Ministerio de La Presidencia, Justicia y Relaciones Con Las Cortes. III. Otras disposiciones. Convenios. (BOE-A-2025-14271)
Resolución de 3 de julio de 2025, de la Subsecretaría, por la que se publica el Convenio entre el Instituto Nacional de la Seguridad Social, el Instituto Nacional de Gestión Sanitaria, las Mutuas Colaboradoras con la Seguridad Social y la Asociación de Mutuas de Accidentes de trabajo y enfermedades profesionales, para la mejora en la gestión de la incapacidad temporal y de asistencia sanitaria.
22 páginas totales
Página
Zahoribo únicamente muestra información pública que han sido publicada previamente por organismos oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
Cualquier dato, sea personal o no, ya está disponible en internet y con acceso público antes de estar en Zahoribo. Si lo ves aquí primero es simple casualidad.
No ocultamos, cambiamos o tergiversamos la información, simplemente somos un altavoz organizado de los boletines oficiales de España.
BOLETÍN OFICIAL DEL ESTADO
Jueves 10 de julio de 2025
Sec. III. Pág. 92196
e) Medidas de seguridad. Cada parte aplicará las medidas técnicas y de
organización adecuadas para la protección de los datos personales que en función del
riesgo procedan teniendo en cuenta el estado de la técnica, costes de aplicación,
naturaleza, el contexto y los fines del tratamiento, así como riesgos de probabilidad y
gravedad variables para los derechos y libertades de los interesados, concretamente las
siguientes:
– La seudonimización y el cifrado de datos personales cuando sea procedente.
– La capacidad de garantizar la confidencialidad, integridad, disponibilidad y
resiliencia permanentes de los sistemas y servicios de tratamiento.
– La capacidad de restaurar la disponibilidad y el acceso a los datos personales de
forma rápida, en caso de incidente físico o técnico.
– Un proceso de verificación, evaluación y valoración regulares de la eficacia de las
medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
En todo caso, cada parte deberá adoptar las medidas de seguridad técnicas y
organizativas que garanticen que la información que se comunique o a la que se acceda
por la otra parte es adecuada, pertinente y necesaria en relación con la finalidad
pretendida, respetando siempre el principio de minimización de datos personales.
f) Brechas de seguridad de datos. Cada una de las partes, (MCSS e INGESA)
como responsables del tratamiento en sus respectivos datos personales, tendrán la
obligación de notificar a la autoridad de control competente, la AEPD, las brechas de
datos personales, cuando sea probable que constituyan un riesgo para los derechos y
libertades de las personas, en un plazo de 72 horas desde que la organización tiene
constancia de la brecha (de acuerdo con el artículo 33 y 34 del RGPD).
No será necesaria la notificación cuando sea improbable que dicha violación de la
seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
Si se dispone de ella, se facilitará, como mínimo, la información siguiente:
1. Descripción de la naturaleza de la violación de la seguridad de los datos
personales, inclusive, cuando sea posible, las categorías y el número aproximado de
interesados afectados, y las categorías y el número aproximado de registros de datos
personales afectados.
2. El nombre y los datos de contacto del delegado de protección de datos o de otro
punto de contacto en el que pueda obtenerse más información.
3. Descripción de las posibles consecuencias de la violación de la seguridad de los
datos personales.
4. Descripción de las medidas adoptadas o propuestas para poner remedio a la
violación de la seguridad de los datos personales, incluyendo, si procede, las medidas
adoptadas para mitigar los posibles efectos negativos.
Si no es posible facilitar la información simultáneamente, y en la medida en que no lo
sea, la información se facilitará de manera gradual sin dilación indebida.
g) Colaboración. Cada parte pondrá a disposición de la otra toda la información
necesaria para demostrar el cumplimiento de sus obligaciones, así como para la
realización de las auditorías o las inspecciones que realice, así como para atender las
demandas, requerimientos o auditorías por parte de autoridades competentes.
h) Responsabilidad. Las
partes
responderán
separadamente
de
la
responsabilidad que, en su caso, les fuera exigible a las mismas, manteniendo indemne
a la otra parte siempre y cuando la responsabilidad exigible se derivara de una acción u
omisión de cada una de ellas que hubiera producido algún daño a la otra conforme a la
legislación de protección de datos aplicable.
Quinta. Derecho de información.
De conformidad con lo dispuesto en la Ley Orgánica 3/2018, de 5 de diciembre, de
Protección de Datos Personales y garantía de los derechos digitales, así como, el citado
cve: BOE-A-2025-14271
Verificable en https://www.boe.es
Núm. 165
Jueves 10 de julio de 2025
Sec. III. Pág. 92196
e) Medidas de seguridad. Cada parte aplicará las medidas técnicas y de
organización adecuadas para la protección de los datos personales que en función del
riesgo procedan teniendo en cuenta el estado de la técnica, costes de aplicación,
naturaleza, el contexto y los fines del tratamiento, así como riesgos de probabilidad y
gravedad variables para los derechos y libertades de los interesados, concretamente las
siguientes:
– La seudonimización y el cifrado de datos personales cuando sea procedente.
– La capacidad de garantizar la confidencialidad, integridad, disponibilidad y
resiliencia permanentes de los sistemas y servicios de tratamiento.
– La capacidad de restaurar la disponibilidad y el acceso a los datos personales de
forma rápida, en caso de incidente físico o técnico.
– Un proceso de verificación, evaluación y valoración regulares de la eficacia de las
medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
En todo caso, cada parte deberá adoptar las medidas de seguridad técnicas y
organizativas que garanticen que la información que se comunique o a la que se acceda
por la otra parte es adecuada, pertinente y necesaria en relación con la finalidad
pretendida, respetando siempre el principio de minimización de datos personales.
f) Brechas de seguridad de datos. Cada una de las partes, (MCSS e INGESA)
como responsables del tratamiento en sus respectivos datos personales, tendrán la
obligación de notificar a la autoridad de control competente, la AEPD, las brechas de
datos personales, cuando sea probable que constituyan un riesgo para los derechos y
libertades de las personas, en un plazo de 72 horas desde que la organización tiene
constancia de la brecha (de acuerdo con el artículo 33 y 34 del RGPD).
No será necesaria la notificación cuando sea improbable que dicha violación de la
seguridad constituya un riesgo para los derechos y las libertades de las personas físicas.
Si se dispone de ella, se facilitará, como mínimo, la información siguiente:
1. Descripción de la naturaleza de la violación de la seguridad de los datos
personales, inclusive, cuando sea posible, las categorías y el número aproximado de
interesados afectados, y las categorías y el número aproximado de registros de datos
personales afectados.
2. El nombre y los datos de contacto del delegado de protección de datos o de otro
punto de contacto en el que pueda obtenerse más información.
3. Descripción de las posibles consecuencias de la violación de la seguridad de los
datos personales.
4. Descripción de las medidas adoptadas o propuestas para poner remedio a la
violación de la seguridad de los datos personales, incluyendo, si procede, las medidas
adoptadas para mitigar los posibles efectos negativos.
Si no es posible facilitar la información simultáneamente, y en la medida en que no lo
sea, la información se facilitará de manera gradual sin dilación indebida.
g) Colaboración. Cada parte pondrá a disposición de la otra toda la información
necesaria para demostrar el cumplimiento de sus obligaciones, así como para la
realización de las auditorías o las inspecciones que realice, así como para atender las
demandas, requerimientos o auditorías por parte de autoridades competentes.
h) Responsabilidad. Las
partes
responderán
separadamente
de
la
responsabilidad que, en su caso, les fuera exigible a las mismas, manteniendo indemne
a la otra parte siempre y cuando la responsabilidad exigible se derivara de una acción u
omisión de cada una de ellas que hubiera producido algún daño a la otra conforme a la
legislación de protección de datos aplicable.
Quinta. Derecho de información.
De conformidad con lo dispuesto en la Ley Orgánica 3/2018, de 5 de diciembre, de
Protección de Datos Personales y garantía de los derechos digitales, así como, el citado
cve: BOE-A-2025-14271
Verificable en https://www.boe.es
Núm. 165
