Página 45 de 96 La Administración en el desarrollo de todos sus trabajos se basará en la normativa y recomendaciones que realice el Ministerio de Sanidad en referencia a la seguridad del paciente dentro de la historia clínica electrónica del sistema nacional de la salud.
De la prestación de los servicios ahora contratados puede derivarse un tratamiento de datos de carácter personal, por lo que, dando cumplimiento a las obligaciones establecidas en los artículos 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y 20 y sucesivos del Real Decreto 1720/2007 (RLOPD), de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la LOPD y resto de normativa de desarrollo, así como también a las previsiones al respecto contempladas en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica y en la Ley 5/2003, de 4 de Abril, de Salud de las Illes Balears, ambas partes acuerdan someterse a las siguientes condiciones:
A. Permiso de acceso y tratamiento. La Administración acepta que el adjudicatario tenga acceso y pueda tratar los datos de carácter personal contenidos en los Ficheros a los que se le dé acceso, siempre que resulte imprescindible para la prestación de los trabajos y/o de las obligaciones contraídas, y en todo caso limitándose a los datos que resulten estrictamente necesarios.
B. Inexistencia de comunicación. El acceso por parte del adjudicatario a los Ficheros con datos de carácter personal de la Administración, no se considerará una comunicación de datos.
C. Instrucciones del tratamiento. El tratamiento de dichos datos responderá a las instrucciones recibidas de la Administración, en los términos del contrato de prestación de servicios que se formalice a partir del presente pliego.
D. Uso de los datos. Toda la información a la que el Encargado del Tratamiento tenga acceso, y en especial, los datos de carácter personal, no será utilizada bajo ninguna circunstancia para un fin distinto al establecido en el contrato formalizado.
La documentación se entregará al adjudicatario con el único fin de realizar las tareas necesarias para la prestación de los trabajos y/o de las obligaciones contraídas, quedando prohibido para el adjudicatario y el personal que ejecute la prestación del servicio, destinarla a cualquier otro fin.
E. Prohibición de comunicación de los datos a terceros. Los datos de carácter personal o documentos objeto del tratamiento no podrán ser comunicados a un tercero bajo ningún concepto, sin el consentimiento previo de la Administración, aunque sea para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario, sin perjuicio de las excepciones previstas en la Ley Orgánica 15/1999 y en el RD 1720/2007.
Una vez cumplida la prestación contractual, los datos de carácter personal utilizados deberán ser destruidos o devueltos a la Administración, al igual que cualquier soporte o documentos utilizados según las condiciones que se indican en el punto L del presente documento.
F. Subcontratación. El adjudicatario no podrá comunicar los datos accedidos o tratados a terceros, ni siquiera para su conservación, No obstante de conformidad con el RLOPD
Página 46 de 96 podrá subcontratar con un tercero con la autorización del Responsable del Fichero y cumpliendo las garantías previstas por la legislación vigente.
G. Transferencias Internacionales de datos. Sin perjuicio de lo anterior, se prohíbe el tratamiento de datos que se encuentren en terceros países sin un nivel de protección equiparable al otorgado por la normativa de protección de datos de carácter personal vigente en España, salvo que se obtenga la preceptiva autorización de la Administración y de la Agencia Española de Protección de Datos.
H. Medidas de seguridad. En el tratamiento de los Ficheros de la Administración, el adjudicatario deberá aplicar, como mínimo, las medidas de seguridad de índole técnica y organizativa correspondientes al nivel de seguridad establecido por el RLOPD con el objeto de garantizar la seguridad, confidencialidad e integridad de la información.
El adjudicatario debe garantizar que, el personal involucrado en la prestación del servicio, conoce y se compromete a cumplir lo dispuesto en la LOPD, el RLOPD y la normativa de seguridad interna de la Administración.
I. Confidencialidad. Además de lo anterior y de acuerdo con lo dispuesto en el artículo 10 de la LOPD y del artículo 15 de la , Ley 5/2003 de 4 de abril, de Salud de las Illes Balears, el prestador del servicio garantizará que quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal quedarán obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar la relación contractual, así como a la renuncia expresa de los derechos de propiedad intelectual que les pudiera corresponder y compromiso del cumplimiento de las obligaciones de protección de datos de carácter personal.
La Administración se compromete a formar e informar a su personal en las obligaciones que de tales normas dimanan, para lo cual programará las acciones formativas necesarias. El personal prestador del servicio objeto del contrato tendrá acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones. J. Personal. En ningún caso se podrá considerar al personal del adjudicatario como empleados de la Administración, Responsable del Fichero. El adjudicatario adoptará las medidas que crea convenientes para garantizar que su personal cumple con los acuerdos contenidos en los contratos que unan a las partes.
K. Control y Auditoria. El adjudicatario autorizará a la Administración a la realización de controles o auditorias, incluyendo el acceso al establecimiento donde se estén tratando los datos, a la documentación y a los equipos. A fin de que la Administración pueda supervisar el tratamiento de datos efectuado por el adjudicatario y para verificar el cumplimiento que éste realiza de las obligaciones derivadas de este contrato y de la normativa reguladora en materia de protección de datos, el adjudicatario debe proporcionar a la Administración los mecanismos de control y seguimiento que le sean solicitados e información suficiente sobre las medidas de seguridad que estén siendo aplicadas en el desarrollo de los trabajos contratados.
Ante inspecciones que pudieran sucederse o requerimientos de la Agencia Española de Protección de Datos a la Administración, el adjudicatario se compromete a proporcionar la información requerida para facilitar en todo momento la actuaciones previstas en los plazos legales establecidos y a adoptar las medidas que se consideren oportunas derivadas de dichas actuaciones.
Página 47 de 96 L. Devolución o Destrucción de datos. Una vez finalizado el tratamiento o la prestación del servicio, el adjudicatario deberá acordar con el Responsable del Fichero, las instrucciones pertinentes en cuanto al destino de dicha información, ya sea su destrucción o borrado, bien la devolución, de cualquier dato personal entregado por la Administración, así como también cualquier soporte o documento en que conste algún dato de carácter personal objeto de tratamiento.
El adjudicatario, únicamente conservará los datos, debidamente bloqueados, en tanto pudieran derivarse responsabilidades de su relación y de acuerdo a los plazos legales previstos.
M. Responsabilidad del adjudicatario. En el caso de que el contratista destine los datos a otra finalidad, los comunique o los utilice incumpliendo las obligaciones especificadas, o cualesquiera otra exigible por la normativa, será considerado responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente, de conformidad con el artículo 12.4 de la LOPD, estando sujeto, en su caso, al régimen sancionador establecido de conformidad con lo dispuesto en los artículos del 43 al 49 de la LOPD así como a cualquier daño y perjuicio que su acción pueda provocar a la Administración.
N. Comunicación de incidencia. El adjudicatario trasladará a la Administración, de forma inmediata, cualquier incidencia acontecida en los sistemas de tratamientos que haya ocurrido o pueda tener como consecuencia la alteración, la pérdida o el acceso a datos de carácter personal por parte de terceros no autorizados durante la prestación del servicio. 6.1.2. Confidencialidad:
El adjudicatario se compromete a mantener absoluta confidencialidad y a no revelar o ceder datos, ni aún para su conservación, o documentos proporcionados por la Administración o copia de los mismos a terceros, para cualquier otro uso no previsto como necesario en el presente pliego, especialmente los datos de carácter personal. El adjudicatario no podrá hacer uso de la información que se suministra en la documentación de este concurso para otros fines que su utilización para la elaboración de las correspondientes ofertas, no pudiendo trasladar su contenido o copia de los mismos a terceros.
Se prohíbe expresamente la utilización de análisis funcionales o de requerimientos en beneficio propio de las personas físicas o jurídicas que retiren tal documentación anexa a los presentes pliegos.
6.2. La empresa adjudicataria deberá asegurar y justificar documentalmente la adopción de medidas y procedimientos que salvaguarden la discreción y confidencialidad con relación a informaciones y documentos a los que tuviere acceso por razón del servicio que presta.
6.3. Todo el personal dependiente de la empresa adjudicataria firmará un documento (Anexo 9) por el que se comprometen expresamente a guardar la confidencialidad de los datos a que tienen acceso como consecuencia de su trabajo. El documento se firmará por duplicado: una copia para la empresa adjudicataria y otra copia para la Administración. En cualquier caso, la empresa adjudicataria asumirá las responsabilidades que se pudieran derivar del incumplimiento de la necesaria confidencialidad en todos los ámbitos del servicio que presten sus empleados.
Página 48 de 96 6.4. Quedan expresamente prohibidas las intervenciones de cualquier componente de la empresa adjudicataria en medios de comunicación social, sean éstos visuales, escritos o hablados, exponiendo o comentando cualquier tipo de información obtenida o relacionada con su actividad en la Administración, salvo autorización expresa de la Administración.
6.5. La utilización de datos, cuantitativos o cualitativos, para la realización de estudios, estadísticas, etc. así como su exposición en Jornadas, Congresos y demás eventos, queda supeditada a la autorización previa y expresa de la Administración, debiendo figurar en todo caso la procedencia de los datos.
6.6. El incumplimiento por parte de la empresa de las obligaciones establecidas en este apartado 6 dará lugar a la imposición de las correspondientes sanciones, de acuerdo con lo establecido en la LOPD.