Articulo 43 Medidas urgentes de simplificación y racionalización administrativas de las administraciones públicas de I. Balears

1. Se añaden dos nuevos artículos, los artículos 49 bis y 49 ter, en la Ley 4/2009, de 11 de junio, de servicios sociales de las Illes Balears, con la siguiente redacción:

Artículo 49 bis

Historia Social Única

1. La Historia Social Única es el instrumento que integra la información relativa a la persona usuaria de los servicios sociales de competencia de las administraciones públicas de las Illes Balears y, si procede, de los miembros del núcleo familiar, entre la cual se incluyen los datos personales de los ámbitos familiar, sanitario, de vivienda, económico, laboral, educativo y las otras que sean significativas de su situación y que resulten necesarias para la valoración social de la persona y de la unidad familiar y, específicamente, las categorías especiales de datos personales del artículo 9 del Reglamento (UE) 2016/679 del Parlamento y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas con respecto al tratamiento de datos personales y a la libre circulación de estos datos (RGPD).

Además, tiene que constar la información relativa a los diagnósticos, los planes individuales de intervención social, las acciones llevadas a cabo, los recursos aplicados, el seguimiento y la evolución del caso.

2. La Historia Social Única constituye el instrumento técnico básico que permite la comunicación y la relación entre los servicios sociales comunitarios y los especializados, así como la interrelación y la coordinación con los otros sistemas de bienestar social (educativo, de salud, pensiones, trabajo, empleo y vivienda), con la finalidad de conseguir la continuidad y la complementariedad de las intervenciones con las personas usuarias y de establecer actuaciones coherentes y programas de actuación conjuntos para la valoración social de la persona y de la unidad familiar.

3. La Historia Social Única dispone de un apoyo digital que tiene que permitir la consulta, el acceso, la interconexión y la comunicación de datos personales, y su interoperabilidad con el sistema público de servicios sociales, así como con otros sistemas de protección que fuera necesario integrar.

4. Al sistema de información que integra la Historia Social Única es de aplicación el Reglamento (UE) 2016/679; la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y Garantía de los Derechos Digitales, y el Real Decreto 311/2022, de 3 de mayo, por el cual se regula el Esquema Nacional de Seguridad.

Para proteger adecuadamente la información tratada y los servicios públicos prestados, es aplicable a los sistemas de información que integran la Historia Social Única el Esquema Nacional de Seguridad, con el fin de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que las administraciones gestionen en el ejercicio de sus competencias.

5. La Historia Social Única contiene información relativa a los siguientes aspectos:

a) Datos personales de la persona usuaria y, si procede, del resto de miembros de la unidad familiar. Puede contener los datos personales especialmente protegidas (categorías especiales de datos) que sean necesarias como datos que revelen el origen étnico o racial, dados genéticas, datos biométricos dirigidos a identificar de manera unívoca una persona física, datos relativos a la salud o datos relativos a la vida sexual o la orientación sexual de una persona física.

b) Otros datos relativas a las condiciones de vivienda, económicas, de empleo, laborales, educativas y cualesquiera otras que se consideren significativas de la situación sociofamiliar de la persona usuaria y, si procede, de la unidad familiar.

c) Documentos técnicos de análisis, valoración y diagnóstico.

d) Planes individuales de intervención social.

e) Identificación de profesionales de referencia.

f) Actuaciones llevadas a cabo, recursos utilizados y prestaciones percibidas.

g) Seguimiento y evaluación de resultados.

6. Respetando los principios que tienen que regir el tratamiento de los datos de carácter personal regulados en el artículo 5 del Reglamento (UE) 2016/679, la Historia Social Única incluye los datos personales correspondiendo a las actuaciones y las medidas de atención efectuadas por otros sistemas públicos de protección social, con el fin de asegurar la exactitud de los datos personales y de la información relativa a las personas usuarias y la actuación coordinada de los diferentes sistemas.

Cualquier operación o conjunto de operaciones hechas sobre datos personales o conjuntos de datos personales, ya sea por procedimientos automatizados o no, como recogida, registro, organización, estructuración, conservación, adaptación o modificación, extracción, consulta, uso, comunicación por transmisión, difusión o cualquier otra forma de habilitación de acceso, confrontación o interconexión, limitación, supresión o destrucción, se tiene que llevar a cabo de conformidad con la normativa vigente en materia de protección de datos personales y derechos digitales.

7. La protección otorgada por el Reglamento (UE) 2016/679 se tiene que aplicar a las personas físicas, independientemente de la nacionalidad o del lugar de residencia, en relación con el tratamiento de los datos personales.

8. La Historia Social Única se integrará en el Sistema Informativo de Servicios Sociales.

9. El responsable del tratamiento tiene que evaluar, antes del tratamiento, el impacto de las operaciones de tratamiento de la Historia Social Única en la protección de datos personales de acuerdo con el artículo 3.2 del Esquema Nacional de Seguridad y el artículo 35 del Reglamento (UE) 2016/679.

10. El funcionamiento de la Historia Social Única se tiene que regular por reglamento, de acuerdo con los principios establecidos en esta sección.

Artículo 49 ter

Tratamiento de datos personales a la Historia Social Única

1. Los profesionales del sistema público de servicios sociales, para cumplir la finalidad de dar respuesta a las necesidades sociales de las personas, pueden acceder a la Historia Social Única de sus usuarios para consultar, modificar, incorporar, comunicar, rectificar y suprimir tanto los datos personales como la información relativa a todas las actuaciones llevadas a cabo, sin perjuicio de las tareas de seguimiento del profesional de referencia. Este tratamiento se tiene que llevar a cabo cuando afecte datos personales, de acuerdo con la normativa vigente sobre protección de datos de carácter personal y, específicamente, con el principio de mínimo privilegio.

2. El tratamiento se tiene que hacer respetando los principios de integridad y confidencialidad, de manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas u organizativas apropiadas, y se tiene que limitar a los datos personales necesarios para cumplir las finalidades del sistema de servicios sociales.

3. Teniendo en cuenta el estado de la técnica, los costes de aplicación y la naturaleza, el alcance, el contexto y las finalidades del tratamiento, así como los riesgos de probabilidad y gravedad variables para los derechos y las libertades de las personas físicas, el responsable del tratamiento tiene que aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que, si procede, tiene que incluir los siguientes aspectos:

a) La pseudonimización y el cifrado de datos personales.

b) La capacidad de garantizar la confidencialidad, la integridad, la disponibilidad y la resiliencia permanentes de los sistemas y servicios de tratamiento.

c) La capacidad de restaurar la disponibilidad y el acceso a los datos personales de manera rápida en caso de incidente físico o técnico.

d) Un proceso de verificación, evaluación y valoración regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

El personal que tenga acceso a la Historia Social Única está sujeto al deber de secreto profesional, tanto durante el ejercicio profesional como después, en relación con los datos personales y las informaciones confidenciales de las cuales haya tenido conocimiento en el cumplimiento de sus funciones o en el ejercicio de sus poderes.

4. El responsable del tratamiento tiene que adoptar las medidas oportunas para facilitar al interesado toda la información indicada en los artículos 13 y 14 del Reglamento (UE) 2016/679, así como cualquier comunicación de acuerdo con los artículos 15 a 22 y 34 del Reglamento (UE) 2016/679 relativa al tratamiento.

Las personas usuarias, directamente o por medio del representante legal, pueden ejercer los derechos de acceso, rectificación, oposición, supresión (derecho al olvido), limitación del tratamiento, portabilidad y a no ser objeto de decisiones individuales automatizadas respecto de los datos personales, de acuerdo con los artículos 15 a 22 del Reglamento (UE) 2016/679.

Además, tienen derecho a acceder a los documentos y a los datos personales que constan en su Historia Social Única y a obtener copia en un formato accesible, de acuerdo con lo que prevé el Reglamento (UE) 2016/679 y la normativa sobre el procedimiento administrativo común.

5. Cuando la atención se preste a familias, unidades de convivencia o grupos, las personas integrantes tienen derecho de acceso individual exclusivamente a sus datos personales y, si procede, a la documentación relativa a su participación en el proceso, sin perjuicio de la adopción de las correspondientes medidas de pseudonimización o anonimización.

6. Asimismo, los datos personales a los cuales hace referencia este artículo pueden ser tratados con finalidades estadísticas, de acuerdo con el artículo 89 del Reglamento (UE) 2016/679 y con los otros supuestos establecidos en la legislación específica.

2. Se añade una nueva disposición adicional, la disposición adicional cuarta, en la Ley 4/2009 mencionada, con la siguiente redacción:

Disposición adicional cuarta

Comunicación de datos personales entre los servicios sanitarios y sociales

1. Dado que los tratamientos de datos personales que suponen el acceso o la comunicación de grandes repositorios de datos entre múltiples responsables del tratamiento son comunes en el actual entorno de digitalización e interconectividad, y con la finalidad de garantizar la atención integral efectiva de las personas atendidas en el sistema público de servicios sociales y al sistema sanitario de las Illes Balears, se faculta la comunicación de datos personales entre estos servicios públicos, en los siguientes términos:

a) Se habilitan los servicios sociales para comunicar a los servicios de salud los datos personales relacionadas con las personas atendidas por ambos sistemas, de carácter identificador, de contacto y también las relacionadas con los servicios sociales recibidos que puedan tener repercusión en la salud y sean estrictamente necesarias para garantizar un proceso de atención integral e integrada de acuerdo con el artículo 5 del RGPD. Pueden acceder a la información de sus pacientes los profesionales sanitarios implicados en el diagnóstico o tratamiento de la persona interesada, debidamente acreditados.

b) Se habilitan los servicios de salud de las Illes Balears para comunicar a los servicios sociales los datos personales relacionados con las personas atendidas por ambos sistemas, de carácter identificador, de contacto y también los datos personales de la historia clínica que puedan tener afectación en la autonomía personal -por situación de dependencia o de discapacidad-, para detectar e intervenir en situaciones de riesgo social que puedan requerir la activación de prestaciones sociales y que necesiten información sanitaria para hacerse efectivas, y con el fin de garantizar un proceso de atención integral e integrada, de acuerdo con el artículo 5 del RGPD.

c) Pueden acceder a la información de sus pacientes los profesionales de los servicios sociales implicados en el seguimiento y la evaluación del ciudadano, debidamente acreditados.

2. No obstante, para evitar que se puedan producir brechas masivas de datos personales de alto riesgo para los derechos fundamentales, por el alto volumen de datos personales que son tratados, y por la interconexión permanente entre el sistema público de servicios sociales y el sistema sanitario de las Illes Balears, los responsables del tratamiento tienen que aplicar las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, y aplicar asimismo los principios básicos y los requisitos mínimos necesarios para proteger de forma adecuada la información tratada y los servicios prestados, con el fin de asegurar el acceso, la confidencialidad, la integridad, la trazabilidad, la autenticidad, la disponibilidad y la conservación de los datos, la información y los servicios utilizados por medios electrónicos que gestionen en el ejercicio de sus competencias.