Ministerio de La Presidencia, Justicia y Relaciones Con Las Cortes. III. Otras disposiciones. Convenios. (BOE-A-2025-1448)
Resolución de 20 de enero de 2025, de la Subsecretaría, por la que se publica el Convenio entre la Dirección General de Cartera Común de Servicios del Sistema Nacional de Salud y Farmacia y la Universidad Nacional de Educación a Distancia, para facilitar a los profesionales del Sistema Nacional de Salud el acceso al Diploma de Experto Universitario en «Evaluación de Medicamentos y Tecnologías Sanitarias en el SNS», y al Diploma de Especialización en «Evaluación de Medicamentos y Tecnologías Sanitarias en el SNS», financiado con fondos del Plan de Recuperación, Transformación y Resiliencia -financiado por la Unión Europea- Next Generation EU.
14 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Lunes 27 de enero de 2025
Sec. III. Pág. 11795
curso haya concluido. El retorno ha de comportar el borrado total de los datos existentes
en los sistemas y documentos del encargado. No obstante, el encargado puede
conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse
responsabilidades por la ejecución de la prestación.
Confidencialidad: El encargado y todo su personal mantendrán el deber de secreto
respecto a los datos de carácter personal a los que hayan tenido acceso en virtud del
presente encargo, incluso después de que finalice el mismo.
El encargado garantizará que las personas autorizadas para tratar datos personales
se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a
cumplir las medidas de seguridad correspondientes, de las que hay que informarles
convenientemente.
Si existe una obligación de confidencialidad estatutaria deberá quedar constancia
expresa de la naturaleza y extensión de esta obligación.
El encargado mantendrá a disposición del responsable la documentación acreditativa
del cumplimiento de esta obligación.
Medidas de seguridad: El encargado con carácter periódico (y también siempre que
haya cambios relevantes en su infraestructura de software y hardware) realizará una
evaluación de riesgos en materia de seguridad de la información, de la que se derivarán
la implantación de mecanismos adecuados a los riesgos detectados tal y como se
describe en el artículo 32 del RGPD y en el Esquema Nacional de Seguridad y en
concreto:
a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento.
b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida,
en caso de incidente físico o técnico.
c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y
organizativas implantadas para garantizar la seguridad del tratamiento.
La evaluación de riesgos de seguridad de la información deberá ser recogida en un
informe por el encargado, que deberá proporcionarlo al responsable. El alcance de dicha
evaluación de riesgos de seguridad de la información será la totalidad de datos tratados
por cuenta del responsable. Las medidas de seguridad abarcarán la protección de los
sistemas de información, así como de los sistemas de tratamiento manual y archivo de la
documentación.
Registro de actividades de tratamiento: El encargado llevará un registro de todas las
categorías de actividades de tratamiento efectuadas por cuenta del responsable con el
contenido estipulado en el artículo 30.2 del RGPD, salvo que pueda ampararse en
alguna de las excepciones del artículo 30.5.
No comunicación: El encargado no comunicará los datos a terceras personas, salvo
que cuente con la autorización expresa del responsable, en los supuestos legalmente
admisibles.
Formación de las personas autorizadas: El encargado garantizará la formación
necesaria en materia de protección de datos personales de las personas autorizadas
para tratar datos personales.
Ejercicio de los derechos: Los derechos de acceso, rectificación, supresión y, en su
caso, limitación, portabilidad u oposición se ejercerán por los interesados ante el
responsable del Tratamiento. Si la entidad firmante recibiese una petición de ejercicio de
derechos deberá informar inmediatamente al interesado o afectado de la identidad del
responsable del Tratamiento, para que aquél se dirija al mismo. La comunicación debe
hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de
la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan
ser relevantes para resolver la solicitud.
Notificación de violaciones de la seguridad: El encargado notificará al responsable,
sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas, las
violaciones de la seguridad de los datos personales a su cargo de las que tenga
cve: BOE-A-2025-1448
Verificable en https://www.boe.es
Núm. 23
Lunes 27 de enero de 2025
Sec. III. Pág. 11795
curso haya concluido. El retorno ha de comportar el borrado total de los datos existentes
en los sistemas y documentos del encargado. No obstante, el encargado puede
conservar una copia, con los datos debidamente bloqueados, mientras puedan derivarse
responsabilidades por la ejecución de la prestación.
Confidencialidad: El encargado y todo su personal mantendrán el deber de secreto
respecto a los datos de carácter personal a los que hayan tenido acceso en virtud del
presente encargo, incluso después de que finalice el mismo.
El encargado garantizará que las personas autorizadas para tratar datos personales
se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a
cumplir las medidas de seguridad correspondientes, de las que hay que informarles
convenientemente.
Si existe una obligación de confidencialidad estatutaria deberá quedar constancia
expresa de la naturaleza y extensión de esta obligación.
El encargado mantendrá a disposición del responsable la documentación acreditativa
del cumplimiento de esta obligación.
Medidas de seguridad: El encargado con carácter periódico (y también siempre que
haya cambios relevantes en su infraestructura de software y hardware) realizará una
evaluación de riesgos en materia de seguridad de la información, de la que se derivarán
la implantación de mecanismos adecuados a los riesgos detectados tal y como se
describe en el artículo 32 del RGPD y en el Esquema Nacional de Seguridad y en
concreto:
a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento.
b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida,
en caso de incidente físico o técnico.
c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y
organizativas implantadas para garantizar la seguridad del tratamiento.
La evaluación de riesgos de seguridad de la información deberá ser recogida en un
informe por el encargado, que deberá proporcionarlo al responsable. El alcance de dicha
evaluación de riesgos de seguridad de la información será la totalidad de datos tratados
por cuenta del responsable. Las medidas de seguridad abarcarán la protección de los
sistemas de información, así como de los sistemas de tratamiento manual y archivo de la
documentación.
Registro de actividades de tratamiento: El encargado llevará un registro de todas las
categorías de actividades de tratamiento efectuadas por cuenta del responsable con el
contenido estipulado en el artículo 30.2 del RGPD, salvo que pueda ampararse en
alguna de las excepciones del artículo 30.5.
No comunicación: El encargado no comunicará los datos a terceras personas, salvo
que cuente con la autorización expresa del responsable, en los supuestos legalmente
admisibles.
Formación de las personas autorizadas: El encargado garantizará la formación
necesaria en materia de protección de datos personales de las personas autorizadas
para tratar datos personales.
Ejercicio de los derechos: Los derechos de acceso, rectificación, supresión y, en su
caso, limitación, portabilidad u oposición se ejercerán por los interesados ante el
responsable del Tratamiento. Si la entidad firmante recibiese una petición de ejercicio de
derechos deberá informar inmediatamente al interesado o afectado de la identidad del
responsable del Tratamiento, para que aquél se dirija al mismo. La comunicación debe
hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de
la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan
ser relevantes para resolver la solicitud.
Notificación de violaciones de la seguridad: El encargado notificará al responsable,
sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas, las
violaciones de la seguridad de los datos personales a su cargo de las que tenga
cve: BOE-A-2025-1448
Verificable en https://www.boe.es
Núm. 23
