Ministerio de La Presidencia, Justicia y Relaciones Con Las Cortes. III. Otras disposiciones. Convenios. (BOE-A-2025-1449)
Resolución de 20 de enero de 2025, de la Subsecretaría, por la que se publica el Convenio entre la Secretaría de Estado de Sanidad y la Universidad Nacional de Educación a Distancia, para el aumento de las habilidades y el conocimiento de los profesionales para el uso racional de medicamentos y tecnologías sanitarias, en ejecución del Plan de Recuperación, Transformación y Resiliencia -financiado por la Unión Europea- Next Generation EU.
13 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Lunes 27 de enero de 2025
Sec. III. Pág. 11809
Confidencialidad: El encargado y todo su personal mantendrán el deber de secreto
respecto a los datos de carácter personal a los que hayan tenido acceso en virtud del
presente encargo, incluso después de que finalice el mismo.
El encargado garantizará que las personas autorizadas para tratar datos personales
se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a
cumplir las medidas de seguridad correspondientes, de las que hay que informarles
convenientemente.
El encargado mantendrá a disposición del responsable la documentación acreditativa
del cumplimiento de esta obligación.
Medidas de seguridad: El encargado, con carácter periódico (y también siempre que
haya cambios relevantes en su infraestructura de software y hardware), realizará una
evaluación de riesgos en materia de seguridad de la información, de la que se derivarán
la implantación de mecanismos adecuados a los riesgos detectados tal y como se
describe en el artículo 32 del RGPD y en el Esquema Nacional de Seguridad y en
concreto:
a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento.
b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida en
caso de incidente físico o técnico.
c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y
organizativas implantadas para garantizar la seguridad del tratamiento.
d) Seudonimizar y cifrar los datos personales, en su caso.
El encargado recogerá en un informe la evaluación de riesgos de seguridad de la
información y se lo entregará al responsable. El alcance de dicha evaluación de riesgos
de seguridad de la información será la totalidad de datos tratados por cuenta del
responsable. Las medidas de seguridad abarcarán la protección de los sistemas de
información, así como de los sistemas de tratamiento manual y archivo de la
documentación.
Registro de actividades de tratamiento: El encargado llevará un registro de todas las
categorías de actividades de tratamiento efectuadas por cuenta del responsable con el
contenido estipulado en el artículo 30.2 del RGPD, salvo que pueda ampararse en
alguna de las excepciones del artículo 30.5. No comunicación: El encargado no
comunicará los datos a terceras personas, salvo que cuente con la autorización expresa
del responsable, en los supuestos legalmente admisibles.
Formación de las personas autorizadas: El encargado garantizará la formación
necesaria en materia de protección de datos personales de las personas autorizadas
para tratar datos personales.
Ejercicio de los derechos: Los derechos de acceso, rectificación, supresión y, en su
caso, limitación, portabilidad u oposición se ejercerán por los interesados ante el
responsable del Tratamiento. Si la entidad firmante recibiese una petición de ejercicio de
derechos deberá informar inmediatamente al interesado o afectado de la identidad del
Responsable del Tratamiento, para que aquél se dirija al mismo. La comunicación debe
hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de
la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan
ser relevantes para resolver la solicitud.
Notificación de violaciones de la seguridad: El encargado notificará al responsable,
sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas, las
violaciones de la seguridad de los datos personales a su cargo de las que tenga
conocimiento, juntamente con toda la información relevante consignada en el
artículo 33.3 del RGPD. Apoyo en realización de evaluaciones de impacto para la
protección de datos: El Encargado dará apoyo al responsable en la realización de las
evaluaciones de impacto relativas a la protección de datos cuando proceda.
Cumplimiento de las obligaciones: El encargado pondrá a disposición del
Responsable toda la información necesaria para demostrar el cumplimiento de sus
cve: BOE-A-2025-1449
Verificable en https://www.boe.es
Núm. 23
Lunes 27 de enero de 2025
Sec. III. Pág. 11809
Confidencialidad: El encargado y todo su personal mantendrán el deber de secreto
respecto a los datos de carácter personal a los que hayan tenido acceso en virtud del
presente encargo, incluso después de que finalice el mismo.
El encargado garantizará que las personas autorizadas para tratar datos personales
se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a
cumplir las medidas de seguridad correspondientes, de las que hay que informarles
convenientemente.
El encargado mantendrá a disposición del responsable la documentación acreditativa
del cumplimiento de esta obligación.
Medidas de seguridad: El encargado, con carácter periódico (y también siempre que
haya cambios relevantes en su infraestructura de software y hardware), realizará una
evaluación de riesgos en materia de seguridad de la información, de la que se derivarán
la implantación de mecanismos adecuados a los riesgos detectados tal y como se
describe en el artículo 32 del RGPD y en el Esquema Nacional de Seguridad y en
concreto:
a) Garantizar la confidencialidad, integridad, disponibilidad y resiliencia
permanentes de los sistemas y servicios de tratamiento.
b) Restaurar la disponibilidad y el acceso a los datos personales de forma rápida en
caso de incidente físico o técnico.
c) Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y
organizativas implantadas para garantizar la seguridad del tratamiento.
d) Seudonimizar y cifrar los datos personales, en su caso.
El encargado recogerá en un informe la evaluación de riesgos de seguridad de la
información y se lo entregará al responsable. El alcance de dicha evaluación de riesgos
de seguridad de la información será la totalidad de datos tratados por cuenta del
responsable. Las medidas de seguridad abarcarán la protección de los sistemas de
información, así como de los sistemas de tratamiento manual y archivo de la
documentación.
Registro de actividades de tratamiento: El encargado llevará un registro de todas las
categorías de actividades de tratamiento efectuadas por cuenta del responsable con el
contenido estipulado en el artículo 30.2 del RGPD, salvo que pueda ampararse en
alguna de las excepciones del artículo 30.5. No comunicación: El encargado no
comunicará los datos a terceras personas, salvo que cuente con la autorización expresa
del responsable, en los supuestos legalmente admisibles.
Formación de las personas autorizadas: El encargado garantizará la formación
necesaria en materia de protección de datos personales de las personas autorizadas
para tratar datos personales.
Ejercicio de los derechos: Los derechos de acceso, rectificación, supresión y, en su
caso, limitación, portabilidad u oposición se ejercerán por los interesados ante el
responsable del Tratamiento. Si la entidad firmante recibiese una petición de ejercicio de
derechos deberá informar inmediatamente al interesado o afectado de la identidad del
Responsable del Tratamiento, para que aquél se dirija al mismo. La comunicación debe
hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de
la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan
ser relevantes para resolver la solicitud.
Notificación de violaciones de la seguridad: El encargado notificará al responsable,
sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas, las
violaciones de la seguridad de los datos personales a su cargo de las que tenga
conocimiento, juntamente con toda la información relevante consignada en el
artículo 33.3 del RGPD. Apoyo en realización de evaluaciones de impacto para la
protección de datos: El Encargado dará apoyo al responsable en la realización de las
evaluaciones de impacto relativas a la protección de datos cuando proceda.
Cumplimiento de las obligaciones: El encargado pondrá a disposición del
Responsable toda la información necesaria para demostrar el cumplimiento de sus
cve: BOE-A-2025-1449
Verificable en https://www.boe.es
Núm. 23
