfacer las necesidades para el Sistema Sanitario.

VI.- Que, de conformidad con lo dispuesto en la letra d) del apartado 1 del artículo 6 del Decreto 11/2019, de 11 de febrero, por el que se regula la actividad convencional y se crean y regulan el Registro General Electrónico de Convenios del Sector Público de la Comunidad Autónoma y el Registro Electrónico de Órganos de Cooperación de la Administración Pública de la Comunidad Autónoma de Canarias, el instrumento previsto para formalizar las relaciones de cooperación entre ambas partes es el convenio de cooperación.

Y en virtud de las atribuciones conferidas, ambas partes acuerdan suscribir el presente Convenio de Cooperación de acuerdo con las siguientes

CLÁUSULAS

Primera.- Objeto.

El presente Convenio tiene por objeto delimitar la cooperación de Quirón Prevención y el Servicio Canario de la Salud para:

1.- Posibilitar la rotación de los residentes de Quirón Prevención por los centros acreditados de Atención Primaria del Servicio Canario de la Salud para que los mismos puedan adquirir las competencias en Atención Primaria tal y como marcan los programas formativos de ambas especialidades:

• Medicina: 5.2.5 Rotaciones por atención primaria, (3 meses): en Centros de Salud acreditados para la formación en la especialidad de Medicina Familiar y Comunitaria. Durante estos tres meses, el residente deberá obtener una formación básica en la faceta asistencial de esta especialidad (respecto al individuo y la comunidad) y, conocer el Centro de Salud desde el punto de vista de su funcionamiento y gestión.

• Enfermería: 5.2.2 Formación en atención primaria (1 mes): durante este periodo la formación del residente se centrará, fundamentalmente, en la adquisición de las competencias que se relacionan en los apartados 4.3.1 y 4.3.5 del programa de la especialidad de enfermería del trabajo, participando en los programas de salud y de educación para la salud en los que colaboren los enfermeros que presten servicios en los dispositivos de atención primaria integrados en la unidad docente. Las rotaciones que se indican en este apartado, se podrán realizar en centros de Atención Primaria en los que se impartan de forma continuada programas de salud y de educación para la salud en los que colaboren enfermeros especialistas.

2.- Posibilitar la rotación de los residentes de enfermería y medicina del trabajo del Servicio Canario de la Salud por los centros pertenecientes a la red Quirón Prevención según disponibilidad, en el periodo de tiempo en que se concrete la rotación, con el fin de adquirir competencias imprescindibles en la participación del residente en las actividades de todo tipo que se lleven a cabo en los servicios de prevención, e implicará la adquisición interrelacionada de las competencias que integran el perfil profesional del Enfermero y del Médico Especialista en Enfermería y Medicina del Trabajo.

Las previsiones del presente Convenio se entienden, sin perjuicio de lo que dispone la normativa que en el ámbito autonómico y estatal regula la formación sanitaria especializada, de acuerdo a lo previsto por el Real Decreto 183/2008, de 8 de febrero, por el que se determinan y clasifican las especialidades en Ciencias de la Salud y se desarrollan determinados aspectos del sistema de formación sanitaria especializada, así como, de las disposiciones que se dicten en desarrollo de lo previsto en la Ley 44/2003, de 21 de noviembre, de ordenación de las profesiones sanitarias.

Segunda.- Ámbito territorial.

El presente Convenio se suscribe para el ámbito de la Comunidad Autónoma de Canarias.

Tercera.- Actuaciones previstas por cada una de las partes.

1.- Corresponderá a ambas entidades adoptar las medidas de organización necesarias para que los residentes de las Unidades Docentes Multiprofesionales de Salud Laboral, lleven a cabo las actividades de formación necesarias incluidas en los programas oficiales de dichas especialidades.

La duración y características de estas acciones de formación se encuentran recogidas en el Anexo I de este Convenio y se corresponden con los programas formativos de las especialidades.

Si durante la ejecución de este Convenio se aprobaran nuevos programas formativos de las especialidades, serán de aplicación las disposiciones que en los mismos se establezcan.

2.- Ambas entidades designarán colaboradores para los residentes de Medicina o Enfermería del Trabajo.

Cuarta.- Compromisos de Quirón Prevención.

Con base en las necesidades que surgen de los programas oficiales de las especialidades, en el marco de lo establecido por el Ministerio de Sanidad en los programas de formación de la especialidad de que se trate, Quirón Prevención procederá, dentro de su disponibilidad, a:

• Reservar las plazas necesarias para los residentes del Servicio Canario de la Salud a fin de que estos puedan realizar la etapa formativa de acuerdo con lo previsto en los programas oficiales de la especialidad.

• Facilitar el acceso de los residentes designados por la Unidad Docente Multiprofesional de Salud Laboral de Canarias a los centros de Quirón Prevención acreditados.

• Evaluar las rotaciones según las directrices básicas que debe contener los documentos acreditativos de las evaluaciones de los especialistas en formación publicados por la Dirección General de Ordenación Profesional de Ministerio de Sanidad Consumo y Bienestar Social.

• Cooperar en todo lo posible en la formación de residentes que designe el Servicio Canario de la Salud.

Quinta.- Compromisos del Servicio Canario de la Salud.

El Servicio Canario de la Salud, en el marco de la normativa citada en la cláusula anterior, procederá a:

• Facilitar el acceso de los residentes designados por la Unidad Docente Multiprofesional de Quirón Prevención a los Centros de Salud Acreditados.

• Hará cumplir el plan formativo de cada residente en lo que se refiere a los objetivos académicos de las acciones formativas desarrolladas por Quirón Prevención garantizando los niveles de calidad de estas últimas, facilitando la labor de todas las figuras docentes, y llevando a cabo las evaluaciones de los residentes y de las estructuras formativas.

• Se responsabilizará del cumplimiento de las instrucciones que establezca el Servicio Canario de la Salud, así como de su normativa interna, por parte de los residentes designados.

• Se asegurará de que los MIR y EIR designados que vayan a realizar las prácticas, se encuentren debidamente uniformados e identificados durante la realización de las mismas ajustándose a los criterios que, en materia de prevención de riesgos laborales, marque el Servicio Canario de la Salud, aportando, además, cuantos equipos de protección individual sean necesarios en cada momento para su personal, e instruyendo a los profesionales sobre su uso.

• Se mantendrá vigente el correspondiente seguro de responsabilidad civil durante todo el periodo de tiempo que dure la presente colaboración, que cubrirá en cuantía suficiente todos los posibles daños y perjuicios causados durante el desarrollo de la formación en sus instalaciones.

Sexta.- Relación laboral y posibles obligaciones con la Seguridad Social.

Los residentes, para el ejercicio de las acciones de formación señaladas en el presente Convenio, se regirán por lo dispuesto en el Real Decreto 1146/2006, de 6 de octubre, por el que se regula la relación laboral especial de residencia para la formación de especialistas en Ciencias de la Salud, cotizando en tal concepto en el régimen correspondiente de la Seguridad Social.

Séptima.- Financiación.

Las actividades que se derivan de este Convenio no suponen incremento del gasto público para ninguna de las partes, ni darán lugar a derechos u obligaciones de contenido económico para las mismas.

Octava.- Protección de datos de carácter personal, confidencialidad y transparencia.

1. Los datos personales de las personas firmantes del Convenio y de aquellas que intervengan en la correcta ejecución del mismo serán tratados por cada una de las partes con sujeción a lo dispuesto en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD).

La información exigida en el artículo 13 del RGPD y artículo 11 de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, figura en el Anexo II del presente Convenio que ambos declaran haber leído previamente a la firma del mismo.

2.- Respecto a los datos personales de los profesionales en prácticas a los que, para la correcta ejecución del Convenio sea necesario que acceda y trate el personal de Quirón Prevención, esta empresa tendrá la condición de encargado del tratamiento. A tal fin, se formalizará el correspondiente encargo de tratamiento entre la Dirección General de Recursos Humanos del Servicio Canario de la Salud, como responsable y Quirón Prevención como encargado del tratamiento, en los términos del artículo 28 del Reglamento General de Protección de Datos.

3.- Se puede dar la circunstancia que el personal que participe de las actividades formativas pueda tener acceso a datos de carácter personal de terceros, y de los que el Servicio Canario de la Salud y/o Quirón Prevención son Responsables o Encargados del Tratamiento, debiendo en ese caso firmar de forma individual el documento de compromiso de confidencialidad e información sobre protección de datos emitido para tal fin.

El contrato de encargo de tratamiento a formalizar ha sido propuesto por la Dirección General de Recursos Humanos del Servicio Canario de la Salud, órgano responsable del tratamiento de datos relativos a la realización de prácticas en centros sanitarios del Servicio Canario de la Salud y es el que figura como Anexo III.

Novena.- Vigencia y prórroga.

El presente Convenio entrará en vigor en el mismo momento su firma y, en virtud del artículo 49 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, tendrá una duración inicial de cuatro años.

En cualquier momento antes de la finalización del plazo previsto en el párrafo primero, los firmantes del Convenio podrán acordar unánimemente su prórroga por un periodo de hasta cuatro años adicionales o su extinción.

Décima.- Extinción del Convenio y forma de finalizar las actuaciones en curso.

El Convenio se extinguirá por el cumplimiento de las actuaciones que constituyen su objeto o por incurrir en causa de resolución.

Serán causas de resolución del presente Convenio:

1. El transcurso del plazo de vigencia sin haberse acordado su prórroga.

2. El mutuo acuerdo de las partes.

3. El incumplimiento por las partes de los compromisos establecidos en el convenio. Si una de las partes considera que ha existido incumplimiento de alguna de las cláusulas del presente Convenio deberá comunicárselo a la otra parte para que, en el plazo de diez días, contados a partir de la fecha de la comunicación, pueda subsanar el incumplimiento. Si este incumplimiento no fuera subsanado, la parte que hubiere solicitado su subsanación podrá dar por finalizado este Convenio, no realizándose el programa formativo.

4. Por su denuncia.

5. Por el acaecimiento de circunstancias que hagan imposible su cumplimiento.

6. Por decisión judicial declaratoria de la nulidad del Convenio.

7. Por desacreditación de cualquier Unidad Docente por el Ministerio de Sanidad.

8. Por cualquier otra causa legalmente prevista.

El incumplimiento y la resolución del Convenio dará lugar a la liquidación del mismo con el objeto de determinar los compromisos de las partes firmantes. Cuando concurra cualquiera de las causas de resolución, las partes firmantes podrán acordar la continuación de las actuaciones en curso oportunas hasta su finalización o estableciendo un plazo para ello.

Se garantizará en todo caso la continuidad de los periodos formativos de los residentes hasta su finalización.

Undécima.- Comisión Mixta de Seguimiento.

A partir de la firma del presente Convenio se constituirá una Comisión Mixta de Seguimiento del mismo, integrada por representantes designados por las partes firmantes. Será una Comisión paritaria integrada por cuatro miembros, siendo nombrados dos representantes por la Dirección del Servicio Canario de la Salud y dos representantes por Quirón Prevención.

Serán funciones de la citada Comisión:

• Velar por el cumplimiento y el eficaz aprovechamiento de las actividades especificadas en este Convenio.

• Adoptar las medidas necesarias para el uso eficiente de los recursos.

• Resolver cuantas dudas y discrepancias surjan con respecto a la interpretación y aplicación del Convenio.

• Informar sobre el número anual de plazas de formación a ofertar en cada convocatoria.

Esta Comisión de Seguimiento se reunirá en cuantas ocasiones se considere conveniente, de oficio o a instancia de cualquiera de las partes del Convenio.

Todas sus decisiones se adoptarán mediante consenso.

Su funcionamiento, en lo no previsto en esta cláusula, se sujeta a lo dispuesto para los órganos colegiados en la Ley 40/2015, de 1 de octubre, del Régimen Jurídico del Sector Público.

Duodécima.- Régimen jurídico. Modificación.

Este Convenio es de naturaleza interadministrativa, de acuerdo con lo establecido en el artículo 47 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

Se regirá por los preceptos de carácter básico establecidos en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, y lo dispuesto en el Decreto 11/2019, precitado.

Los principios previstos en la legislación estatal en materia de contratos del sector público serán aplicables a los efectos de resolver las dudas y lagunas que pudieran surgir en relación con la interpretación y aplicación del Convenio.

La modificación del presente Convenio necesitará el acuerdo unánime y expreso de las partes.

Decimotercera.- Controversias.

Corresponderá conocer de las discrepancias que no hayan podido resolverse en el seno de la Comisión Mixta de Seguimiento a los juzgados y tribunales de la jurisdicción contencioso-administrativa de la provincia de Las Palmas, de conformidad con la Ley 29/1998, de 13 de julio, reguladora de dicha jurisdicción.

Y así, con base en lo expuesto, ambas partes suscriben el presente documento.- Por la Consejería de Sanidad del Gobierno de Canarias, Blas Gabriel Trujillo Oramas.- Por Quirón Prevención, Emilio Conde Herce.

ANEXO I

• Referencias en los programas de formación de los médicos internos residentes (MIR) a los conocimientos y competencias a adquirir:

▪ Según la Orden SCO/1526/2005, de 5 de mayo, por la que se aprueba y publica el programa formativo de la especialidad de Medicina del Trabajo en su punto 5.2.5 Rotaciones por atención primaria, (3 meses): en Centros de Salud acreditados para la formación en la especialidad de Medicina Familiar y Comunitaria. Durante estos tres meses el residente deberá obtener una formación básica en la faceta asistencial de esta especialidad (respecto al individuo y la comunidad) y conocer el Centro de Salud desde el punto de vista de su funcionamiento y gestión.

▪ Riesgos Laborales y otras Unidades/Servicios/Institutos, relacionados con la Salud de los Trabajadores. La formación en esta tercera etapa durará, como mínimo, veintidós meses y será de carácter práctico, articulándose a través de rotaciones que deberán adaptarse cronológicamente a las características de la Unidad Docente acreditada, de tal manera que se posibilite la incorporación del Médico Residente en los distintos Servicios de Prevención y unidades/servicios/institutos incorporados a la misma, en los que realizará actividades relacionadas con los diversos campos de acción de la especialidad. El Médico Residente rotará: durante, al menos, veinte meses por Servicios Prevención de Riesgos Laborales. Durante dos meses por Unidades/Servicios/Institutos relacionados con la Salud de los trabajadores. La articulación interna de cada uno de los periodos de rotación estará supeditada al cronograma/plan formativo que establezca el coordinador de la Unidad Docente junto con los tutores teniendo en cuenta las características y entidad de los distintos dispositivos incorporados a la Unidad.

• Referencia en el programa de formación de los enfermeros internos residentes (EIR):

▪ Según la Orden SAS/1348/2009, de 6 de mayo, por la que se aprueba y publica el programa formativo de la especialidad de Enfermería del Trabajo. Lo previsto en el punto 5.2.2 Formación en atención primaria (1 mes). Durante este periodo la formación del residente se centrará, fundamentalmente, en la adquisición de las competencias que se relacionan en los apartados 4.3.1 y 4.3.5 de este programa, participando en los programas de salud y de educación para la salud en los que colaboren los enfermeros que presten servicios en los dispositivos de atención primaria integrados en la unidad docente. Las rotaciones que se indican en este apartado se podrán realizar en centros de Atención Primaria en los que se impartan de forma continuada programas de salud y de educación para la salud en los que colaboren enfermeros especialistas.

▪ 4.3.1 Área preventiva. Al final del periodo formativo se habrá adquirido la capacidad de: a) Incrementar el nivel de salud de la población trabajadora, mediante acciones encaminadas a la promoción de la salud, prevención de riesgos derivados del trabajo, protección de la salud, y formación de los trabajadores. b) Detectar precozmente los factores de riesgo derivados del trabajo, así como cualquier alteración que pueda presentarse en la población trabajadora tanto sanos como enfermos, llevando a cabo las actividades necesarias para el control y seguimiento de los mismos, profundizando en la población especialmente sensible. c) Promover la participación activa del trabajador en medidas de protección frente a los riesgos a los que están expuestos en su trabajo, fomentando la responsabilidad laboral en materia de salud y seguridad, promoviendo la participación de la población trabajadora en planes de emergencia. d) Colaborar, participar, y en su caso dirigir las actividades de planificación y dirección relativas a la implantación de los planes de emergencia. e) Realizar campañas de promoción de la salud y fomentar una cultura de salud en el ámbito de su competencia. f) Asesorar a los órganos de dirección de las empresas e instituciones sobre los riesgos y la repercusión de las condiciones de trabajo sobre la salud de los trabajadores. g) Interactuar con los distintos agentes sociales: organizaciones sindicales y sociedades científicas para el desarrollo de más recursos y nuevas iniciativas para la mejora de la salud y la seguridad de los trabajadores.

ANEXO II

Principio de transparencia
Información sobre protección de datos personales

(artículo 13 del RGPD y artículo 11 de la Ley Orgánica 3/2018, de 5 de diciembre,
de Protección de Datos Personales y garantía de los derechos digitales)

a) Sobre el tratamiento de datos personales de las personas firmantes del Convenio:

El Servicio Canario de la Salud facilita la siguiente información:

Tratamiento: Gestión de Expedientes Varios del Servicio de Normativa y Estudios.

Responsable: Secretario General del Servicio Canario de la Salud.

Finalidades: tramitación del Convenio entre el Servicio Canario de la Salud y QP para la formación de residentes.

Derechos de las personas interesadas: puede ejercer sus derechos de acceso, rectificación y supresión de datos, así como otros derechos, tal y como se recoge en la información adicional.

Información adicional: https://www.gobiernodecanarias.org/cmsgobcan/export/sites/apjs/galerias/ficheros/tratamientos/1.-2019_02_25.-Resolucion-registro-SG_paralafirma.pdf

Delegado de Protección de Datos: Secretaría General del Servicio Canario de la Salud.

Contacto: dpd.scs@gobiernodecanarias.org

Quirón Prevención facilita la siguiente información:

Responsable del tratamiento: Quirón Prevención.

Finalidad: los datos serán utilizados para la ejecución del contrato/convenio y para el cumplimiento de las diversas obligaciones legales derivadas del mismo.

Legitimación: ejecución de un contrato y consentimiento del interesado.

Destinatarios: se realizarán cesiones a terceras entidades y organismos obligados por Ley cuando resulte indispensable para el mantenimiento del convenio.

Derechos: pueden ejercer sus derechos de acceso, rectificación, cancelación y oposición, portabilidad y limitación u oposición o revocar el consentimiento prestado, aportando cara anterior de documento identificativo DNI/NIE enviando solicitud a la dirección de correo electrónico protecciondedatos@quironprevencion.com o mediante correo postal a la dirección calle Agustín de Betancourt, nº 25, 28003-Madrid, referencia Protección de Datos.

Información adicional: puede consultar la información adicional y detallada sobre protección de datos en la política de privacidad de nuestra web https://www.quironprevencion.com/es/politica-privacidad/politica-privacidad-informacion-adicional en el apartado persona de contacto de proveedores.

ANEXO III

Encargo de tratamiento de datos personales del SCS a la entidad Quirón Prevención

(artículo 28 RGPD)

I. Objeto del encargo del tratamiento.

Mediante las presentes cláusulas se habilita a la entidad Quirón Prevención, con CIF nº B64076482 y domicilio social en calle Agustín de Betancourt, 25, Ciudad de Madrid, encargada del tratamiento, para tratar por cuenta del Servicio Canario de la Salud, responsable del tratamiento, los datos personales necesarios para prestar el servicio de formación de residentes en medicina y enfermería del trabajo.

El tratamiento consistirá en:

• Gestión de datos personales (datos identificativos y especialidad que cursan) de los residentes en medicina y enfermería del trabajo del SCS, necesarios para la gestión de la formación.

II. Identificación de la información afectada.

Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, la Dirección General de Recursos Humanos del SCS, responsable del tratamiento, pone a disposición de la entidad Quirón Prevención, encargada del tratamiento, los datos necesarios para la gestión de la formación de los residentes en medicina y enfermería del trabajo del SCS (datos de identificativos y especialidad que cursan) que forman parte de las actividades de tratamiento denominado “Gestión de Recursos Humanos del Servicio Canario de la Salud”.

III. Duración del encargo de tratamiento.

Su vigencia será la misma del convenio al que está vinculado, incluyendo posibles prórrogas.

Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos.

Una vez finalice el presente encargo, el encargado del tratamiento debe devolver a otro encargado que designe el responsable los datos personales y suprimir cualquier copia que esté en su poder.

IV. Obligaciones del encargado del tratamiento.

El encargado del tratamiento y todo su personal se somete a la normativa de protección de datos, en particular al Reglamento General de Protección de Datos, a las normativas internas del Servicio Canario de la Salud en materia de seguridad y protección de datos, así como a las medidas aplicables del Esquema Nacional de Seguridad y, de forma específica, a las condiciones siguientes que se ajustarán al nivel de seguridad correspondiente y en aquellos casos donde proceda por ser aplicable a los servicios prestados:

a. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, solo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.

b. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento.

Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable a través de la cuenta de correo ods.scs@gobiernodecanarias.org, de la Oficina de Seguridad.

c. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga:

1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.

2. Las categorías de tratamientos efectuados por cuenta de cada responsable.

3. Los sistemas de información y comunicación que el encargado utilice para la recogida, almacenamiento, procesamiento y gestión de los datos, así como el correspondiente tratamiento, deberán ubicarse y prestarse dentro del territorio de la Unión Europea.

4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:

a) La seudonimización y el cifrado de datos personales.

b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

d) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

d. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles.

El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.

El encargado puede comunicar datos a terceros de confianza cuando sea necesario para poder cumplir con la finalidad del convenio y/o necesarios para la tramitación de certificaciones y/o habilitaciones cuando así sea necesario.

Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.

e. Subcontratación. No se autoriza al encargado de tratamiento subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado.

f. Mantener el deber de secreto respecto a los datos personales a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.

g. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.

h. Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.

i. Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

j. Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de:

1. Acceso, rectificación, supresión y oposición.

2. Limitación del tratamiento.

3. Portabilidad de datos.

4. A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante el encargado del tratamiento, este debe comunicarlo por correo electrónico a la dirección ods.scs@gobiernodecanarias.org. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.

k. Derecho de información. Corresponde al responsable facilitar el derecho de información en el momento de la recogida de los datos.

l. Notificación de violaciones de la seguridad de los datos. El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 12 horas, desde su conocimiento, a través de la cuenta de la Oficina de Seguridad, ods.scs@gobiernodecanarias.org, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.

Si se dispone de ella se facilitará, como mínimo, la información siguiente:

a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.

b) El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.

c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.

d) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

Corresponde al responsable del tratamiento comunicar las violaciones de la seguridad de los datos a la Autoridad de Protección de Datos.

m. Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto y las consultas previas a la autoridad de control, cuando proceda.

n. Poner disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.

o. Implantar las medidas de seguridad previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica:

o.1 Control del acceso físico a los datos.

Se denegará cualquier acceso no autorizado a los sistemas de tratamiento de datos que traten y utilicen datos personales.

Medidas: se protegerán los edificios con sistemas de control de acceso razonables en función del nivel de seguridad y las directrices de autorización de acceso a los mismos correspondientes. Todos los edificios estarán protegidos con medidas de control del acceso. Los bienes, edificios y determinadas áreas concretas deberán contar con medidas de protección adicionales en función de su nivel de seguridad. Entre dichas medidas se incluyen perfiles de acceso especiales, terminales con contraseña numérica, sistemas de videovigilancia y personal de seguridad. Los derechos de acceso para las personas autorizadas se asignarán de forma individual de conformidad con los criterios establecidos. Esta condición también se aplicará al personal externo.

o.2 Control de acceso a los sistemas de datos.

No se permitirá al personal no autorizado utilizar los sistemas de tratamiento de datos.

Medidas: solo se otorgará acceso a los sistemas de tratamiento de datos a los usuarios autentificados sobre la base de directrices de autorización de cada rol usando las siguientes medidas: cifrado de datos, asignación de contraseñas individualizadas de al menos 10 caracteres que caduquen con regularidad y de forma automática, protectores de pantalla protegidos por contraseña para inactividad, sistemas de detección y prevención de intrusiones, software antivirus actualizado con regularidad y filtros de spyware en la red y en los equipos y dispositivos móviles individuales.

o.3 Control de acceso a los datos.

Deberá garantizarse que aquellos usuarios autorizados para utilizar un sistema de tratamiento de datos únicamente puedan acceder a los datos según su autorización de acceso y que ningún usuario no autorizado pueda leer, copiar, modificar ni eliminar los datos personales durante su tratamiento, uso o almacenamiento.

Medidas: el acceso a los datos personales se concede sobre la base de directrices de autorización específicas de cada rol. Además, se evitará el acceso no autorizado a los datos personales por medio del cifrado adecuado de los datos. Se configurará la administración de usuarios a fin de asignar el acceso o la salida de los usuarios a las autorizaciones correspondientes. Los cambios quedan registrados en un historial.

o.4 Control de divulgación de datos.

Debe garantizarse que los datos personales no se puedan leer, copiar, cambiar ni eliminar sin autorización al transferirlos de forma electrónica ni durante su transporte o almacenamiento en un soporte de datos. Asimismo, la ubicación a la que se vayan a transferir los datos mediante equipos de transmisión de datos deberá poder verificarse y determinarse.

Medidas: protección de los canales de transmisión electrónica por medio de equipos, redes cerradas y procedimientos para el cifrado de datos. Si el soporte de datos es un transportador físico, disponibilidad de procesos de transporte verificables a fin de proteger los datos ante posibles accesos no autorizados o pérdidas. Los soportes de datos se destruyen de conformidad con la ley de protección de datos.

o.5 Control de entrada de datos.

Debe garantizarse que posteriormente se pueda comprobar y determinar si se han introducidos datos personales, así como la identidad del usuario que los haya introducido, modificado o eliminado en el sistema de tratamiento de datos.

Medidas: únicamente se permitirá a los usuarios autentificados el acceso a los datos personales sobre la base de directrices de autorización específicas para cada rol. El acceso a los datos personales, así como la creación, modificación o eliminación de los mismos, quedará registrada debidamente en los archivos de registro.

o.6 Control de orden de datos.

Los datos personales que sean accedidos por un tercero en virtud de un encargo de tratamiento se tratarán únicamente conforme a las instrucciones documentadas del SCS.

Medidas: el SCS debe documentar las instrucciones dadas a los contratistas con acceso a dcp.

o.7 Control de disponibilidad de datos.

Se debe garantizar que los datos personales se encuentren protegidos contra la destrucción accidental o la pérdida de información.

Medidas: si se almacenan los datos personales, se deberán proteger en sistemas redundantes de recuperación de conformidad con su estado de desarrollo y en función de su nivel de seguridad. Asimismo, se utilizarán sistemas de alimentación ininterrumpida (como SAI, UPS, baterías o generadores) a fin de proteger la fuente de alimentación del centro de datos. Igualmente, deberán proporcionarse directrices exhaustivas por escrito para situaciones de emergencia. También se efectuarán pruebas con regularidad de los procesos y sistemas habilitados para las situaciones de emergencia. Debe contarse con firewalls y otras técnicas de seguridad de red. Asimismo, se dispondrá de software antivirus y filtros de spyware actualizados con regularidad en la red y en todos los sistemas de tratamiento de datos.

o.8 Control de separación de datos.

Debe garantizarse que todos los datos tratados para fines distintos se puedan tratar por separado.

Medidas: el SCS debe garantizar que los datos personales se traten de forma tan independiente como sea posible a través de directrices de autorización específicas de cada rol que regulen el acceso a los mismos. De igual manera, deberán separarse los datos de los afectados tanto en los equipos físicos como en los programas informáticos. Los datos personales deberán estar adecuadamente cifrados cuando se almacenen. Los sistemas de pruebas y los sistemas productivos deberán estar separados en unidades lógicas independientes.

En todo caso, deberá implantar mecanismos para:

a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.

d) Seudonimizar y cifrar los datos personales, en su caso.

p. Designar un delegado de protección de datos y comunicar su identidad y datos de contacto al responsable.

q. Destino de los datos. Devolver al encargado que designe por escrito el responsable del tratamiento, los datos personales y, si procede, los soportes donde consten, una vez cumplida prestación.

La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado.

No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

V. Obligaciones del responsable del tratamiento.

Corresponde al responsable del tratamiento:

a) Facilitar el acceso al encargado a los datos a los que se refiere la cláusula II de este documento.

b) Realizar las consultas previas que corresponda.

c) Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del encargado.

d) Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.

ANEXO IV

Encargo de tratamiento de datos personales del SCS a la entidad Quirón Prevención

(artículo 28 RGPD)

I. Objeto del encargo del tratamiento.

Mediante las presentes cláusulas se habilita a la entidad Servicio Canario de la Salud, con CIF nº Q8555011I y domicilio social en Avenida Juan XXIII, nº 17, Las Palmas de Gran Canaria, encargada del tratamiento, para tratar por cuenta de Quirón Prevención S.L.U., responsable del tratamiento, los datos personales necesarios para prestar el servicio de formación de residentes en medicina y enfermería del trabajo.

El tratamiento consistirá en:

• Gestión de datos personales (datos identificativos y especialidad que cursan) de los residentes en medicina y enfermería del trabajo de Quirón Prevención S.L.U., necesarios para la gestión de la formación.

II. Identificación de la información afectada.

Para la ejecución de las prestaciones derivadas del cumplimiento del objeto de este encargo, Quirón Prevención S.L.U., responsable del tratamiento, pone a disposición de la entidad Servicio Canario de la Salud, encargada del tratamiento, la siguiente información respecto de los residentes en medicina y enfermería del trabajo de Quirón Prevención S.L.U.

- Datos identificativos (nombre, apellidos, DNI/NIE/Pasaporte).

- Especialidad que cursan.

III. Duración del encargo de tratamiento.

Su vigencia será la misma del convenio al que está vinculado, incluyendo posibles prórrogas.

Se conservarán durante el tiempo necesario para cumplir con la finalidad para la que se recabaron y para determinar las posibles responsabilidades que se pudieran derivar de dicha finalidad y del tratamiento de los datos.

Una vez finalice el presente encargo, el encargado del tratamiento debe devolver a otro encargado que designe el responsable los datos personales y suprimir cualquier copia que esté en su poder.

IV. Obligaciones del encargado del tratamiento.

El encargado del tratamiento y todo su personal se somete a la normativa de protección de datos, en particular al Reglamento General de Protección de Datos, a las normativas internas del Servicio Canario de la Salud en materia de seguridad y protección de datos, así como a las medidas aplicables del Esquema Nacional de Seguridad y, de forma específica, a las condiciones siguientes que se ajustarán al nivel de seguridad correspondiente y en aquellos casos donde proceda por ser aplicable a los servicios prestados:

a. Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, solo para la finalidad objeto de este encargo. En ningún caso podrá utilizar los datos para fines propios.

b. Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento.

Si el encargado del tratamiento considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión o de los Estados miembros, el encargado informará inmediatamente al responsable a través de la cuenta de correo “protecciondedatos@quironprevencion.com”.

c. Llevar, por escrito, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del responsable, que contenga:

1. El nombre y los datos de contacto del encargado o encargados y de cada responsable por cuenta del cual actúe el encargado y, en su caso, del representante del responsable o del encargado y del delegado de protección de datos.

2. Las categorías de tratamientos efectuados por cuenta de cada responsable.

3. Los sistemas de información y comunicación que el encargado utilice para la recogida, almacenamiento, procesamiento y gestión de los datos, así como el correspondiente tratamiento, deberán ubicarse y prestarse dentro del territorio de la Unión Europea.

4. Una descripción general de las medidas técnicas y organizativas de seguridad relativas a:

a) La seudonimización y el cifrado de datos personales.

b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

d) El proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

d. No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles.

El encargado puede comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones del responsable. En este caso, el responsable identificará, de forma previa y por escrito, la entidad a la que se deben comunicar los datos, los datos a comunicar y las medidas de seguridad a aplicar para proceder a la comunicación.

El encargado puede comunicar datos a terceros de confianza cuando sea necesario para poder cumplir con la finalidad del convenio y/o necesarios para la tramitación de certificaciones y/o habilitaciones cuando así sea necesario.

Si el encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.

e. Subcontratación. No se autoriza al encargado de tratamiento subcontratar ninguna de las prestaciones que formen parte del objeto de este contrato que comporten el tratamiento de datos personales, salvo los servicios auxiliares necesarios para el normal funcionamiento de los servicios del encargado.

f. Mantener el deber de secreto respecto a los datos personales a los que haya tenido acceso en virtud del presente encargo, incluso después de que finalice su objeto.

g. Garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que hay que informarles convenientemente.

h. Mantener a disposición del responsable la documentación acreditativa del cumplimiento de la obligación establecida en el apartado anterior.

i. Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.

j. Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos de:

1. Acceso, rectificación, supresión y oposición.

2. Limitación del tratamiento.

3. Portabilidad de datos.

4. A no ser objeto de decisiones individualizadas automatizadas (incluida la elaboración de perfiles).

Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individualizadas automatizadas, ante el encargado del tratamiento, este debe comunicarlo por correo electrónico a la dirección “protecciondedatos@quironprevencion.com”. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.

k. Derecho de información. Corresponde al responsable facilitar el derecho de información en el momento de la recogida de los datos.

l. Notificación de violaciones de la seguridad de los datos. El encargado del tratamiento notificará al responsable del tratamiento, sin dilación indebida, y en cualquier caso antes del plazo máximo de 12 horas, desde su conocimiento, a través de la dirección de correo “protecciondedatos@quironprevencion.com”, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia.

Si se dispone de ella se facilitará, como mínimo, la información siguiente:

a) Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.

b) El nombre y los datos de contacto del delegado de protección de datos o de otro punto de contacto en el que pueda obtenerse más información.

c) Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.

d) Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.

Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.

Corresponde al responsable del tratamiento comunicar las violaciones de la seguridad de los datos a la Autoridad de Protección de Datos.

m. Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto y las consultas previas a la autoridad de control, cuando proceda.

n. Poner disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el responsable u otro auditor autorizado por él.

o. Implantar las medidas de seguridad previstas en el Anexo II (Medidas de seguridad) del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica:

o.1 Control del acceso físico a los datos.

Se denegará cualquier acceso no autorizado a los sistemas de tratamiento de datos que traten y utilicen datos personales.

Medidas: se protegerán los edificios con sistemas de control de acceso razonables en función del nivel de seguridad y las directrices de autorización de acceso a los mismos correspondientes. Todos los edificios estarán protegidos con medidas de control del acceso. Los bienes, edificios y determinadas áreas concretas deberán contar con medidas de protección adicionales en función de su nivel de seguridad. Entre dichas medidas se incluyen perfiles de acceso especiales, terminales con contraseña numérica, sistemas de videovigilancia y personal de seguridad. Los derechos de acceso para las personas autorizadas se asignarán de forma individual de conformidad con los criterios establecidos. Esta condición también se aplicará al personal externo.

o.2 Control de acceso a los sistemas de datos.

No se permitirá al personal no autorizado utilizar los sistemas de tratamiento de datos.

Medidas: solo se otorgará acceso a los sistemas de tratamiento de datos a los usuarios autentificados sobre la base de directrices de autorización de cada rol usando las siguientes medidas: cifrado de datos, asignación de contraseñas individualizadas de al menos 10 caracteres que caduquen con regularidad y de forma automática, protectores de pantalla protegidos por contraseña para inactividad, sistemas de detección y prevención de intrusiones, software antivirus actualizado con regularidad y filtros de spyware en la red y en los equipos y dispositivos móviles individuales.

o.3 Control de acceso a los datos.

Deberá garantizarse que aquellos usuarios autorizados para utilizar un sistema de tratamiento de datos únicamente puedan acceder a los datos según su autorización de acceso y que ningún usuario no autorizado pueda leer, copiar, modificar ni eliminar los datos personales durante su tratamiento, uso o almacenamiento.

Medidas: el acceso a los datos personales se concede sobre la base de directrices de autorización específicas de cada rol. Además, se evitará el acceso no autorizado a los datos personales por medio del cifrado adecuado de los datos. Se configurará la administración de usuarios a fin de asignar el acceso o la salida de los usuarios a las autorizaciones correspondientes. Los cambios quedan registrados en un historial.

o.4 Control de divulgación de datos.

Debe garantizarse que los datos personales no se puedan leer, copiar, cambiar ni eliminar sin autorización al transferirlos de forma electrónica ni durante su transporte o almacenamiento en un soporte de datos. Asimismo, la ubicación a la que se vayan a transferir los datos mediante equipos de transmisión de datos deberá poder verificarse y determinarse.

Medidas: protección de los canales de transmisión electrónica por medio de equipos, redes cerradas y procedimientos para el cifrado de datos. Si el soporte de datos es un transportador físico, disponibilidad de procesos de transporte verificables a fin de proteger los datos ante posibles accesos no autorizados o pérdidas. Los soportes de datos se destruyen de conformidad con la ley de protección de datos

o.5 Control de entrada de datos.

Debe garantizarse que posteriormente se pueda comprobar y determinar si se han introducidos datos personales, así como la identidad del usuario que los haya introducido, modificado o eliminado en el sistema de tratamiento de datos.

Medidas: únicamente se permitirá a los usuarios autentificados el acceso a los datos personales sobre la base de directrices de autorización específicas para cada rol. El acceso a los datos personales, así como la creación, modificación o eliminación de los mismos, quedará registrada debidamente en los archivos de registro.

o.6 Control de orden de datos.

Los datos personales que sean accedidos por un tercero en virtud de un encargo de tratamiento se tratarán únicamente conforme a las instrucciones documentadas del SCS.

Medidas: el SCS debe documentar las instrucciones dadas a los contratistas con acceso a dcp.

o.7 Control de disponibilidad de datos.

Se debe garantizar que los datos personales se encuentren protegidos contra la destrucción accidental o la pérdida de información.

Medidas: si se almacenan los datos personales, se deberán proteger en sistemas redundantes de recuperación de conformidad con su estado de desarrollo y en función de su nivel de seguridad. Asimismo, se utilizarán sistemas de alimentación ininterrumpida (como SAI, UPS, baterías o generadores) a fin de proteger la fuente de alimentación del centro de datos. Igualmente, deberán proporcionarse directrices exhaustivas por escrito para situaciones de emergencia. También se efectuarán pruebas con regularidad de los procesos y sistemas habilitados para las situaciones de emergencia. Debe contarse con firewalls y otras técnicas de seguridad de red. Asimismo, se dispondrá de software antivirus y filtros de spyware actualizados con regularidad en la red y en todos los sistemas de tratamiento de datos.

o.8 Control de separación de datos.

Debe garantizarse que todos los datos tratados para fines distintos se puedan tratar por separado.

Medidas: el SCS debe garantizar que los datos personales se traten de forma tan independiente como sea posible a través de directrices de autorización específicas de cada rol que regulen el acceso a los mismos. De igual manera, deberán separarse los datos de los afectados tanto en los equipos físicos como en los programas informáticos. Los datos personales deberán estar adecuadamente cifrados cuando se almacenen. Los sistemas de pruebas y los sistemas productivos deberán estar separados en unidades lógicas independientes.

En todo caso, deberá implantar mecanismos para:

a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.

c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.

d) Seudonimizar y cifrar los datos personales, en su caso.

p. Designar un delegado de protección de datos y comunicar su identidad y datos de contacto al responsable.

q. Destino de los datos. Devolver al encargado que designe por escrito el responsable del tratamiento, los datos personales y, si procede, los soportes donde consten, una vez cumplida prestación.

La devolución debe comportar el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado.

No obstante, el encargado puede conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

V. Obligaciones del responsable del tratamiento.

Corresponde al responsable del tratamiento:

a) Facilitar el acceso al encargado a los datos a los que se refiere la cláusula II de este Anexo IV.

b) Realizar las consultas previas que corresponda.

c) Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del encargado.

d) Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.



© Gobierno de Canarias