Diario del Derecho. Edición de 27/03/2024
  • Diario del Derecho en formato RSS
  • ISSN 2254-1438
  • EDICIÓN DE 19/07/2017
 
 

Regulación de Cláusulas de Protección de Datos de Carácter Personal

19/07/2017
Compartir: 

Acuerdo de 26 de junio de 2017, del Consejo de Administración del Ente Público Osakidetza-Servicio vasco de salud, por el que se regulan Cláusulas de Protección de Datos de Carácter Personal cuya inclusión debe considerarse en supuestos de Contratación Administrativa por Osakidetza-Servicio vasco de salud (BOPV de 18 de julio de 2017). Texto completo.

ACUERDO DE 26 DE JUNIO DE 2017, DEL CONSEJO DE ADMINISTRACIÓN DEL ENTE PÚBLICO OSAKIDETZA-SERVICIO VASCO DE SALUD, POR EL QUE SE REGULAN CLÁUSULAS DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL CUYA INCLUSIÓN DEBE CONSIDERARSE EN SUPUESTOS DE CONTRATACIÓN ADMINISTRATIVA POR OSAKIDETZA-SERVICIO VASCO DE SALUD

El artículo 12 Vínculo a legislación de la Ley Orgánica 15/1999 de Protección de Datos de carácter personal (en adelante, LOPD) establece lo siguiente:

1.- No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.

2.- La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.

3.- Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.

4.- En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones.

Por otra parte, se ha de considerar que Osakidetza-Servicio vasco de salud en todos los procedimientos de Contratación administrativa se encuentra obligada a respetar los modelos de Pliegos de Contratación previamente aprobados por los órganos competentes.

Es por ello que, al objeto de dar cumplimiento a los requisitos señalados precedentemente, Osakidetza-servicio vasco de salud ha de establecer para el momento de la firma del contrato, o en posterior adenda al mismo, que toda prestación de servicios que implique el tratamiento de datos de carácter personal, independientemente de la cuantía de la misma, se realice mediante la firma de un contrato de acceso a datos que refleje el contenido mínimo establecido en dicho artículo 12 Vínculo a legislación de la LOPD; es decir:

- Que el encargado de tratamiento tratará los datos de carácter personal conforme a las instrucciones del responsable del fichero.

- Que no los utilizará con fin diferente al que figure en el contrato.

- Que no los comunicará, ni siquiera para su conservación, a otras personas.

- Que una vez terminada la prestación del servicio se deberá, o bien destruir los datos, o bien devolverlos, haciendo indicación precisa de aspectos como el plazo, el modo, etc., establecidos para cumplir dicho requisito.

- Las concretas medidas de seguridad que debe implementar el encargado del tratamiento.

En su virtud, de conformidad con las facultades otorgadas por las disposiciones legales,

ACUERDO:

Primero.- Las cláusulas I a XIII siguientes se incorporarán íntegras, para el momento de firma del contrato con la empresa adjudicataria, sustituyendo las equis (XXX) con la identificación del prestador del servicio (en general, la empresa contratada):

I.- Osakidetza-Servicio vasco de salud es responsable de los ficheros que se tratan con motivo del servicio objeto de la contratación, conforme la Ley Orgánica 15/1999, de 13 de diciembre Vínculo a legislación, de Protección de Datos de Carácter Personal (en adelante LOPD).

Dichos ficheros, declarados, en su caso, ante el Registro General de la Agencia Vasca de Protección de Datos recogen, según corresponda, información de los empleados, de pacientes o de quienes sean contratistas de este Ente Público.

Todo lo que se estipula a continuación se circunscribe a los datos de carácter personal contenidos en los ficheros arriba enunciados que XXX pudiera tratar con motivo de la prestación del servicio contratado.

II.- XXX, como parte del presente contrato, se convierte desde su perfección en encargado de tratamiento conforme al Artículo 12 Vínculo a legislación de la LOPD.

A los efectos de comunicación a la Agencia Vasca de Protección de Datos, XXX consiente en figurar como encargado de tratamiento en cuantos ficheros sean objeto del presente contrato.

III.- XXX, no podrá utilizar dichos datos para otro fin distinto de aquel que constituya el objeto del presente contrato.

IV.- XXX se compromete a tratar los datos conforme a las instrucciones que le marque Osakidetza-Servicio vasco de salud, las cuales provendrán de (citar el cargo de la persona responsable de Osakidetza-servicio vasco de salud).

V.- XXX en ningún caso comunicará, mostrará, cederá ni revelará datos, ni siquiera para su conservación, a terceras personas ajenas a la relación contractual que se establece en el presente contrato, o a los procedimientos de subcontratación que, en su caso, pudieran establecerse, salvo requerimiento judicial específico.

VI.- XXX se compromete a cumplir todo lo dispuesto en la legislación vigente sobre protección de datos que le sea de aplicación. Así, todo dato que conozca cualquiera de sus subordinados, como consecuencia de la realización del presente contrato, debe mantenerse en la más estricta confidencialidad, no pudiendo comunicarse a terceros ni emplearse en uso propio, respondiendo de los posibles perjuicios que se pudieran derivar para Osakidetza-Servicio vasco de salud y para los afectados.

VII- XXX se obliga a realizar cuantas gestiones correspondan para que el personal a su cargo firme una cláusula de confidencialidad por la que se comprometa a no revelar la información que pudiera conocer en función de su cargo o cometido durante la prestación del presente contrato y posteriormente al mismo.

VIII.- En el supuesto de que XXX haya sido autorizado a mantener algún dato proveniente del presente contrato, se obliga a devolverlo a Osakidetza-Servicio vasco de salud una vez cumplida la prestación contractual, en el plazo de tres meses, o en su caso, a destruirlo, al igual que el soporte o documento en el que conste aquél.

IX.- XXX quedará sujeto al régimen de responsabilidad que instaura la LOPD y responderá siempre que destine los datos a una finalidad diferente a la estipulada en el presente contrato, los comunique a terceros, o los utilice incumpliendo alguna de las cláusulas de este contrato, conforme a cuantas acciones penales o civiles pudiera corresponder.

X.- XXX deberá implantar las medidas de seguridad precisas de tipo técnico y organizativo que, en función del nivel de protección correspondiente a los datos de carácter personal a los que tenga acceso durante la prestación de los servicios, impone la normativa vigente de protección de datos. Las medidas mínimas de seguridad obligatorias para este contrato se contienen en el anexo adjunto.

XII.- Serán motivos de resolución del presente contrato la vulneración del deber de secreto por XXX o su personal, así como el incumplimiento de la normativa sobre protección de datos de carácter personal.

XIII. En caso de subcontratación, la empresa contratista y la subcontratada deberán cumplir cuantas obligaciones legales corresponda en aplicación de las previsiones de contratación administrativa.

En lo referente al régimen de Protección de Datos Personales, la contratista exigirá a la subcontratada el cumplimiento de las mismas medidas de seguridad que las que a ella correspondieran en cumplimiento y ejecución de las previsiones del contrato administrativo.

La identidad del subcontratista deberá ser comunicada a Osakidetza, sin que resulte, ello no obstante, obligada la comunicación de la condición de nuevo encargado de tratamiento a la Agencia Vasca de Protección de datos.

Segundo.- Del anexo de Medidas de Seguridad, que se inserta a continuación, se ha de realizar un análisis pormenorizado en cada caso, de modo que sólo deberán incorporarse las medidas adecuadas al objeto del servicio contratado y a la naturaleza y nivel de seguridad de los datos de carácter personal accedidos; pudiéndose añadir cuantas medidas de seguridad y protección de datos se consideren pertinentes, siempre y cuando no contradigan lo dispuesto legalmente ni lo previsto en el Documento de Seguridad de Osakidetza.

ANEXO OMITIDO

Comentarios

Escribir un comentario

Para poder opinar es necesario el registro. Si ya es usuario registrado, escriba su nombre de usuario y contraseña:

 

Si desea registrase en www.iustel.com y poder escribir un comentario, puede hacerlo a través el siguiente enlace: Registrarme en www.iustel.com.

  • Iustel no es responsable de los comentarios escritos por los usuarios.
  • No está permitido verter comentarios contrarios a las leyes españolas o injuriantes.
  • Reservado el derecho a eliminar los comentarios que consideremos fuera de tema.

Revista El Cronista:

Revista El Cronista del Estado Social y Democrático de Derecho

Lo más leído:

Secciones:

Boletines Oficiales:

 

© PORTALDERECHO 2001-2024

Icono de conformidad con el Nivel Doble-A, de las Directrices de Accesibilidad para el Contenido Web 1.0 del W3C-WAI: abre una nueva ventana