D) Anuncios - CONSEJERÍA DE SANIDAD (BOCM-20221227-45)
Convenio – Convenio de 9 de diciembre de 2022, entre la Comunidad de Madrid, a través de la Consejería de Sanidad, el Servicio Madrileño de Salud, la Universidad Complutense de Madrid, la Universidad Autónoma de Madrid, la Universidad Europea de Madrid, el Centro de Investigaciones Energéticas, Medioambientales y Tecnológicas O. A., M. P., y la Fundación para la Investigación Biomédica del Hospital Universitario “12 de Octubre”, para el mantenimiento y desarrollo del Instituto de Investigación Sanitaria del Hospital Universitario “12 de Octubre” (i+12)
27 páginas totales
Página
BOCM
MARTES 27 DE DICIEMBRE DE 2022
B.O.C.M. Núm. 308
Se considerará información confidencial cualquier información a la que los corresponsables accedan en
virtud del convenio, en especial la información y datos personales a los que haya accedido o acceda durante
su ejecución, salvo aquella información que deba ser pública según lo establecido en la Ley 19/2013, de 9
de diciembre, de transparencia, acceso a la información pública y buen gobierno y la Ley 10/2019, de 10 de
abril, de Transparencia y de Participación de la Comunidad de Madrid.
La obligación de confidencialidad tendrá carácter indefinido, manteniéndose en vigor con
posterioridad a la finalización por cualquier causa de la relación entre las partes.
Los corresponsables garantizarán que su personal, colaboradores, voluntarios y en general, todas las
personas de su responsabilidad que tengan acceso a la información confidencial y a los datos personales
del otro corresponsable respeten la confidencialidad de la información, así como las obligaciones relativas
al tratamiento de datos personales, aun después de finalizar su relación contractual. Por tanto, los
corresponsables realizarán cuantas advertencias y suscribirán cuantos documentos sean necesarios con
dichas personas, con el fin de asegurar el cumplimiento de estas obligaciones.
Los corresponsables mantendrán a disposición de la otra parte la documentación acreditativa del
cumplimiento de la obligación establecida en el párrafo anterior.
CUARTA. - OBLIGACIONES DE LAS PARTES.
Los corresponsables del tratamiento, asumen las siguientes obligaciones:
• Acceder a los datos personales únicamente cuando sea imprescindible para el buen desarrollo
de los servicios.
• Tratar los datos con la única finalidad de dar cumplimiento al objeto del convenio.
• Seguir los procedimientos e instrucciones establecidos por la normativa vigente, especialmente en lo
relativo al deber de información y, en su caso, la obtención del consentimiento de los interesados.
• Si cualquiera de las partes considera que otra infringe el RGPD, la LOPDGDD, o cualquier otra
disposición en materia de protección de datos de la Unión o de los Estados miembros, informará
inmediatamente a las otras, con el fin de proceder a su rápida subsanación.
• Asumir la responsabilidad que corresponda en caso de que destine los datos a otra finalidad
distinta del cumplimiento del objeto del convenio, los comunique o los utilice incumpliendo las
estipulaciones de la normativa vigente, respondiendo de las infracciones en que hubiera incurrido
personalmente.
• No permitir el acceso a los datos personales a ningún empleado de su responsabilidad que no
tenga la necesidad de conocerlos para la prestación de los servicios.
• No revelar, transferir, ceder o de otra forma comunicar los datos personales, ya sea verbalmente
o por escrito, por medios electrónicos, papel o mediante acceso informático, ni siquiera para su
conservación, a ningún tercero, salvo que exista autorización o instrucción previa para ello.
• En caso de estar obligado a ello por el artículo 30 del RGPD y el 31 de la LOPDGDD, mantendrá
un registro de todas las categorías de actividades de tratamiento efectuadas en cumplimiento del
convenio, que contenga la información exigida por el artículo 30.2 del RGPD.
• Garantizar la formación necesaria en materia de protección de datos personales de las personas
autorizadas para tratar datos personales.
• Darse apoyo mutuamente en la realización de las evaluaciones de impacto relativas a la
protección de datos, cuando proceda.
• Darse apoyo mutuamente en la realización de las consultas previas a la Autoridad de Control,
cuando proceda.
• Poner a disposición de la otra parte toda la información necesaria para demostrar el cumplimiento
de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realice
la otra parte con la finalidad de verificar el correcto cumplimiento del convenio.
• Adoptar y aplicar las medidas de seguridad estipuladas en el presente Acuerdo, conforme lo
previsto en el artículo 32 del RGPD, que garanticen la seguridad de los datos personales y eviten
su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la
tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya
provengan de la acción humana o del medio físico o natural. En particular, serán de aplicación las
medidas de seguridad establecidas en el Anexo II del Esquema Nacional de Seguridad.
• En caso de estar obligado a ello por el artículo 37.1 del RGPD, y por el artículo 34 de la
LOPDGDD, designar un delegado de protección de datos y comunicar su identidad y datos de
contacto a la otra parte, así como cumplir con todo lo dispuesto en los artículos 37, 38 y 39 del
RGPD, y 35 a 37 de la LOPDGDD.
• Respetar todas las obligaciones que pudieran corresponderle con arreglo al RGPD y a la LOPDGDD,
o de cualquier otra disposición o regulación complementaria que le fuera igualmente aplicable.
BOCM-20221227-45
Pág. 428
BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID
MARTES 27 DE DICIEMBRE DE 2022
B.O.C.M. Núm. 308
Se considerará información confidencial cualquier información a la que los corresponsables accedan en
virtud del convenio, en especial la información y datos personales a los que haya accedido o acceda durante
su ejecución, salvo aquella información que deba ser pública según lo establecido en la Ley 19/2013, de 9
de diciembre, de transparencia, acceso a la información pública y buen gobierno y la Ley 10/2019, de 10 de
abril, de Transparencia y de Participación de la Comunidad de Madrid.
La obligación de confidencialidad tendrá carácter indefinido, manteniéndose en vigor con
posterioridad a la finalización por cualquier causa de la relación entre las partes.
Los corresponsables garantizarán que su personal, colaboradores, voluntarios y en general, todas las
personas de su responsabilidad que tengan acceso a la información confidencial y a los datos personales
del otro corresponsable respeten la confidencialidad de la información, así como las obligaciones relativas
al tratamiento de datos personales, aun después de finalizar su relación contractual. Por tanto, los
corresponsables realizarán cuantas advertencias y suscribirán cuantos documentos sean necesarios con
dichas personas, con el fin de asegurar el cumplimiento de estas obligaciones.
Los corresponsables mantendrán a disposición de la otra parte la documentación acreditativa del
cumplimiento de la obligación establecida en el párrafo anterior.
CUARTA. - OBLIGACIONES DE LAS PARTES.
Los corresponsables del tratamiento, asumen las siguientes obligaciones:
• Acceder a los datos personales únicamente cuando sea imprescindible para el buen desarrollo
de los servicios.
• Tratar los datos con la única finalidad de dar cumplimiento al objeto del convenio.
• Seguir los procedimientos e instrucciones establecidos por la normativa vigente, especialmente en lo
relativo al deber de información y, en su caso, la obtención del consentimiento de los interesados.
• Si cualquiera de las partes considera que otra infringe el RGPD, la LOPDGDD, o cualquier otra
disposición en materia de protección de datos de la Unión o de los Estados miembros, informará
inmediatamente a las otras, con el fin de proceder a su rápida subsanación.
• Asumir la responsabilidad que corresponda en caso de que destine los datos a otra finalidad
distinta del cumplimiento del objeto del convenio, los comunique o los utilice incumpliendo las
estipulaciones de la normativa vigente, respondiendo de las infracciones en que hubiera incurrido
personalmente.
• No permitir el acceso a los datos personales a ningún empleado de su responsabilidad que no
tenga la necesidad de conocerlos para la prestación de los servicios.
• No revelar, transferir, ceder o de otra forma comunicar los datos personales, ya sea verbalmente
o por escrito, por medios electrónicos, papel o mediante acceso informático, ni siquiera para su
conservación, a ningún tercero, salvo que exista autorización o instrucción previa para ello.
• En caso de estar obligado a ello por el artículo 30 del RGPD y el 31 de la LOPDGDD, mantendrá
un registro de todas las categorías de actividades de tratamiento efectuadas en cumplimiento del
convenio, que contenga la información exigida por el artículo 30.2 del RGPD.
• Garantizar la formación necesaria en materia de protección de datos personales de las personas
autorizadas para tratar datos personales.
• Darse apoyo mutuamente en la realización de las evaluaciones de impacto relativas a la
protección de datos, cuando proceda.
• Darse apoyo mutuamente en la realización de las consultas previas a la Autoridad de Control,
cuando proceda.
• Poner a disposición de la otra parte toda la información necesaria para demostrar el cumplimiento
de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realice
la otra parte con la finalidad de verificar el correcto cumplimiento del convenio.
• Adoptar y aplicar las medidas de seguridad estipuladas en el presente Acuerdo, conforme lo
previsto en el artículo 32 del RGPD, que garanticen la seguridad de los datos personales y eviten
su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la
tecnología, la naturaleza de los datos almacenados y los riesgos a que estén expuestos, ya
provengan de la acción humana o del medio físico o natural. En particular, serán de aplicación las
medidas de seguridad establecidas en el Anexo II del Esquema Nacional de Seguridad.
• En caso de estar obligado a ello por el artículo 37.1 del RGPD, y por el artículo 34 de la
LOPDGDD, designar un delegado de protección de datos y comunicar su identidad y datos de
contacto a la otra parte, así como cumplir con todo lo dispuesto en los artículos 37, 38 y 39 del
RGPD, y 35 a 37 de la LOPDGDD.
• Respetar todas las obligaciones que pudieran corresponderle con arreglo al RGPD y a la LOPDGDD,
o de cualquier otra disposición o regulación complementaria que le fuera igualmente aplicable.
BOCM-20221227-45
Pág. 428
BOLETÍN OFICIAL DE LA COMUNIDAD DE MADRID
