Agencia Estatal Boletín Oficial del Estado
Con fecha 31 de octubre de 2024 se ha suscrito el Convenio entre el Ministerio de Derechos Sociales, Consumo y Agenda 2030 y la Ciudad Autónoma de Ceuta para la difusión e implantación del aplicativo SEGISS en sustitución de SIUSS, y el Intercambio de Información en SIESS.
En cumplimiento de lo dispuesto en el apartado 8 del artículo 48 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, una vez inscrito en el Registro Electrónico Estatal de Instrumentos de Cooperación, procede la publicación en el «Boletín Oficial del Estado» de dicho convenio, que figura como anexo a esta resolución.
Madrid, 8 de noviembre de 2024.–La Directora General de Diversidad Familiar y Servicios Sociales, Patricia Bezunartea Barrio.
REUNIDOS
De una parte, doña Patricia Bezunartea Barrio, Directora General de Diversidad Familiar y Servicios Sociales del Ministerio de Derechos Sociales, Consumo y Agenda 2030, nombrado/a mediante Real Decreto 461/2020, de 12 de marzo (BOE número 65, de 13 de marzo de 2020) en nombre y representación de la Administración General del Estado,de conformidad con lo dispuesto en la Orden DCA/249/2024, de 15 de marzo, de fijación de límites de gasto y de delegación de competencias, y en virtud del Real Decreto 209/2024, de 27 de febrero, por el que se desarrolla la estructura orgánica básica del Ministerio de Derechos Sociales, Consumo y Agenda 2030 (BOE número 52 de 28 de febrero de 2024).
Y de otra, doña Nabila Benzina Pavón, Consejera de Sanidad y Servicios Sociales de la Ciudad Autónoma de Ceuta, nombrada en virtud del de Sanidad y Servicios Sociales de la Ciudad Autónoma de Ceuta, nombrada en virtud del Decreto de la Presidencia de fecha 23 de junio de 2023, (BOCCE extraordinario número 42, de 23 de junio de 2023) y 29 de noviembre de 2023 (BOCCE extraordinario número 73, de 29 de noviembre de 2023), por el que se le atribuyen, entre otras, las competencias en materia de Asistencia Social, prestación de los servicios sociales y de promoción y de reinserción social.
Ambas partes intervinientes en la representación y con las facultades que sus respectivos cargos les confieren, reconociéndose mutuamente capacidad y legitimación para obligarse y convenir, y al efecto
MANIFIESTAN
Que el entonces Ministerio de Derechos Sociales Agenda 2030 y la Ciudad Autónoma de Ceuta, firmaron con fecha 2 de diciembre de 2020, un convenio para la difusión e implantación de SIUSS y su aplicación informática, y el intercambio de información.
Que conforme a lo indicado en la cláusula segunda del citado convenio, el Ministerio de Derechos Sociales y Agenda 2030 concedió a la Ciudad Autónoma de Ceuta la licencia de uso para la utilización del programa informático, en entorno web, dentro del ámbito de su territorio.
La Ciudad Autónoma de Ceuta se comprometió a la implantación de SIUSS en su territorio, dándoles acceso al programa informático.
Que tal como señalaba la cláusula tercera del citado convenio, la Ciudad Autónoma de Ceuta es responsable del fichero de datos personales denominado «Sistema de Información de Usuarios de Servicios Sociales (SIUSS)», debidamente declarado e inscrito en el Registro de Ficheros de Datos Personales de la Agencia Española de Protección de Datos, siendo el mismo instrumental respecto a las competencias que las leyes le otorgan para la prestación de servicios sociales.
Que tal como señalaba la cláusula cuarta del citado convenio, el Ministerio de Derechos Sociales y Agenda 2030, conforme a lo establecido en el artículo 12 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante LOPD), se constituye en «encargado del tratamiento» (en adelante encargado) y alojará en sus servidores la información contenida en el fichero «Sistema de Información de Usuarios de Servicios Sociales (SIUSS)», del que es responsable la corporación local, tal como señala la cláusula tercera, limitándose su actuación al simple alojamiento y realización de tareas de backup y a la prestación al responsable de los servicios necesarios para que este pueda usar la información, cargarla y explotarla, sin que pueda, en ningún caso, acceder a los datos personales que el fichero contiene.
Que tal como señalaba la cláusula séptima del citado convenio el Ministerio deberá instrumentalizar y poner a disposición de los responsables de los ficheros, a través de la comunidad autónoma, los medios necesarios para que tenga acceso en todo momento a su fichero y pueda realizar en él las actuaciones y explotaciones que tenga por conveniente.
Que tal como indicaba la cláusula undécima del citado convenio y en el anexo de subcontratación suscrito «El encargado no podrá subcontratar las tareas encomendadas mediante el presente encargo. En caso de necesitar subcontratarlo se precisará la firma por las partes de un anexo a este convenio, con indicación de los servicios a subcontratar y el adjudicatario de los mismos».
Que el Sistema de Información de Usuarios/as de Servicios Sociales (SIUSS) gestionado en el presente por el Ministerio de Derechos Sociales, Consumo y Agenda 2030, a pesar de haber sufrido numerosas modificaciones y actualizaciones, es insuficiente para dar un servicio ágil a los profesionales y para incorporar nuevas funcionalidades que se consideran imprescindibles para una gestión de calidad y para la obtención de datos fiables. Por los motivos expuestos, en el marco del Plan Nacional de Recuperación, Transformación y Resiliencia, se ha impulsado, por una parte, la creación de un nuevo Sistema Estatal de Gestión de la Información de Servicios Sociales (SEGISS), que reemplazará a SIUSS como aplicación informática y, por otra, la creación de un Sistema de Información Estatal de los Servicios Sociales (SIESS), para la explotación estadística de la información, que recogerá y aglutinará la información disponible en los distintos sistemas de información sobre servicios sociales, independientemente de que usen o no SIUSS o SEGISS. Ambas herramientas son el resultado de la fragmentación de SIUSS en dos aplicaciones diferenciadas: una primera, SEGISS (para el trabajo diario) y una segunda, SIESS (para el intercambio de información), manteniendo los contenidos, pero aplicando las nuevas tecnologías disponibles para obtener herramientas más ágiles y que respondan mejor a las necesidades de los profesionales.
Que el Ministerio de Derechos Sociales, Consumo y Agenda 2030, en virtud de sus competencias que le vienen atribuidas por el Real Decreto 829/2023, de 20 de noviembre, por el que se modifica el Real Decreto 311/2021, de 4 de mayo, por el que se establece la estructura orgánica básica de los departamentos ministeriales, modificado por el y el Real Decreto 209/2024, de 27 de febrero, por el que se desarrolla la estructura orgánica básica del Ministerio de Derechos Sociales, Consumo y Agenda 2030 (BOE número 52, de 28 de febrero de 2024), y la Ciudad Autónoma de Ceuta, de conformidad con lo establecido en la Ley Orgánica 1/95 de 30 de marzo, que aprueba su Estatuto de Autonomía y que le confiere competencias en materia de Acción Social y Servicios Sociales, de acuerdo con lo establecido en el artículo 47 de la Ley 40/2015, de 1 de octubre, del régimen jurídico del sector público y en el artículo 140 de la citada ley, sobre las relaciones que deben regir entre las administraciones públicas, las partes firmantes desean formalizar el presente convenio, con arreglo a las siguientes:
CLÁUSULAS
Constituye el objeto del presente convenio, la colaboración entre el Ministerio de Derechos Sociales, Consumo y Agenda 2030 y la Ciudad Autónoma de Ceuta para la difusión e implantación del aplicativo SEGISS, en sustitución de SIUSS y su aplicación informática, y el intercambio de información en SIESS.
El Ministerio de Derechos Sociales, Consumo y Agenda 2030 concede a la Ciudad Autónoma de Ceuta la licencia de uso para la utilización de la aplicación informática SEGISS, en sustitución de SIUSS, dentro del ámbito de su territorio.
La Ciudad Autónoma de Ceuta se compromete a la difusión e implantación de SEGISS, en sustitución de SIUSS en su territorio, siempre que las entidades garanticen el cumplimiento de la normativa aplicable en materia de protección de datos personales y específicamente, que lleven un Registro de Actividades de Tratamiento, en cumplimiento del Reglamento 2016/679 de la UE relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Asimismo, se compromete a enviar anualmente al Ministerio de Derechos Sociales, Consumo y Agenda 2030, la información necesaria para la explotación de los datos, mediante descargas de los mismos, adaptadas a la nueva aplicación SIESS que sustituye a SIUSS Web de Explotación de Datos. Dicha información se referirá a la disponible en la Ciudad de todas las Unidades de Trabajo Social que no utilicen SEGISS, ni utilizaran anteriormente SIUSS como herramienta de gestión para los servicios sociales comunitarios municipales. Esta información se enviará anonimizada, y agregada a efectos exclusivamente estadísticos, no incluyendo datos personales.
El Ministerio de Derechos Sociales, Consumo y Agenda 2030 podrá realizar explotaciones de la información que se le facilita y publicarlas, adoptando las medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.
Que la citada ciudad autónoma, es responsable del tratamiento de los datos y, de acuerdo con lo indicado en el artículo 28 de la Ley Orgánica 3/2018, de 5 de diciembre, y teniendo en cuenta los elementos enumerados en los artículos 24 y 25 del Reglamento (UE) 2016/679, determinarán las medidas técnicas y organizativas apropiadas que deben aplicar a fin de garantizar y acreditar que el tratamiento es conforme con el citado reglamento, con la citada ley orgánica, sus normas de desarrollo y la legislación sectorial aplicable.
El tratamiento de los datos personales por parte de cada corresponsable se efectuará siempre en el marco de la normativa aplicable en materia de protección de datos, además de por lo establecido en el presente convenio, teniendo en cuenta la tipología de la información y datos personales a tratar.
Estos datos a tratar consistirán en información identificativa de la persona usuaria, y también sobre las prestaciones y servicios solicitados y concedidos a la misma, lo que puede implicar el tratamiento de categorías especiales de datos personales, de los establecidos en el artículo 9.1 del Reglamento (UE) 2016/679. Por tanto, el tratamiento de estos datos tendrá que estar amparado en la normativa autonómica en materia de Servicios Sociales, en el consentimiento expreso de los afectados o alguna otra de las circunstancias recogidas en el artículo 9.2 del reglamento.
La especial protección de estas categorías de datos sensibles se tendrá en cuenta en la realización del análisis de riesgo y la adopción de las medidas de seguridad adecuadas, según lo establecido en los artículos 24 y 32 del Reglamento (UE) 2016/679. Asimismo, será obligatoria la realización por el responsable de la Evaluación de Impacto prevista en el artículo 35 de este reglamento.
Tanto los responsables como los encargados del tratamiento de los datos se comprometen al cumplimiento de lo establecido en la normativa que regula el Esquema Nacional de Seguridad (ENS).
En observancia de lo dispuesto en el Reglamento UE 2016/679, de 27 de abril y en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, el Encargo de Tratamiento suscrito entre el Ministerio de Derechos Sociales, Consumo y Agenda 2030 y la Ciudad Autónoma de Ceuta, se regirá por las instrucciones al encargado del tratamiento que se detallan en el anexo 1 de este convenio.
El presente convenio no conlleva compromisos económicos.
La Comisión Delegada de Servicios Sociales del Consejo Territorial de Servicios Sociales y del Sistema para la Autonomía y Atención a la Dependencia, que actuará como Comisión de Seguimiento, interpretará y conocerá de las discrepancias a que su ejecución pudiera dar lugar.
La Comisión de Seguimiento velará por el cumplimiento de las cláusulas del convenio y decidirá sobre las posibles revisiones futuras referentes a lo convenido y que afecten al conjunto de las comunidades autónomas.
La composición de la Comisión Delegada de Servicios Sociales se determina normativamente, conforme al artículo 13 de la Resolución de 25 de febrero de 2019, de la Secretaría de Estado de Servicios Sociales, por la que se publica el Reglamento interno del Consejo Territorial de Servicios Sociales y del Sistema para la Autonomía y Atención a la Dependencia.
La comisión en su funcionamiento se regirá por lo previsto en la citada Resolución de 25 de febrero de 2019, y supletoriamente por lo estipulado en la sección tercera, del capítulo II, del título preliminar de la Ley 40/2015, de 1 de octubre.
Las partes firmantes de conformidad con el artículo 51.2.b) de la Ley 40/2015, de 1 de octubre, acuerdan que a los seis meses desde la publicación en BOE, previa inscripción en el REOICO, el presente convenio sustituirá en su totalidad al firmado por las partes en fecha 2 de diciembre de 2020, convenio que por consiguiente se declarará resuelto, liquidado y extinto.
El encargado y el responsable deberán informar y formar al personal que trate la información sobre las obligaciones y prohibiciones que establece la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales y, en especial, con lo dispuesto en el artículo 5.2 sobre su deber de secreto profesional. Asimismo, participarán junto con la Ciudad Autónoma en la formación en el uso del aplicativo SEGISS, en sustitución de SIUSS de los profesionales de los servicios sociales.
El presente convenio tiene vigencia de cuatro años pudiendo prorrogarse, en cualquier momento antes de su finalización, por el mismo periodo por acuerdo expreso de las partes.
Conforme a lo indicado en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, este convenio resultará eficaz una vez inscrito, en el plazo de cinco días hábiles desde su formalización, en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación del Sector Público Estatal, al que se refiere la disposición adicional séptima. Asimismo, será publicado en el plazo de diez días hábiles desde su formalización en el «Boletín Oficial del Estado», sin perjuicio de su publicación facultativa en el boletín oficial de la ciudad autónoma.
El presente convenio solo podrá ser modificado mediante adenda modificativa, siguiendo los mismos trámites que para su suscripción, por acuerdo de los firmantes originarios del convenio o sus representantes debidamente autorizados. El resto de firmantes adheridos serán informados de cualquier propuesta de modificación por parte de la Comisión de Seguimiento y si en diez días naturales no han presentado oposición se entenderá su conformidad con la misma. En caso de no estar de acuerdo, se pondrá de manifiesto la discrepancia por parte del firmante adherido y se valorará por la Comisión de Seguimiento si puede llegarse a un acuerdo o se acuerda la resolución del convenio con dicho firmante.
Serán causas de extinción de este convenio, el cumplimiento de las actuaciones que constituyen su objeto o por incurrir en causa de resolución, siendo estas las señaladas en el artículo 51 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, cuyo tenor literal establece las siguientes:.
a) El transcurso del plazo de vigencia del convenio sin haberse acordado su prórroga.
b) El acuerdo unánime de todos los firmantes.
c) El incumplimiento de las obligaciones y compromisos asumidos por parte de alguno de los firmantes.
En este caso, cualquiera de las partes podrá notificar a la parte incumplidora un requerimiento para que cumpla en un determinado plazo con las obligaciones o compromisos que se consideren incumplidos. Este requerimiento será comunicado a la Comisión de Seguimiento, prevista en la cláusula cuarta.
Si transcurrido el plazo indicado en el requerimiento persistiera el incumplimiento, la parte que lo dirigió notificará a la otra parte la concurrencia de la causa de resolución y se entenderá resuelto el convenio.
d) La decisión judicial declaratoria de la nulidad del convenio.
e) Cualquier otra causa distinta de las anteriores prevista en el convenio o en otras leyes.
Este convenio tiene naturaleza administrativa, según lo dispuesto en el artículo 47.1 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Las controversias que pudieran surgir sobre la interpretación, modificación, resolución y efectos se resolverán entre las partes agotando todas las formas posibles de conciliación para llegar a un acuerdo extrajudicial. En su defecto, serán competentes para conocer las cuestiones litigiosas los órganos del orden jurisdiccional contencioso-administrativo, conforme a lo dispuesto en la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa.
El presente convenio queda sometido al régimen jurídico de convenios previsto en el capítulo VI del título preliminar de Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Y para que así conste, y en prueba de conformidad, las partes intervinientes firman el presente convenio, en la fecha de la firma electrónica (31 de octubre de 2024).–Por el Ministro de Derechos Sociales, Consumo y Agenda 2030, P. D. (Orden DCA/249/2024, de 15 de marzo), la Directora General de Diversidad Familiar y Servicios Sociales, Patricia Bezunartea Barrio.–Por la Ciudad Autónoma de Ceuta, la Consejera de Sanidad y Servicios Sociales, Nabila Benzina Pavón.
1. Objeto del encargo e idoneidad del encargado
El objeto del encargo es el alojamiento en los servidores del Ministerio de Derechos Sociales, Consumo y Agenda 2030 (Encargado) de la información contenida en el fichero «Sistema Estatal de Gestión de la Información de Servicios Sociales» (SEGISS), como nueva aplicación que sustituye al fichero «Sistema de Información de Usuarios de Servicio Sociales» (SIUSS).
La actividad de alojamiento de los datos conlleva la realización de tareas de backup y cuantos servicios adicionales resulten necesarios para que el responsable del tratamiento de datos pueda usar, cargar y explotar la información en ella contenida en todo momento.
La idoneidad del encargado, a los efectos del artículo 28 del citado RGPD y de la Ley Orgánica 3/2018, se basa en la declaración de reunir las garantías que exige la normativa vigente en materia de protección de datos.
2. Identificación de los datos personales afectados/tratados
En el entorno SEGISS, como nuevo aplicativo que sustituye a SIUSS, se tratan, evalúan y analizan los datos relativos a los usuarios de los servicios sociales prestados por profesionales en el ámbito de la ciudad autónoma.
3. Duración
El encargo de tratamiento tendrá la misma duración que el convenio que trae causa, finalizando en el momento que deje de surtir efectos el mismo.
4. Medidas organizativas, técnicas y de seguridad
El encargado se obliga a:
– No tener acceso a los datos personales contenidos en SEGISS, anteriormente SIUSS. No obstante, el Ministerio de Derechos Sociales, Consumo y Agenda 2030, en el ejercicio de sus competencias, podrá realizar explotaciones de la información contenida en SEGISS, como nuevo aplicativo que sustituye a SIUSS, siempre que la misma se haga sin utilizar datos de carácter personal, esto es, se disocie la información de las personas físicas del resto de las informaciones relevantes garantizando que en ningún caso pudiera llegarse a identificar a las mismas.
– Adoptar las medidas técnicas, organizativas y de seguridad, necesarias para garantizar la confidencialidad de los datos, de acuerdo con las instrucciones del Responsable y la normativa; en todo caso, tratar los datos exclusivamente para la finalidad señalada, observando las exigencias específicas para los datos especialmente protegidos.
– Llevar un registro por escrito de todas las actividades del tratamiento y las personas que lo realizan, procediendo a la seudonimización, la anonimización, de los datos o al cifrado, conforme a los medios técnicos disponibles, garantizando en todo caso la confidencialidad, la integridad y la disponibilidad de los datos afectado. Este registro deberá ser puesto a disposición del responsable en cualquier momento.
– Exigir de su personal autorizado para el uso del aplicativo SEGISS, anteriormente SIUSS, que se comprometa expresamente a observar el contenido del presente acuerdo, cumpliendo en todas las medidas de seguridad implementadas, de las que han de ser previamente informados. Este compromiso se entenderá cumplido cuando venga impuesto por una obligación de naturaleza estatutaria.
– Verificar y evaluar el grado de cumplimiento de estas medidas en cada ocasión, identificando y comunicando a este responsable (y/o a su Delegado de Protección de Datos) la persona de contacto asignada. En su caso, colaborar en el análisis de impacto y a la evaluación del riesgo del tratamiento con el responsable.
– Facilitar, cuando así le sea requerido, las auditorías y actuaciones de control e inspección que de dicho tratamiento realice, tanto el propio Responsable como la Autoridad de control competente en un plazo máximo a determinar en cada requerimiento, colaborando en todo momento con el Responsable y/o su Delegado de Protección de Datos. Asimismo, deberá proceder a la notificación de las violaciones de seguridad al Responsable y a las Autoridades de Protección de Datos que resulten competentes y/o en su caso, a los propios titulares de los datos afectados, de forma coordinada y autorizada por el responsable.
– Informar inmediatamente al Responsable si, en su opinión, una instrucción infringe el RGPD u otras disposiciones en materia de protección de datos de la Unión Europea o de España. También le comunicará con carácter urgente cualquier violación de seguridad que se produzca respecto al tratamiento de datos de SEGISS, anteriormente de SIUSS.
– No ceder, publicar ni comunicar datos personales a terceras personas, salvo previa y expresa autorización por parte del responsable del tratamiento y siempre que se trate de los supuestos previstos en la normativa o en el apartado quinto.
– De estar adherido el encargado de tratamiento a un código de conducta de protección de datos, deberá adoptar cuantas medidas adicionales le vengan impuestas en dicho código o certificado.
5. Suscripción de acuerdo de encargo a terceros
El encargado no podrá modificar o trasladar la encomienda a otro Encargado, ni ceder los datos a un tercero sin la expresa autorización por escrito del Responsable en el plazo de quince días hábiles desde la recepción de la solicitud de autorización. En el supuesto de que el Responsable lo autorice, el Encargado deberá de comunicar los datos de contacto de la Entidad con la que se acuerde la externalización del trabajo, avalando su idoneidad para el servicio externalizado. En tal caso, dicha entidad, ostentará la condición de Encargado de Tratamiento, siendo necesario a tal efecto que suscriba un Acuerdo de Encargo de Tratamiento Específico con el Ministerio de Derechos Sociales y Agenda 2030, adicional al presente.
El Ministerio de Derechos Sociales, Consumo y Agenda 2030 como Encargado principal seguirá respondiendo íntegramente de las obligaciones legales y las consignadas en el presente documento.
6. Derechos de los afectados y colaboración con las autoridades de control
El encargado deberá asistir al responsable, en la respuesta a los afectados titulares de los datos en el ejercicio de sus derechos. A tal fin, cuando las personas afectadas ejerzan los derechos de acceso, rectificación u oposición; en su caso, la portabilidad de los datos o el derecho a no ser objeto de decisiones automatizadas y aquellos otros que figuren en los artículos 12-22 del RGPD y en la Ley Orgánica 3/2018, deberá comunicar a la mayor brevedad posible la solicitud al Responsable y/o su Delegado de Protección de Datos teniendo en cuenta que el tiempo de respuesta al ciudadano no podrá superar el mes natural.
Asimismo, deberá de facilitarle al solicitante que quiera ejercer sus derechos los datos relativos al Responsable del Tratamiento de Datos:
| Responsable. | |
| Finalidad. | Tratamiento de los datos personales de las personas usuarias de los servicios sociales. |
| Legitimación. | Artículo 6.1.e) RGPD, en su caso, RGPD 6.1.b), 6.1.c) y RGPD 9.2.h). |
| Derechos a ejercer. | Acceso, rectificación u oposición; en su caso, cancelación, portabilidad de los datos y el derecho a no ser objeto de decisiones automatizadas. |
| Datos de contacto. | |
| Información Adicional. |
7. Destino final de los datos personales tratados
Cumplida la prestación objeto del presente encargo, el encargado deberá devolver todos los tratamientos de datos personales, al igual que cuanta documentación o soporte se haya elaborado como consecuencia de los mismos. Únicamente podrá conservar una copia anonimizada del tratamiento a los efectos probatorios en caso eventuales responsabilidades jurídicas futuras.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid
