Ministerio de Inclusión, Seguridad Social y Migraciones. III. Otras disposiciones. Comunidad Autónoma de las Illes Balears. Convenio. (BOE-A-2025-12801)
Resolución de 18 de junio de 2025, de la Secretaría General Técnica, por la que se publica el Convenio entre el Instituto Nacional de la Seguridad Social, la Comunidad Autónoma de las Illes Balears, las Mutuas Colaboradoras con la Seguridad Social y la Asociación de Mutuas de Accidentes de Trabajo y Enfermedades Profesionales, para la mejora en la gestión de la incapacidad temporal y de asistencia sanitaria.
21 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Lunes 23 de junio de 2025
Sec. III. Pág. 83402
concretamente los datos de identificación y contacto, la finalidad del tratamiento y su
base jurídica, los plazos de conservación, las cesiones y transferencias de datos y los
derechos de Protección de Datos que puedan ejercitarse.
b) Atención de derechos del interesado. Las partes responderán a las respectivas
solicitudes de ejercicio de derechos de protección de datos que los interesados puedan
dirigirles, de forma inmediata y en todo caso, dentro del plazo legalmente establecido.
En caso de que una de las partes reciba una petición que deba ser respondida por la
otra parte, la parte receptora facilitará al afectado los datos del responsable
correspondiente al que debe dirigirse en atención de su derecho.
c) Confidencialidad. Las partes se comprometen a cumplir con sus deberes de
confidencialidad y secreto, estableciendo las normas que garanticen su cumplimiento por
todo el personal con acceso a datos, por motivo del convenio suscrito entre las partes.
Las partes se comprometen a realizar los registros de accesos a la historia clínica
que deberán contener, al menos, la identificación del profesional que accede, la finalidad,
la fecha y hora del acceso y la información consultada.
d) Encargados del tratamiento. Las partes podrán designar y emplear encargados
del tratamiento de datos para el cumplimiento del convenio a que se refiere este
acuerdo.
Cada parte será responsable de suscribir un acuerdo con los encargados del
tratamiento y proporcionarles las instrucciones necesarias que garanticen la protección
de los datos personales objeto de encargo.
e) Medidas de seguridad. Cada parte aplicará las medidas técnicas y de
organización adecuadas para la protección de los datos personales que en función del
riesgo procedan teniendo en cuenta el estado de la técnica, costes de aplicación,
naturaleza, el contexto y los fines del tratamiento, así como riesgos de probabilidad y
gravedad variables para los derechos y libertades de los interesados, concretamente las
siguientes:
– La seudonimización y el cifrado de datos personales cuando sea procedente.
– La capacidad de garantizar la confidencialidad, integridad, disponibilidad y
resiliencia permanentes de los sistemas y servicios de tratamiento.
– La capacidad de restaurar la disponibilidad y el acceso a los datos personales de
forma rápida, en caso de incidente físico o técnico.
– Un proceso de verificación, evaluación y valoración regulares de la eficacia de las
medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
En todo caso, cada parte deberá adoptar las medidas de seguridad técnicas y
organizativas que garanticen que la información que se comunique o a la que se acceda
por la otra parte es adecuada, pertinente y necesaria en relación con la finalidad
pretendida, respetando siempre el principio de minimización de datos personales.
f) Brechas de seguridad de datos. Cada una de las partes, (MCSS y SPS) como
responsables del tratamiento en sus respectivos datos personales, tendrán la obligación
de notificar a la autoridad de control competente, la AEPD, las brechas de datos
personales, cuando sea probable que constituyan un riesgo para los derechos y
libertades de las personas, en un plazo de setenta y dos horas desde que la
organización tiene constancia de la brecha (de acuerdo con el artículo 33 y 34 del
RGPD).
No será necesaria la notificación cuando sea improbable que dicha violación de la
seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
Si se dispone de ella, se facilitará, como mínimo, la información siguiente:
1. Descripción de la naturaleza de la violación de la seguridad de los datos
personales, inclusive, cuando sea posible, las categorías y el número aproximado de
interesados afectados, y las categorías y el número aproximado de registros de datos
personales afectados.
cve: BOE-A-2025-12801
Verificable en https://www.boe.es
Núm. 150
Lunes 23 de junio de 2025
Sec. III. Pág. 83402
concretamente los datos de identificación y contacto, la finalidad del tratamiento y su
base jurídica, los plazos de conservación, las cesiones y transferencias de datos y los
derechos de Protección de Datos que puedan ejercitarse.
b) Atención de derechos del interesado. Las partes responderán a las respectivas
solicitudes de ejercicio de derechos de protección de datos que los interesados puedan
dirigirles, de forma inmediata y en todo caso, dentro del plazo legalmente establecido.
En caso de que una de las partes reciba una petición que deba ser respondida por la
otra parte, la parte receptora facilitará al afectado los datos del responsable
correspondiente al que debe dirigirse en atención de su derecho.
c) Confidencialidad. Las partes se comprometen a cumplir con sus deberes de
confidencialidad y secreto, estableciendo las normas que garanticen su cumplimiento por
todo el personal con acceso a datos, por motivo del convenio suscrito entre las partes.
Las partes se comprometen a realizar los registros de accesos a la historia clínica
que deberán contener, al menos, la identificación del profesional que accede, la finalidad,
la fecha y hora del acceso y la información consultada.
d) Encargados del tratamiento. Las partes podrán designar y emplear encargados
del tratamiento de datos para el cumplimiento del convenio a que se refiere este
acuerdo.
Cada parte será responsable de suscribir un acuerdo con los encargados del
tratamiento y proporcionarles las instrucciones necesarias que garanticen la protección
de los datos personales objeto de encargo.
e) Medidas de seguridad. Cada parte aplicará las medidas técnicas y de
organización adecuadas para la protección de los datos personales que en función del
riesgo procedan teniendo en cuenta el estado de la técnica, costes de aplicación,
naturaleza, el contexto y los fines del tratamiento, así como riesgos de probabilidad y
gravedad variables para los derechos y libertades de los interesados, concretamente las
siguientes:
– La seudonimización y el cifrado de datos personales cuando sea procedente.
– La capacidad de garantizar la confidencialidad, integridad, disponibilidad y
resiliencia permanentes de los sistemas y servicios de tratamiento.
– La capacidad de restaurar la disponibilidad y el acceso a los datos personales de
forma rápida, en caso de incidente físico o técnico.
– Un proceso de verificación, evaluación y valoración regulares de la eficacia de las
medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
En todo caso, cada parte deberá adoptar las medidas de seguridad técnicas y
organizativas que garanticen que la información que se comunique o a la que se acceda
por la otra parte es adecuada, pertinente y necesaria en relación con la finalidad
pretendida, respetando siempre el principio de minimización de datos personales.
f) Brechas de seguridad de datos. Cada una de las partes, (MCSS y SPS) como
responsables del tratamiento en sus respectivos datos personales, tendrán la obligación
de notificar a la autoridad de control competente, la AEPD, las brechas de datos
personales, cuando sea probable que constituyan un riesgo para los derechos y
libertades de las personas, en un plazo de setenta y dos horas desde que la
organización tiene constancia de la brecha (de acuerdo con el artículo 33 y 34 del
RGPD).
No será necesaria la notificación cuando sea improbable que dicha violación de la
seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
Si se dispone de ella, se facilitará, como mínimo, la información siguiente:
1. Descripción de la naturaleza de la violación de la seguridad de los datos
personales, inclusive, cuando sea posible, las categorías y el número aproximado de
interesados afectados, y las categorías y el número aproximado de registros de datos
personales afectados.
cve: BOE-A-2025-12801
Verificable en https://www.boe.es
Núm. 150
