Anexo 1 Decreto512/2015,de29dediciembre,deprestaciónfarmacéuticaenloscentrossociosanitariosresidencialesdeAndalucía.

CONVENIO ENTRE EL SERVICIO ANDALUZ DE SALUD Y ….......................................(la entidad)

De una parte, D./D.ª …….........................………………………, Director Gerente del Servicio Andaluz de Salud, nombrado por Decreto..............(Boletín Oficial de la Junta de Andalucía número....de, .. de ................), en ejercicio de las competencias y facultades que le reconocen el artículo 69 de la Ley 2/1998, de 15 de junio, de Salud de Andalucía y el artículo .......del Decreto.../....., de ....de .........., por el que se establece la estructura orgánica de la Consejería ......................................(Boletín Oficial de la Junta de Andalucía número...., de... de .....de 20...)

Y de otra, D./D.ª ……………………...........................................……………

- Como representante legal de .............…...................... (la entidad) , con DNI ..........................…., en virtud de escritura de poder otorgada ante el Notario de ……........……. en fecha ............. (núm. protocolo ....................).

- Como ................................................... (cargo del firmante y entidad pública) , actuando en su nombre y representación en virtud de ................................................ (norma habilitante, acuerdo o delegación de competencias que legitimen al firmante).

(cumplimentar la opción que proceda)

Ambas partes, con capacidad legal suficiente y poder bastante para la suscripción del presente Convenio.

EXPONEN

1. Que el Servicio Andaluz de Salud (SAS) tiene entre sus competencias, la gestión de la prestación farmacéutica del Sistema Sanitario Público de Andalucía, para las personas con derecho a la misma.

2. Que …..................................................(la entidad) es titular del centro sociosanitario residencial denominado …...................… y sito en ........................… (dirección y municipio), con (núm.) .....…. camas, el cual se encuentra debidamente autorizado para su funcionamiento, con NICA …....... en el Registro Andaluz de Centros, Servicios y Establecimientos Sanitarios.

3. Que conforme a lo dispuesto en el Decreto 512/2015, de 29 de diciembre, de prestación farmacéutica en los centros sociosanitarios residenciales de Andalucía, ambas partes vienen obligadas a suscribir el Convenio previsto en el mismo, para la adscripción del servicio de farmacia del citado centro sociosanitario al servicio de farmacia de un hospital del SAS.

En su virtud, el SAS y ........................… (la entidad), formalizan el presente Convenio, con arreglo a las siguientes

CLÁUSULAS

Primera. Régimen Jurídico.

El presente convenio se regirá, además de por sus condiciones particulares establecidas en las cláusulas y anexos del mismo, al tratarse de un negocio o relación jurídica excluida expresamente por el artículo 6.2. de la Ley 9/2017, de 8 de noviembre, de Contratos del Sector Público, por la que se transponen al ordenamiento jurídico las Directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014, por lo previsto en el Decreto 512/2015 de 29 de diciembre, así como por el Capítulo VI del Título Preliminar de la Ley 40/2015, de 1 de octubre, del Régimen Jurídico del Sector Público.

También es de aplicación, el Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/467CE (Reglamento general de protección de datos); la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales; la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica y Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad.

Segunda. Objeto del Convenio.

Es objeto del presente convenio formalizar la adscripción del servicio de farmacia del centro sociosanitario residencial ...................….. (nombre) al servicio de farmacia del hospital ..............................................….. (nombre)

Tercera. Obligaciones de la entidad.

..............................….. (nombre), como entidad titular del centro sociosanitario residencial ........................ (nombre) se obliga a cumplir con lo dispuesto en los artículos 7 y 8 del Decreto 512/2015, de 29 de diciembre, y en particular:

1. Facilitar la implantación y utilización de las aplicaciones informáticas que el SAS considere necesarias para dar cumplimiento al objeto del convenio.

2. Comunicar a la Subdirección de Prestaciones del SAS, a través del correo electrónico que se habilite al efecto o cualquier otro medio electrónico, la relación de personas residentes en el centro sociosanitario residencial, con derecho a prestación farmacéutica a la fecha de firma del convenio. Los datos a comunicar serán los siguientes:

- Datos de Identificación del centro sociosanitario residencial: número de registro de la Consejería con competencia en materia de igualdad y políticas sociales y NICA.

- Datos de identificación de la persona residente: Nombre y apellidos, NUSS (número de usuario de la Seguridad Social o NUHSA (número único de historia de salud de Andalucía) y DNI

3.- Comunicar las altas y bajas de residentes al Servicio de Atención Ciudadana del Centro de Salud al que se adscriba el residente, en el plazo máximo de 5 días desde que se produzca el hecho causante. Los datos a comunicar son los mismos del apartado anterior, así como la causa del alta/baja.

Cuarta. Procedimientos de actuación.

1. Las actuaciones a seguir por el centro sociosanitario residencial y sus profesionales, relacionados con el suministro de medicamentos y productos sanitarios de su servicio de farmacia, se ajustarán a los procedimientos especificados en el compromiso de gestión a suscribir entre la persona responsable de la gestión del centro sociosanitario residencial con el/la Director/a Gerente del Hospital ...............................….. (nombre), que se adjuntará posteriormente a este convenio.

Quinta. Comisión Mixta.

a) Tras la firma del convenio, se constituirá la Comisión Mixta paritaria, presidida por la persona titular de la Subdirección de Prestaciones del SAS, o persona en quien delegue.

b) La Comisión Mixta, además de la presidencia, la componen una persona representante del SAS y dos representantes de (la entidad). La Secretaría de esta comisión la desempeñará
una persona al servicio del SAS, con voz pero sin voto.

c) La Comisión Mixta tiene como funciones el seguimiento y la resolución de cuantas cuestiones y dudas puedan plantearse en la interpretación y ejecución del convenio.

d) La Comisión Mixta podrá establecer sus normas internas de funcionamiento, debiéndose reunir cuando lo solicite alguna de las partes, y en todo caso, cuando concurran alguna de las circunstancias previstas en las cláusulas, séptima y octava del convenio. Asimismo, deberá levantar acta de todas las reuniones por escrito con la firma de las personas representantes de ambas partes, en la que consten los acuerdos alcanzados, que, en caso de empate, será resuelto con el voto de calidad del presidente.

De conformidad con lo dispuesto en el artículo 19.2 de la Ley 9/2007, de 22 de octubre y artículo 11.2 de la Ley 12/2007, 26 de noviembre, para la promoción de la igualdad de género en Andalucía, en la composición de este órgano colegiado deberá respetarse la representación equilibrada de mujeres y hombres.

Ante lo no previsto en el presente convenio sobre régimen y funcionamiento sobre la mencionada Comisión, se estará a lo previsto en la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

Sexta. Duración del Convenio.

El presente convenio surtirá efectos el día de la última firma electrónica y tiene un plazo de duración de cuatro años, prorrogables de mutuo acuerdo entre las partes, por un periodo idéntico al de vigencia inicial.

Séptima. Modificación del Convenio.

Solo se podrá modificar el presente convenio cuando se produzca sucesión en la persona jurídica de .................................................… (la entidad), que deberá acreditarse documentalmente ante la Subdirección de Prestaciones del SAS.

Octava. Resolución del Convenio.

Es/Son causa/s de resolución:

a) La imposibilidad sobrevenida de cumplir la finalidad prevista en el Decreto 512/2015, de 29 de diciembre.

b) El transcurso del plazo de vigencia del convenio sin haberse acordado la prórroga del mismo.

c) El acuerdo unánime de todos los firmantes.

d) El incumplimiento de las obligaciones y compromisos asumidos por parte de alguno de los firmantes.

En este caso, cualquiera de las partes podrá notificar a la parte incumplidora un requerimiento para que cumpla en un determinado plazo con las obligaciones o compromisos que se consideran incumplidos. Este requerimiento será comunicado al responsable del mecanismo de seguimiento, vigilancia y control de la ejecución del convenio y a las demás partes firmantes.

Si trascurrido el plazo indicado en el requerimiento persistiera el incumplimiento, la parte que lo dirigió notificará a las partes firmantes la concurrencia de la causa de resolución y se entenderá resuelto el convenio. La resolución del convenio por esta causa podrá conllevar la indemnización de los perjuicios causados si así se hubiera previsto.

e) Por decisión judicial declaratoria de la nulidad del convenio.

f) Por cualquier otra causa distinta de las anteriores prevista en el convenio o en otras leyes.

Novena. Cuestiones litigiosas.

En caso de conflicto en la interpretación, aplicación y ejecución de este convenio, que no haya podido resolverse por la Comisión Mixta, las partes, conforme a la Ley 29/1998, de 13 de julio, podrán recurrir al orden jurisdiccional Contencioso-Administrativo de los Juzgados y Tribunales de Sevilla.

Décima. Protección de datos.

Las partes firmantes del convenio garantizarán el cumplimiento de las previsiones contenidas en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de datos Personales y garantía de los derechos digitales, en las disposiciones reglamentarias que la desarrollen, así como en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.

Se considera incorporado al convenio y formando parte integrante del mismo el Anexo denominado Contrato de Encargado del Tratamiento.

Y en prueba de conformidad se firma el presente documento, de forma electrónica.

DIRECTOR/A GERENTEDEL SERVICIO ANDALUZ DE SALUD	Por la entidad
Fdo.: ……………….........................…..............……	Fdo.: ……................………………………............................…….

                                                                            Anexo
                                                 Contrato de encargado del tratamiento

Los distintos apartados del presente anexo constituyen el contrato de encargo de tratamiento a que hace referencia el artículo 28.3 del RGPD, entre el responsable y el encargado del tratamiento.

1.- Rol de cada sujeto firmante del convenio Responsable del tratamiento: Servicio Andaluz de Salud.
Encargado del tratamiento: (la entidad).

2.- Obligaciones generales

De conformidad con lo previsto en el artículo 28 del RGPD, el ENCARGADO DEL TRATAMIENTO se obliga a garantizar el cumplimiento de las siguientes obligaciones, complementadas y concretadas con lo detallado en el apartado 7 «Tratamiento de Datos Personales»:

a) Tratar los datos personales conforme a las instrucciones documentadas en el presente anexo, en otros documentos conveniados aplicables y aquellas instrucciones que, en su caso, reciba del RESPONSABLE DEL TRATAMIENTO por escrito en cada momento. Si el ENCARGADO DEL TRATAMIENTO considera que alguna de las instrucciones infringe el RGPD o cualquier otra disposición en materia de protección de datos de la Unión Europea o de los Estados miembros, informará inmediatamente al RESPONSABLE DEL TRATAMIENTO.

b) No utilizar ni aplicar los Datos Personales con una finalidad distinta a la ejecución del presente convenio. En ningún caso podrá utilizar los Datos Personales para fines propios.

c) Tratar los Datos personales de conformidad con los criterios de seguridad y el contenido previsto en el artículo 32 RGPD, así como observar y adoptar las medidas técnicas y organizativas de seguridad necesaria o conveniente.

d) para asegurar la confidencialidad, secreto e integridad de los Datos Personales a los que tenga acceso.

En particular, y sin carácter limitativo, se obliga a aplicar las medidas de protección del nivel de riesgo y seguridad relacionadas en el apartado 7 «Tratamiento de Datos Personales», además de las detalladas en el Anexo II del RD 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica para sistemas de categoría ALTA.

El RESPONSABLE DEL TRATAMIENTO realizará un análisis de los posibles riesgos derivados del tratamiento, así como una evaluación de impacto si procede, para determinar las medidas de seguridad apropiadas para garantizar la seguridad de la información tratada y los derechos de los interesados y trasladará al ENCARGADO DEL TRATAMIENTO un informe con las medidas de seguridad adecuadas para que proceda a su implantación.

El ENCARGADO DE TRATAMIENTO, por su parte, deberá analizar los posibles riesgos y otras circunstancias que puedan incidir en la seguridad de los datos y que le sean atribuibles, debiendo informar al RESPONSABLE DEL TRATAMIENTO para que evalúe su impacto.

a) Mantener la más absoluta confidencialidad sobre los Datos Personales a los que tenga acceso para la ejecución del convenio, así como sobre los que resulten de su tratamiento, cualquiera que sea el soporte en el que se hubieren obtenido. Esta obligación se extiende a toda persona que pudiera intervenir en cualquier fase del tratamiento por cuenta del ENCARGADO DEL TRATAMIENTO, siendo deber del ENCARGADO instruir a las personas que de él dependan de este deber de secreto y del mantenimiento de dicho deber aún después de la terminación del convenio o de su desvinculación.

b) Llevar un listado de las personas autorizadas para tratar los Datos Personales objeto de este convenio y garantizar que las mismas se comprometen, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir con las medidas de seguridad correspondientes, de las que les debe informar convenientemente. Y mantener a disposición del RESPONSABLE DEL TRATAMIENTO dicha documentación acreditativa.

c) Garantizar la formación necesaria en materia de protección de Datos Personales de las personas autorizadas a su tratamiento.

d) Salvo que cuente en cada caso con la autorización expresa y por escrito del RESPONSABLE DEL TRATAMIENTO, no comunicar, ceder ni difundir los Datos Personales a terceros, ni siquiera para su conservación.

e) Nombrar Delegado de Protección de Datos, en caso de que sea necesario según el RGPD y comunicarlo al RESPONSABLE DEL TRATAMIENTO, también cuando la designación sea voluntaria, así como la identidad y datos de contacto de la(s) persona(s) física(s) designada(s) por el ENCARGADO como sus representante(s) a efectos de protección de los Datos Personales (representantes del ENCARGADO DEL TRATAMIENTO), responsables del cumplimiento de la regulación del tratamiento de Datos Personales en las vertientes legales/formales y en las de seguridad.

f) Una vez finalizada las actividades objeto del convenio, se compromete, según corresponda y se instruye en el apartado 7 «Tratamiento de Datos Personales» a devolver o destruir (i) los Datos Personales a los que haya tenido acceso; (ii) los Datos Personales generados por el ENCARGADO

DEL TRATAMIENTO por causa del tratamiento; y (iii) los soportes y documentos en que cualquiera de estos datos consten, sin conservar copia alguna; salvo que se permita o requiera por ley o por norma de derecho comunitario su conservación, en cuyo caso no procederá la destrucción. El ENCARGADO DE TRATAMIENTO podrá, no obstante, conservar los datos durante el tiempo que puedan derivarse responsabilidades de su relación con el RESPONSABLE DEL TRATAMIENTO. En este último caso, los Datos Personales se conservarán bloqueados y por el tiempo mínimo, destruyéndose de forma segura y definitiva al final de dicho plazo.

g) Según corresponda y se indique en el apartado 7 «Tratamiento de Datos Personales», a llevar a cabo el tratamiento de los Datos Personales en los sistemas/dispositivos de tratamiento, manuales y automatizados, y en las ubicaciones que en el citado Anexo se especifican, equipamiento que podrá estar bajo el control del RESPONSABLE DEL TRATAMIENTO o bajo el control directo o indirecto del ENCARGADO DEL TRATAMIENTO, u otros que hayan sido expresamente autorizados por escrito por el RESPONSABLE, según establezca en dicho apartado en su caso, y únicamente por los usuarios o perfiles de usuarios asignados a la ejecución del CONTRATO.

h) Salvo que se indique otra cosa en el apartado 7 «Tratamiento de Datos Personales», o se instruya así expresamente por el RESPONSABLE DEL TRATAMIENTO, a tratar los Datos Personales dentro del Espacio Económico Europeo u otro espacio considerado por la normativa aplicable como de seguridad equivalente, no tratándolos fuera de este espacio ni directamente ni a través de cualesquiera subcontratistas autorizados conforme a lo establecido en este contrato o demás documentos contractuales, salvo que esté obligado a ello en virtud del Derecho de la Unión Europea o del Estado miembro que resulte de aplicación.

En el caso de que por causa del Derecho nacional o de la Unión Europea el ENCARGADO DE TRATAMIENTO se vea obligado a llevar a cabo alguna transferencia internacional de datos, informará por escrito al RESPONSABLE DEL TRATAMIENTO de esa exigencia legal, con antelación suficiente a efectuar el tratamiento, y garantizará el cumplimiento de cualesquiera requisitos legales que sean aplicables al mismo, salvo que el Derecho aplicable lo prohíba por razones importantes de interés público.

i) De conformidad con el artículo 33 del RGPD, comunicar al RESPONSABLE DEL TRATAMIENTO, de forma inmediata, sin dilación indebida y a más tardar en el plazo de 24 horas, cualquier violación de la seguridad de los Datos Personales a su cargo de la que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia o cualquier fallo en su sistema de tratamiento y gestión de la información que haya tenido o pueda tener que ponga en peligro la seguridad de los Datos Personales, su integridad o su disponibilidad, así como cualquier posible vulneración de la confidencialidad como consecuencia de la puesta en conocimiento de terceros de los datos e informaciones obtenidos durante la ejecución del contrato. Comunicará con diligencia información detallada al respecto, incluso concretando qué interesados sufrieron una pérdida de confidencialidad. Si no se puede facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará gradualmente sin dilación indebida.

j) Asistir al RESPONSABLE DEL TRATAMIENTO, siempre que sea posible, para que éste pueda cumplir y dar respuesta a los ejercicios de los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento, portabilidad de datos y a no ser objeto de decisiones individuales automatizadas, u otros reconocidos por la normativa aplicable (conjuntamente los
«derechos»).

Cuando una persona ejerza alguno de los Derechos ante el ENCARGADO DEL TRATAMIENTO, éste debe comunicarlo al RESPONSABLE DEL TRATAMIENTO con la mayor prontitud. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud del ejercicio del derecho, juntamente, en su caso, con la documentación y otras informaciones que puedan ser relevantes para resolver la solicitud que obre en su poder, e incluyendo la identificación fehaciente de quien ejerce el derecho.

k) Colaborar con el RESPONSABLE DEL TRATAMIENTO en el cumplimiento de sus obligaciones en materia de (i) medidas de seguridad, (ii) comunicación y/o notificación de brechas (logradas e intentadas) de medidas de seguridad a las autoridades competentes o a los interesados y (iii) colaborar en las realización de análisis de riesgos y evaluaciones de impacto relativas a la protección de datos personales y consultas previas al respecto a las autoridades competentes; teniendo en cuenta la naturaleza del tratamiento y la información de la que disponga.

Asimismo, pondrá a disposición del RESPONSABLE DEL TRATAMIENTO, a requerimiento de éste, toda la información necesaria para demostrar el cumplimiento de las obligaciones previstas en este contrato y demás documentos conveniado y colaborará en la realización de auditorías e inspecciones llevadas a cabo, en su caso por el RESPONSABLE DEL TRATAMIENTO.

l) En los casos en que la normativa así lo exija, llevar, por escrito, incluso en formato electrónico, y de conformidad con lo previsto en el artículo 30.2 del RGPD, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del RESPONSABLE DEL TRATAMIENTO que contenga, al menos, las circunstancias a que se refiere dicho artículo.

m) Disponer de evidencias que demuestren el cumplimiento de la normativa de protección de Datos Personales y el deber de responsabilidad activa, como certificados previos sobre el grado de cumplimiento o resultado de auditorías, que habrá de poner a disposición del RESPONSABLE DEL TRATAMIENTO a su requerimiento. Asimismo, durante la vigencia del convenio, pondrá a disposición del RESPONSABLE toda información, certificaciones y auditorías realizadas en cada momento.

n) Derecho de información: El ENCARGADO DEL TRATAMIENTO, en el momento de la recogida de los datos, debe facilitar la información relativa a los tratamientos de datos que se van a realizar. La redacción y el formato en que se facilitará la información se debe consensuar con el RESPONSABLE DEL TRATAMIENTO antes del inicio de la recogida de los datos.

o) En caso de que como consecuencia de la ejecución del convenio resultara necesario en algún momento la modificación de lo aquí estipulado, el ENCARGADO DEL TRATAMIENTO lo requerirá razonadamente y señalará los cambios que solicita. En caso de que el RESPONSABLE DEL TRATAMIENTO estuviese de acuerdo con lo solicitado, se emitiría un nuevo contrato de encargado del tratamiento con la correspondiente actualización del apartado 7 «Tratamiento de Datos Personales», de modo que el mismo siempre recoja fielmente el detalle del encargo de tratamiento.

3. Subcontratación

Cuando se produzca una subcontratación con terceros de la ejecución del convenio y el subcontratista deba acceder a Datos Personales, el ENCARGADO DEL TRATAMIENTO lo pondrá en conocimiento previo y por escrito al RESPONSABLE DEL TRATAMIENTO identificando qué tratamiento de datos personales conlleva e identificando de forma clara e inequívoca la empresa subcontratista, sus datos de contacto y las condiciones de solvencia profesional o técnica, para que el Responsable decida, en su caso, si otorgar o no su autorización a dicha subcontratación. Esta obligación del ENCARGADO DEL TRATAMIENTO incluye si éste tiene previsto subcontratar los servidores o los servicios asociados a los mismos.

En todo caso, para su autorización es requisito que se cumplan las siguientes condiciones:

• Que el tratamiento de Datos Personales por parte del subcontratista se ajuste a la legalidad vigente, lo contemplado en este contrato de Encargado del Tratamiento y demás documentos conveniados, así como en su caso las instrucciones del RESPONSABLE DEL TRATAMIENTO.

• Que el ENCARGADO DEL TRATAMIENTO y la empresa subcontratista formalicen un contrato de Encargo de Tratamiento de datos en términos no menos restrictivos a los previstos en el presente contrato, el cual será puesto a disposición del RESPONSABLE DEL TRATAMIENTO.

• En el caso de incumplimiento por parte del subencargado, el ENCARGADO DEL TRATAMIENTO inicial seguirá siendo plenamente responsable, ante el RESPONSABLE DEL TRATAMIENTO en lo referente al cumplimiento de las obligaciones.

El ENCARGADO DEL TRATAMIENTO informará al RESPONSABLE DEL TRATAMIENTO de cualquier cambio previsto en la incorporación o sustitución de otros subcontratistas dando así la oportunidad de otorgar la autorización prevista en esta cláusula. La no respuesta a dicha solicitud equivale a oponerse a dichos cambios.

4. Obligaciones del Responsable del Tratamiento

Corresponde al RESPONSABLE DEL TRATAMIENTO:

a) Entregar al ENCARGADO DEL TRATAMIENTO los datos personales a los que se refiere el subapartado b) «Colectivos y datos tratados» del apartado 6 «Tratamiento de Datos Personales» este documento.

b) Realizar una evaluación de impacto en la protección de datos personales de las operaciones de tratamiento a realizar por el encargado.

c) Realizar las consultas previas que correspondan

d) Velar, antes y durante todo el tratamiento, por el cumplimiento de la disposiciones del RGPD, la LOPDGDD, el ENS y demás normativa aplicable por parte del encargado.

e) Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.

5. Duración

Las obligaciones y prestaciones del ENCARGADO DEL TRATAMIENTO de datos personales correspondientes a las actividades objeto del convenio, no son retribuibles de forma distinta al mismo y tendrán la misma duración prorrogándose en su caso por periodos iguales a éste. No obstante, a la finalización del convenio, el deber de secreto continuará vigente, sin límite de tiempo, para todas las personas involucradas en su ejecución.

6. Responsabilidad

En caso de incumplimiento de las estipulaciones de este documento y de las obligaciones que la legislación en materia de protección de datos establece a cada parte, la parte infractora responderá de las sanciones administrativas y de los daños y perjuicios causados, incluyendo multas y penalizaciones que la parte no infractora pueda sufrir como consecuencia de tal incumplimiento.

El ENCARGADO DEL TRATAMIENTO será considerado Responsable del Tratamiento en el caso de que destine los datos a otra finalidad, los comunique o los utilice incumpliendo el presente contrato. En estos casos, el ENCARGADO DEL TRATAMIENTO responderá de las infracciones en que hubiera incurrido personalmente.

7. Tratamiento de datos personales

A) Descripción General del tratamiento de Datos Personales a efectuar

El tratamiento consistirá en acceso a la Historia Clínica de la persona residente y a sus datos de prescripciones y dispensaciones.

El personal adscrito por el ENCARGADO DEL TRATAMIENTO para proporcionar las prestaciones establecidas en el presente contrato puede tratar Datos Personales. Los Datos Personales se tratarán únicamente por el personal adscrito y al único fin de efectuar el alcance contratado.

B) Colectivos y datos tratados

Los colectivos de interesados y datos personales a los que puede tener acceso el ENCARGADO DE TRATAMIENTO son:

Tratamientos	Colectivos de interesados	Datos personales	Ubicación y control
Prescripciones y dispensaciones de medicamentos y productos sanitarios	Las personas residentes en los centros sociosanitarios residenciales	DNI, NUSHA, edad, sexo datos de tratamientos prescritos y medicamentos y productos sanitarios dispensados	Sistema de Receta Electrónica de Andalucía Base de datos de usuarios (BDU)   Entidad encargada del control: directo por el SAS

El ENCARGADO DEL TRATAMIENTO deberá aportar, antes de la formalización del convenio, una declaración responsable firmada en la que ponga de manifiesto dónde van a estar ubicados los servidores y desde dónde se van a prestar los servicios asociados a los mismos. Ésta deberá satisfacer la condición impuesta en la columna “ubicación y control” de la tabla anterior. Así mismo, el ENCARGADO DEL TRATAMIENTO se obliga a comunicar cualquier cambio que se produzca, a lo largo de la vida del contrato, de la información facilitada en la declaración antes requerida.

C) Elementos del tratamiento

Los tratamientos de datos personales comprenden (márquese lo que proceda):

Recogida (captura de datos) X	Registro (grabación x	Estructuración x
Modificación	Conservación (almacenamiento)	Extracción (retrieval)
Consulta	Cesión	Difusión
Interconexión (cruce) x	Cotejo x	Limitación
Supresión	Destrucción     (de      copias temporales)	Conservación       (en       sus sistemas de información)
Duplicado	Copia (copias temporales)	Copia de seguridad
Recuperación x	Otros (especificar):

D) Disposición de los datos al terminar la prestación

Una vez finalice el encargo, el ENCARGADO DE TRATAMIENTO debe:

a) Devolver al RESPONSABLE DEL TRATAMIENTO los datos de carácter personal y, si procede, los soportes donde consten. La devolución debe comportar el borrado total de los datos existentes en los sistemas utilizados por el ENCARGADO DEL TRATAMIENTO. No obstante, el encargado puede conservar una copia mientras puedan derivarse responsabilidades de la ejecución de la prestación. En este caso los Datos Personales se conservarán bloqueados y por el tiempo mínimo legalmente establecido, destruyéndose de forma segura y definitiva al final de dicho plazo.

No obstante, el RESPONSALE DEL TRATAMIENTO podrá requerir al ENCARGADO para que en vez de la opción a), cumpla con la b) o con la c) siguientes:

b) Entregar al encargado que designe por escrito el RESPONSABLE DEL TRATAMIENTO, los datos de carácter personal y, si procede, los soportes donde consten. La entrega debe comportar el borrado total de los datos existentes en los sistemas de información utilizados por el ENCARGADO DEL TRATAMIENTO. No obstante, el encargado puede conservar una copia mientras puedan derivarse responsabilidades de la ejecución de la prestación. En este caso los Datos Personales se conservarán bloqueados y por el tiempo mínimo legalmente establecido, destruyéndose de forma segura y definitiva al final de dicho plazo.

c) Destruir los datos una vez cumplida la prestación. Una vez destruidos, el ENCARGADO DEL TRATAMIENTO debe certificar su destrucción por escrito y debe entregar el certificado al RESPONSABLE DEL TRATAMIENTO. No obstante, el encargado puede conservar una copia mientras puedan derivarse responsabilidades de la ejecución de la prestación. En este caso los Datos Personales se conservarán bloqueados y por el tiempo mínimo legalmente establecido, destruyéndose de forma segura y definitiva al final de dicho plazo.

La devolución de los Datos Personales prevista en el punto a) y/o la entrega de estos a un nuevo encargado prevista en el punto b), se hará en un formato estructurado, de uso común y lectura mecánica, pactado entre ambas partes.

E) Medidas de Seguridad

El RESPONSABLE DEL TRATAMIENTO, en su condición de Administración Pública y conforme a la disposición adicional primera de la LOPDGDD 3/2018, debe aplicar a los tratamientos de datos personales las medidas de seguridad que correspondan de las previstas en el Esquema Nacional de Seguridad, así como impulsar un grado de implementación de medidas equivalentes en las empresas o fundaciones vinculadas a los mismos sujetas al Derecho privado.

En los casos en los que un tercero preste un servicio en régimen de concesión, encomienda de gestión o contrato, caso en el que nos encontramos, las medidas de seguridad se corresponderán con las de la Administración pública de origen y se ajustarán al Esquema Nacional de Seguridad.

El RESPONSABLE DEL TRATAMIENTO ha valorado el sistema de información encargado de llevar a cabo el tratamiento de los datos personales derivado de la ejecución del contrato como de categoría ALTA.

De acuerdo con la evaluación de riesgos realizada, además de las medidas establecidas en el ENS, se deben implantar al menos, las medidas de seguridad siguientes:

a) La seudonimización y el cifrado de datos personales.

b) La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.

d) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.]

El ENCARGADO DEL TRATAMIENTO no podrá no implementar o suprimir dichas medidas mediante el empleo de un análisis de riesgos o evaluación de impacto salvo aprobación expresa y por escrito del RESPONSABLE DEL TRATAMIENTO.

A estos efectos, el personal del ENCARGADO DEL TRATAMIENTO debe seguir las medidas de seguridad establecidas por el RESPONSABLE DEL TRATAMIENTO, no pudiendo efectuar tratamientos distintos de los definidos.