D) Anuncios - CONSEJERÍA DE SANIDAD (BOCM-20221210-2)
Convenio – Convenio de colaboración de 21 de noviembre de 2022, entre la Comunidad de Madrid, a través de la Consejería de Sanidad, y la Asociación para la Autorregulación de la Comunicación Comercial (Autocontrol) en materia de control de la actividad publicitaria sobre los sectores que son competencia de la Consejería de Sanidad
12 páginas totales
Página
BOCM
Pág. 32
BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID
SÁBADO 10 DE DICIEMBRE DE 2022
B.O.C.M. Núm. 294
medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) La seudonimización y el cifrado de datos personales.
b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento, así como la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente
físico o técnico.
c) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las
medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
d) Un catálogo de medidas de seguridad reconocido en normativas o estándares de
seguridad de la información.
Al evaluar la adecuación del nivel de seguridad, las partes tendrán en cuenta los riesgos
que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados
de otra forma, o la comunicación o acceso no autorizados a dichos datos. Las partes permitirán y contribuirán a la realización de auditorías, incluidas inspecciones, a la otra parte.
Asimismo, en caso de modificación de la normativa vigente en materia de protección
de datos o de otra normativa relacionada y que resultase aplicable al tratamiento objeto del
convenio, las partes garantizan la implantación y mantenimiento de cualesquiera otras medidas de seguridad que le fueran exigibles, sin que ello suponga una modificación de los
términos del convenio.
En caso de violación de la seguridad de los datos personales en los sistemas de información utilizados por las partes para la prestación de los servicios, deberán notificarse mutuamente, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas hábiles, las violaciones de la seguridad de los datos personales a su cargo de las que tengan
conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia conforme a lo dispuesto en el artículo 33.3 del RGPD.
En tal caso, cada parte en la medida que le corresponda deberá comunicar las violaciones de seguridad de los datos a la Autoridad de Protección de Datos y/o a los interesados
conforme a lo establecido en la normativa vigente.
Sexta
Destino de los datos al finalizar el convenio
Una vez cumplido o resuelto el convenio acordado, cada parte deberá solicitar a la otra
instrucciones precisas sobre el destino de los datos de carácter personal de su responsabilidad, pudiendo elegir entre su devolución, remisión a otro prestador de servicios o destrucción íntegra, siempre que no exista previsión legal que exija la conservación de los datos,
en cuyo caso no podrá procederse a su destrucción.
Séptima
Cada parte deberá dar traslado a la otra de cualquier solicitud de ejercicio del derecho
de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de
los datos y a no ser objeto de decisiones individualizadas automatizadas, efectuada por un
interesado cuyos datos hayan sido tratados por la otra con motivo del cumplimiento del objeto del convenio, a fin de que por el mismo se resuelva en los plazos establecidos por la
normativa vigente.
El traslado de la solicitud a la otra parte deberá hacerse con la mayor celeridad posible
y siempre dentro del plazo de dos días hábiles, a contar desde la recepción de la solicitud,
juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la
solicitud.
Asimismo, las partes deberán tramitar cualquier instrucción relativa a derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de los
datos y a no ser objeto de decisiones individualizadas automatizadas, que reciban de la otra,
a la mayor celeridad posible, y siempre dentro del plazo máximo de dos días hábiles a contar desde la recepción de la solicitud, confirmando por escrito tanto la recepción de la solicitud como la ejecución de la tarea encomendada.
BOCM-20221210-2
Ejercicio de derechos en materia de protección de datos
Pág. 32
BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID
SÁBADO 10 DE DICIEMBRE DE 2022
B.O.C.M. Núm. 294
medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:
a) La seudonimización y el cifrado de datos personales.
b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento, así como la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente
físico o técnico.
c) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las
medidas técnicas y organizativas para garantizar la seguridad del tratamiento.
d) Un catálogo de medidas de seguridad reconocido en normativas o estándares de
seguridad de la información.
Al evaluar la adecuación del nivel de seguridad, las partes tendrán en cuenta los riesgos
que presente el tratamiento de datos, en particular como consecuencia de la destrucción, pérdida o alteración accidental o ilícita de datos personales transmitidos, conservados o tratados
de otra forma, o la comunicación o acceso no autorizados a dichos datos. Las partes permitirán y contribuirán a la realización de auditorías, incluidas inspecciones, a la otra parte.
Asimismo, en caso de modificación de la normativa vigente en materia de protección
de datos o de otra normativa relacionada y que resultase aplicable al tratamiento objeto del
convenio, las partes garantizan la implantación y mantenimiento de cualesquiera otras medidas de seguridad que le fueran exigibles, sin que ello suponga una modificación de los
términos del convenio.
En caso de violación de la seguridad de los datos personales en los sistemas de información utilizados por las partes para la prestación de los servicios, deberán notificarse mutuamente, sin dilación indebida, y en cualquier caso antes del plazo máximo de 24 horas hábiles, las violaciones de la seguridad de los datos personales a su cargo de las que tengan
conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia conforme a lo dispuesto en el artículo 33.3 del RGPD.
En tal caso, cada parte en la medida que le corresponda deberá comunicar las violaciones de seguridad de los datos a la Autoridad de Protección de Datos y/o a los interesados
conforme a lo establecido en la normativa vigente.
Sexta
Destino de los datos al finalizar el convenio
Una vez cumplido o resuelto el convenio acordado, cada parte deberá solicitar a la otra
instrucciones precisas sobre el destino de los datos de carácter personal de su responsabilidad, pudiendo elegir entre su devolución, remisión a otro prestador de servicios o destrucción íntegra, siempre que no exista previsión legal que exija la conservación de los datos,
en cuyo caso no podrá procederse a su destrucción.
Séptima
Cada parte deberá dar traslado a la otra de cualquier solicitud de ejercicio del derecho
de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de
los datos y a no ser objeto de decisiones individualizadas automatizadas, efectuada por un
interesado cuyos datos hayan sido tratados por la otra con motivo del cumplimiento del objeto del convenio, a fin de que por el mismo se resuelva en los plazos establecidos por la
normativa vigente.
El traslado de la solicitud a la otra parte deberá hacerse con la mayor celeridad posible
y siempre dentro del plazo de dos días hábiles, a contar desde la recepción de la solicitud,
juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la
solicitud.
Asimismo, las partes deberán tramitar cualquier instrucción relativa a derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de los
datos y a no ser objeto de decisiones individualizadas automatizadas, que reciban de la otra,
a la mayor celeridad posible, y siempre dentro del plazo máximo de dos días hábiles a contar desde la recepción de la solicitud, confirmando por escrito tanto la recepción de la solicitud como la ejecución de la tarea encomendada.
BOCM-20221210-2
Ejercicio de derechos en materia de protección de datos
