Núm. 310 Lunes 27 de diciembre de 2021 Sec. III. Pág. 164076
Núm. 310 Lunes 27 de diciembre de 2021 Sec. III. Pág. 164076
III. OTRAS DISPOSICIONES
MINISTERIO DE SANIDAD
21534 Resolución de 17 de diciembre de 2021, de la Secretaría General de Salud Digital, Información e Innovación del Sistema Nacional de Salud, por la que se publica el Convenio con el Instituto Nacional de Gestión Sanitaria, para establecer las bases de la provisión de los Servicios Transfronterizos de Información de Sanidad Electrónica dentro de la eHealth Digital Service Infrastructure.
Suscrito el 16 de diciembre de 2021, Convenio entre el Ministerio de Sanidad y el Instituto Nacional de Gestión Sanitaria (INGESA), para establecer las bases de la provisión de los Servicios Transfronterizos de Información de Sanidad Electrónica (CBeHIS) dentro de la eHealth Digital Service Infrastructure (EHDSI) en cumplimiento de lo dispuesto en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, procede la publicación en el «Boletín Oficial del Estado» de dicho convenio, que figura como anexo de esta resolución.
Madrid, 17 de diciembre de 2021.–El Secretario General de Salud Digital, Información e Innovación del Sistema Nacional de Salud, Xxxx Xxxxxxxx Xxxxx Xxxxxxxx.
ANEXO
Convenio entre el Ministerio de Sanidad y el Instituto Nacional de Gestión Sanitaria para establecer las bases de la provisión de los Servicios Transfronterizos de Información de Sanidad Electrónica (CBeHIS) dentro de la eHealth Digital Service Infrastructure (EHDSI)
REUNIDOS
De una parte, xxxx Xxxxxxxx Xxxxxx San Xxxxxxxxx, Ministra de Sanidad, según nombramiento conferido por el Real Decreto 56/2021, de 26 de enero, y en virtud de las facultades que le otorga el artículo 4.1 de la ley 50/1997, del Gobierno, así como los artículos 48.2 y 61, apartado k) de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
De otra parte, xxxx Xxxxx Xxxxx Xxxxxxxx Xxxxx, Directora del Instituto Nacional de Gestión Sanitaria, entidad gestora de la Seguridad Social, perteneciente al Ministerio de Sanidad, nombrada por Resolución del Subsecretario de Sanidad, de 24 de febrero de 2021, actuando en nombre y representación del mencionado Instituto, en virtud de las competencias que le atribuye el artículo 15, apartado 4 del Real Decreto 1087/2003, de 29 xx xxxxxx, por el que se establecía la estructura orgánica del Ministerio de Sanidad y Consumo.
cve: BOE-A-2021-21534
Verificable en xxxxx://xxx.xxx.xx
El Ministerio de Sanidad (en adelante MS) y la Directora del Instituto Nacional de Gestión Sanitaria (en adelante INGESA), podrán ser denominadas, individualmente, «la Parte» y, de forma conjunta, «las Partes».
Todas las Partes se reconocen la capacidad jurídica necesaria para suscribir el presente convenio con el objeto de establecer las bases para los Servicios
Transfronterizos de Información de Salud Electrónica (Cross-Border eHealth Information Services–CBeHIS), y en su virtud,
EXPONEN
Primero. Justificación normativa.
1. La Directiva 2011/24/UE, de asistencia sanitaria transfronteriza, dispone que los Estados Miembros de la Unión Europea (UE) garanticen la continuidad asistencial de los ciudadanos dentro de la UE. Con el objeto de posibilitar el cumplimiento de esta obligación, el artículo 14 de la Directiva crea la Red de Sanidad electrónica o eHealth Network (eHN), que se constituye como un organismo político y estratégico para la Salud Electrónica en Europa. Su cometido es desarrollar un Marco Europeo de Interoperabilidad para los Servicios Transfronterizos de Información de Sanidad Electrónica (Cross-Border eHealth Information Services–CBeHIS) con el fin de conseguir un alto nivel de confianza y seguridad, mejorando la continuidad asistencial y garantizando el acceso a una atención sanitaria segura y de alta calidad.
2. España es parte de la eHN desde su creación en 2011, participando como miembro a través del Ministerio de Sanidad. Este órgano europeo ha ido estableciendo las bases de la interoperabilidad en materia organizativa, semántica y técnica, así como un marco jurídico mediante la elaboración de un Acuerdo entre Autoridades Nacionales (en adelante Acuerdo Europeo) consensuado entre los Estados Miembros (en adelante EEMM) de la UE para la provisión de los Servicios Transfronterizos de Información de Sanidad Electrónica (CBeHIS), en el marco de la legislación de la UE y de las legislaciones nacionales.
3. El Acuerdo Europeo se sustenta sobre el principio de no interferencia en los ordenamientos jurídicos de los EEMM, y de la voluntariedad en la firma del mismo para la participación en estos servicios. Y dispone que, con independencia de la organización interna de cada EM, exista un único punto de comunicación organizativo y técnico, que actúe como responsable en la intermediación de estos datos con otros EEMM a través de la infraestructura europea o eHealth Digital Services Infrastructure (eHDSI).
4. El Acuerdo Europeo crea un marco de confianza entre los EEMM de la UE y materializa su compromiso de cumplir todos los criterios requeridos para participar en el CBeHIS.A la vez, proporciona una base jurídica en línea con la Directiva 2011/24/UE sostenible para el tratamiento de los datos relativos a la salud a los efectos de la asistencia sanitaria transfronteriza, pero flexible para adaptarse a la tecnología y futuros servicios que puedan integrarse en el CBeHIS.
Segundo. Justificación competencial en materia de Sistemas de Información del SNS para la suscripción de un convenio con el objeto de participar en la provisión de servicios CBeHIS.
cve: BOE-A-2021-21534
Verificable en xxxxx://xxx.xxx.xx
1. La Ley 16/2003, de 28 xx xxxx, de cohesión y calidad del SNS (LCC) atribuye al Ministerio de Sanidad (MS) la obligación de establecer los Sistemas de Información Sanitaria del Sistema Nacional de Salud que garanticen la disponibilidad de la información y la comunicación recíprocas entre las Administraciones sanitarias. El objetivo de estos sistemas de información será garantizar la interoperabilidad y circulación de los datos de salud para facilitar la información necesaria a cada colectivo de la sociedad: Autoridades Sanitarias, Profesionales, Ciudadanos y Organizaciones y Asociaciones.
Por otra parte, el Real Decreto 81/2014, de 7 de febrero, por el que se establecen normas para garantizar la asistencia sanitaria transfronteriza, y por el que se modifica el Real Decreto 1718/2010, de 17 de diciembre, sobre receta médica y órdenes de dispensación, que transpone la Directiva 2011/24/UE al ordenamiento jurídico español, en sus artículos 5 y 6 dispone que, para garantizar la continuidad asistencial, desde las administraciones públicas se promoverá el acceso electrónico a la documentación clínica
Núm. 310 Lunes 27 de diciembre de 2021 Sec. III. Pág. 164078
por medio de los sistemas de información dispuestos a tal efecto por el ordenamiento jurídico.
2. Los Sistemas de Información que posibilitan la comunicación de datos de salud dentro del Sistema Nacional de Salud y, por consiguiente, dentro del CBeHIS, son, entre otros, la Base de Datos de Tarjeta Sanitaria Individual, Historia Clínica Digital del Sistema Nacional de Salud y Receta Electrónica del Sistema Nacional de Salud.
3. El MS es competente para coordinar los mecanismos de intercambio electrónico de información clínica de estos sistemas, con el objeto de permitir a ciudadanos y profesionales el acceso a la información clínica necesaria, facilitando la asistencia sanitaria dentro del SNS y de los CBeHIS, y haciendo efectiva la continuidad asistencial de los ciudadanos nacionales y europeos.
4. Este intercambio se efectuará en los términos establecidos para garantizar la calidad de dicha asistencia y la confidencialidad e integridad de la información, cualquiera que fuese la Administración que la proporcione, y se efectuará siguiendo las disposiciones del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 xx xxxxx de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (RDPD) y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Tercero. Definiciones.
Las siguientes definiciones describen el contexto, los componentes y las infraestructuras que han de dar soporte a los CBeHIS en el entorno de la Unión Europea y de los estados pertenecientes a la EFTA (Asociación Europea de Libre Comercio-AELC).
(a) eHN («eHealth Network»): Red Europea de Sanidad Electrónica de conformidad con el Artículo 14 de la Directiva 2011/24/UE.
(b) CBeHIS («Cross-Border eHealth Information Services») o Servicios Transfronterizos de Información de Sanidad Electrónica: Son servicios que se proveen a través de los Puntos de Contacto Nacionales de Salud Electrónica (NCPeH) a los efectos de la atención sanitaria transfronteriza, tal y como fueron acordados por la Red Europea de Sanidad Electrónica (eHN) y aquellos que se acuerden por la eHN en el futuro.
(c) eHDSI («eHealth Digital Service Infrastructure») para CBeHIS: Infraestructura de Servicios Digitales de Sanidad Electrónica que permite la provisión del CBeHIS a través de los NCPeH y de la plataforma de servicios centrales europea. Esta infraestructura incluye servicios genéricos, desarrollados por los Estados miembros, así como una plataforma central de servicios de la Comisión Europea, tal como se definen por el Reglamento (UE) 283/2014, del Parlamento Europeo y del Consejo, de 11 xx xxxxx de 2014, relativo a unas orientaciones para las redes transeuropeas en el sector de las infraestructuras de telecomunicaciones y por el que se deroga la Decisión n.º 1336/97/CE.
(d) NCPeH («National Contact Points for eHealth»): Punto de Contacto Nacional para Sanidad Electrónica, que actúa como único punto de comunicación organizativo y técnico para la provisión del CBeHIS.
(e) Autoridad nacional responsable del NCPeH: en el caso de España es el Ministerio de Sanidad.
cve: BOE-A-2021-21534
Verificable en xxxxx://xxx.xxx.xx
(f) «Technical Communication Gateway». Solución técnica de comunicación seleccionada por el NCPeH para poder proporcionar un intercambio transfronterizo de datos de salud.
(g) Infraestructura nacional: infraestructura tecnológica del Ministerio de Sanidad, exceptuando el «Technical Communication Gateway», y de las CC. AA. e INGESA, necesaria para la prestación de CBeHIS y los servicios de los sistemas de información del SNS.
(h) Intranet sanitaria: red de datos privada y segura, que permite la interconexión del Ministerio de Sanidad con las CC. AA. e INGESA.
Núm. 310 Lunes 27 de diciembre de 2021 Sec. III. Pág. 164079
(i) «Regional contact point for eHealth»: Nodo Regional para Sanidad Electrónica de la Comunidad Autónoma e INGESA, integrado por el nodo de HCDSNS de la Comunidad Autónoma e INGESA (puede ser o no el Cliente HCDSNS-CA y HCDSNS- INGESA proporcionado por el MS) y los Sistemas concentradores de Historia Clínica Electrónica (HCE) que se conectan con HCDSNS.
Cuarto. Convenio entre el Ministerio de Sanidad y las Comunidades Autónomas e INGESA.
1. El artículo 143 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público (LRJSP), establece que las Administraciones cooperarán al servicio del interés general y podrán acordar de manera voluntaria la forma de ejercer sus competencias que mejor sirva a este principio, y que la formalización de relaciones de cooperación requerirá la aceptación expresa de las partes, formulada en acuerdos de órganos de cooperación o en convenios. Para hacer efectiva esta cooperación, la LRJSP establece los instrumentos de colaboración definidos en el artículo 47 de la LRJSP como
«los acuerdos con efectos jurídicos adoptados por las Administraciones Públicas, los organismos públicos y entidades de derecho público vinculados o dependientes o las Universidades públicas entre sí o con sujetos de derecho privado para un fin común».
2. Para que el marco jurídico descrito y el compromiso a nivel europeo se haga extensivo a las Comunidades Autónomas (CC. AA.) e INGESA, y en base a la referida LRJSP, el Ministerio y aquellas CCAA e INGESA que participen con sus Servicios de Salud y/o Consejerías de Sanidad en los CBeHIS, deben suscribir un convenio que disponga, en el contexto nacional, las responsabilidades y obligaciones que recoge el Acuerdo Europeo, que serán aplicables a todas las partes, con el objeto de garantizar la adecuada provisión de los CBeHIS. Al tratarse de un convenio entre dos Administraciones Públicas distintas, el marco aplicable será el definido en el artículo 47.2.a) de la LRJSP.
3. Asimismo, los responsables del tratamiento deben determinar de modo transparente y de mutuo acuerdo sus responsabilidades respectivas en el cumplimiento de las obligaciones impuestas por el Reglamento 2016/679/UE.
4. Por todo lo anterior, a través de este convenio se regulan:
a) El funcionamiento del Punto Nacional de Contacto para sanidad electrónica (National Contact Point for eHealth -en adelante NCPeH-), cuya responsabilidad recaerá en el Ministerio de Sanidad.
b) Las responsabilidades principales del Ministerio de Sanidad y de las CC. AA. e INGESA para la prestación de CBeHIS.
c) La responsabilidad y obligaciones de las partes en el tratamiento de los datos, que no puedan generalizarse en un acuerdo a nivel europeo y deba llevarse a cabo a nivel nacional, de acuerdo con las definiciones del artículo 4.7) y 4.8) del Reglamento 2016/679/UE, sobre la base de las peculiaridades nacionales, y de los artículos 13 y 14 acerca de la información que se proporcionará a los pacientes sobre sus derechos en el CBeHIS.
cve: BOE-A-2021-21534
Verificable en xxxxx://xxx.xxx.xx
En consecuencia, dentro del xxxxxxxx xx xxxxx colaboración para el cumplimiento de los fines públicos, las partes acuerdan suscribir el presente convenio, de conformidad con las siguientes,
CLÁUSULAS
Primera. Objeto del convenio.
El objeto del presente convenio es doble:
1. Desarrollar, para el SNS, el Acuerdo entre las Autoridades Nacionales responsables de los Puntos de Contacto Nacionales de Salud Electrónica (Acuerdo
Europeo), para participar en los Servicios Transfronterizos de Información de Sanidad electrónica (CBeHIS). Para ello, el convenio debe desarrollar y adaptar a las especificidades del SNS las obligaciones y responsabilidades que se disponen en ese Acuerdo Europeo, aprobado por la eHN, en base a la Directiva 2011/24/UE.
2. Establecer las medidas organizativas y técnicas, así como las obligaciones y deberes que corresponden al MS y al INGESA, en materia de protección de datos personales, atendiendo a la responsabilidad respectiva que existe entre todos los actores involucrados en el intercambio de información a nivel SNS y a nivel de la UE en el marco establecido para los CBeHIS.
Segunda. Infraestructura europea y nacional dentro del marco CBeHIS.
i. Los Servicios CBeHIS.
Estructura y composición: servicios que se conectan con eHDSI bajo corresponsabilidad del MS y del INGESA, Estos servicios son: Resumen de Paciente (Patient Summary) y Dispensación electrónica (ePrescription/eDispensation), sin perjuicio de otros servicios futuros que se puedan incorporar dentro de los CBeHIS por consenso de la eHN.
ii. La infraestructura eHDSI.
La Infraestructura de Servicios Digitales de Salud Electrónica permite la provisión del CBeHIS a través de los NCPeH. Esta infraestructura proporciona a los profesionales sanitarios acceso a la información clínica de los ciudadanos nacionales y europeos que requieran asistencia sanitaria u obtener su medicación prescrita dentro de la UE y fuera de su país de afiliación. Esta información se facilita por medios electrónicos, en cualquier momento, entre aquellos Estados Miembros de la UE que hayan habilitado los mecanismos para tal comunicación y bajo la aprobación de la eHN.
En base a los artículos 2(2)e y 2(2)d del Reglamento UE/283/2014, dicha infraestructura comprende:
(a) Plataforma de servicios centrales europeos (servicios centrales) que incluye la red de datos TESTA y los servicios terminológicos que gestionan el Master Value set Catalog (MVC) y el Master Translation Catalog (MTC), así como los servicios centrales de configuración dentro del marco de CBeHIS responsabilidad de la Comisión Europea.
(b) Servicios genéricos. Los servicios de pasarela («Technical Communication Gateway») que conectan una o más infraestructuras nacionales entre sí, y a las plataformas centrales de servicios responsabilidad de cada uno de los países miembros que firmen el Acuerdo europeo.
En el caso del SNS, esta solución técnica se materializa en la implementación software OpenNCP y el conector nacional de España, sin perjuicio de que dicha materialización de software pueda modificarse en un futuro.
iii. Servicios nacionales dentro de los Sistemas de Información del SNS necesarios para la prestación de los servicios CBeHIS.
cve: BOE-A-2021-21534
Verificable en xxxxx://xxx.xxx.xx
La comunicación de la información clínica con los servicios CBeHIS (Cross Border eHealth Information Services) se efectuará, a nivel nacional, a través de la infraestructura creada para los Sistemas de Información del SNS regulados en el ordenamiento jurídico español, entre los que se encuentran los mencionados en la Ley 16/2003, de 28 xx xxxx, de cohesión y calidad del SNS. Los sistemas de información del SNS incluyen los servicios de Base de Datos de Usuarios de Tarjeta Sanitaria Individual (BDU-TSI), los servicios de Historia Clínica Digital del SNS (HCDSNS), y los servicios de Receta Electrónica del SNS (RESNS), sin perjuicio de que éstos puedan ampliarse, en base a las modificaciones que pueda sufrir la normativa, así como los requisitos técnicos y funcionales acordados a nivel europeo en el seno de la eHN.
iv. Autoridad nacional designada para operar el NCPeH.
El Ministerio de Sanidad es la autoridad nacional designada para operar como NCPeH en los términos de las cláusulas I.2 y III.1.1 del Acuerdo Europeo y en cumplimiento del artículo 23.2 del Real Decreto 81/2014, de 7 de febrero.
v. Infraestructura del INGESA, para la prestación de CBeHIS a través del NCPeH Los elementos que constituyen la infraestructura del INGESA, en el marco CBeHIS,
permitirán establecer esa comunicación de información clínica y podrán incluir entre
otros:
a) Nodos regionales de interconexión con los sistemas centrales del SNS.
b) Registro de profesionales que permitan la identificación de profesionales sanitarios.
c) Registro de población protegida del SNS que permita su inequívoca identificación.
d) Registros de información clínica.
e) Cualesquiera otros sistemas técnicos necesarios para la prestación de CBeHIS.
Tercera. Responsabilidades en el tratamiento de datos personales y datos personales de salud.
1. Responsabilidad en el tratamiento de los datos personales.
1.1 Responsables del tratamiento.
De acuerdo con el artículo 4.7 del RGPD, se consideran responsables del tratamiento las Partes firmantes de este convenio, MS y el INGESA, en relación con las operaciones de tratamiento de datos personales que lleven a través de las infraestructuras referidas en la cláusula segunda, y deberán cumplir las obligaciones inherentes a tal condición.
1.2 Encargados del tratamiento
Las Partes firmantes del convenio, en tanto responsables del tratamiento, podrán contratar con terceros actividades o servicios que conlleven la participación en la provisión de servicios del CBeHIS. Éstos serán considerados encargados del tratamiento de conformidad con los artículos 4.8 del RGPD y 33 de la LOPDGDD, actuando al amparo de un acto o negocio jurídico de acuerdo con el artículo 28 del RGPD, cuya regulación no podrá ser contradictorias con las cláusulas del presente convenio y con cuantos documentos o especificaciones técnicas se desarrollen para proveer los servicios CBeHIS por cada una de las partes.
cve: BOE-A-2021-21534
Verificable en xxxxx://xxx.xxx.xx
Todas las partes aceptan que la Comisión Europea actuará como encargado del tratamiento de aquellos datos personales de pacientes que sean tratados a través de la Infraestructura de Servicios Digitales de eSalud (eHDSI) para los CBeHIS. En su calidad de encargado del tratamiento, la Comisión administrará los servicios básicos de eHDSI para los CBeHIS según dispone la Decisión de Ejecución (UE) 2019/1765, de la Comisión, de 22 de octubre de 2019, por la que se establecen las normas para el establecimiento, la gestión y el funcionamiento de la red de autoridades nacionales responsables de la sanidad electrónica y por la que se deroga la Decisión de Ejecución 2011/890/UE.
1.3 Normativa aplicable.
Cada organización designada por un Estado Miembro asume la responsabilidad del tratamiento de datos en lo que respecta a las operaciones de recopilación, acceso, almacenamiento, transferencia y demás actividades de tratamiento de datos de la información clínica dentro del marco del CBeHIS y la infraestructura eHDSI. Esto
Núm. 310 Lunes 27 de diciembre de 2021 Sec. III. Pág. 164082
significa que los datos personales se registran, transfieren y almacenan de acuerdo con el RGPD y con la normativa de protección de datos del país en el que el paciente reciba asistencia sanitaria (o país de tratamiento).
2. Principios relativos al tratamiento de datos personales.
El tratamiento de datos personales que lleven a cabo los responsables del tratamiento, y en su caso, los encargados del tratamiento, deberán cumplir los principios recogidos en el artículo 5 del RGPD.
2.1 Las bases jurídicas del tratamiento son las previstas en el artículo 6.1 c), d) y e) del RGPD y lo dispuesto en el artículo 9.2 h) e i) del RGPD en relación con el Directiva 2011/24/UE de asistencia Sanitaria Transfronteriza, el Real Decreto 81/2014, de 7 de febrero, de transposición de la misma y la Disposición Adicional Decimoséptima de la LOPDGDD que al amparo de las letras g), h), i) y j) del artículo 9.2 RGPD legitima el tratamiento de datos relacionados con la salud que estén regulados en las siguientes leyes y su normativa de desarrollo: la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica; la Ley 16/2003, de 28 xx xxxx, de cohesión y calidad del Sistema Nacional de Salud y la Ley de garantías y uso racional de los medicamentos y productos sanitarios, aprobado por Real Decreto Legislativo 1/2015, de 24 de julio.
2.2 Los datos objeto de tratamiento sirven a la finalidad de garantizar la asistencia sanitaria transfronteriza, a través de la comunicación de la información clínica, de los ciudadanos y/o pacientes nacionales y europeos, que se acuerde dentro del marco CBeHIS. La comunicación se efectuará entre las Autoridades Nacionales o las Organizaciones Nacionales responsables de los NCPeH dentro de los Estados Miembros de la UE y la EFTA (Asociación Europea de Libre Comercio). A nivel SNS estos datos se comunicarán entre el INGESA, y el MS para lo cual se utilizará la infraestructura nacional existente para los Sistemas de Información que dispone la Ley 16/2003, de 28 xx xxxx, de Cohesión y Calidad del SNS.
Los responsables del tratamiento garantizarán que el tratamiento ulterior de los datos personales de salud cumpla con los principios y condiciones establecidos en el RGPD, en particular el párrafo 1 del artículo 5 (b), en relación con el artículo 89, o su artículo 6, apartado 4, y la legislación nacional acorde con el RGPD.
Los responsables del tratamiento, y los encargados del tratamiento en su caso, accederán únicamente a los datos que sean estrictamente necesarios para el desarrollo de sus funciones.
2.3 Los responsables del tratamiento garantizan el cumplimiento del principio de confidencialidad en relación con los profesionales que accedan a los sistemas de información a los que se refiere la cláusula Segunda iii del presente convenio.
Los profesionales estarán sujetos en todo caso, al deber de confidencialidad previsto en el artículo 5 de la LOPDGDD, y el acceso a la información se efectuará en los términos y con los límites que dispone la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación, así como en el Real Decreto Legislativo 1/2015, de 24 de julio, por el que se aprueba el texto refundido de la Ley de garantías y uso racional de los medicamentos y productos sanitarios, y la normativa de desarrollo.
cve: BOE-A-2021-21534
Verificable en xxxxx://xxx.xxx.xx
2.4 El INGESA, es responsable de la identificación y autorización de los profesionales de la salud competentes para el tratamiento de los datos personales de los ciudadanos nacionales y europeos. Esta autorización se efectuará en los términos que disponga la normativa nacional y autonómica, así como en los términos consensuados y/o /acordados a nivel SNS por el MS y el INGESA.
Los responsables del tratamiento impedirán el acceso no autorizado o ilícito a los sistemas de información, de acuerdo con el articulo 32.1 b) del RGPD, a través de la
Núm. 310 Lunes 27 de diciembre de 2021 Sec. III. Pág. 164083
identificación y autorización de los profesionales de la salud competentes para el tratamiento de los datos personales de los ciudadanos nacionales y europeos.
3. Categorías de datos.
Las categorías de datos que se comunicarán dentro del CBeHIS serán datos personales de tipo identificativo, datos de filiación y contacto, y categorías especiales de datos personales, entre ellos, datos personales de salud.
Concretamente, la información clínica objeto de tratamiento se detalla en el documento «European Guidelines on Patient Summary and ePrescription», elaborado y aprobado por la eHN, así como en otros documentos o especificaciones técnicas europeos y nacionales vinculados a las mismas. La eHN, en base al artículo 14 de la Directiva 2011/24/UE de Asistencia Sanitaria Transfronteriza y la Decisión de Ejecución (UE) 2019/1765, de la Comisión, de 22 de octubre de 2019, acordará aquellos documentos que sean precisos para el intercambio de otros informes clínicos de la Historia Clínica.
4. Información sobre el tratamiento de datos personales
El MS y el INGESA serán responsables de informar a ciudadanos y pacientes nacionales y europeos en relación a los CBeHIS y para el cumplimiento de los artículos 13 y 14 del RGPD. Para cumplir con esta obligación, el MS elaborará la Nota Informativa de Paciente (Patient Information Notice–PIN) que compartirá con las CCAA e INGESA.
El INGESA podrá adaptar el texto básico elaborado por el MS a las particularidades de sus Sistemas de Información autonómicos, en su caso. Los Servicios de Salud autonómicos e INGESA serán responsables de la provisión efectiva y en forma de dicha información.
El MS publicará el PIN en su página web al objeto de que esté disponible para todos los ciudadanos nacionales y europeos, en aras de fomentar la transparencia de las políticas de protección de datos en el marco del CBeHIS.
5. Ejercicio de Derechos.
Las unidades del INGESA competentes en cada caso, serán responsables de tutelar el ejercicio por parte de cualquier interesado, respecto de los derechos indicados en los Artículos 15 a 22 RGPD que sean aplicables, esto es, derechos de acceso, rectificación, limitación y oposición. El INGESA informará a los pacientes a los que presten asistencia dónde y en qué forma pueden ejercer sus derechos. No obstante, lo anterior, deberá tenerse en cuenta que a los interesados les asiste el derecho de poderse dirigir su solicitud, para poder ejercer estos derechos frente a, y en contra de, cualquiera de las Partes, así como de las organizaciones que estas designen.
Las partes, en calidad de responsables del tratamiento, actuarán en base al principio de cooperación entre administraciones públicas, en aras de dar tutela efectiva a los derechos que asisten a los interesados.
6. Decisiones individuales automatizadas y elaboración de perfiles.
cve: BOE-A-2021-21534
Verificable en xxxxx://xxx.xxx.xx
En todo caso, las partes tratarán la información del interesado con fines legítimos y determinados para dar cumplimiento a las funciones derivadas de los servicios CBeHIS.
No se elaborarán perfiles con los datos personales de los interesados, ni se tomarán decisiones automatizadas en base a los mismos. En el desarrollo de las funciones de las partes, se tratarán datos de categoría especiales de los indicados en el artículo 9 del RGPD.
7. Delegados de Protección de Datos.
El INGESA y el MS facilitarán el contacto de sus respectivos Delegados de Protección de Datos o de aquellos expertos en la materia que designen, al objeto de abordar las cuestiones que acaezcan en materia de protección de datos durante la provisión de los servicios CBeHIS a través de la infraestructura eHDSI.
8. Sistemas de Gestión del Riesgo.
Las partes firmantes del convenio adoptarán medidas para la instauración de sistemas permanentes de gestión del riesgo en el tratamiento de datos personales, a fin de proteger los derechos y libertades de los afectados y garantizar el cumplimiento del RGPD.
Cuarta. Obligaciones y responsabilidades de las partes.
El Acuerdo Europeo será aplicable al SNS según los siguientes requisitos:
I. Requisitos organizativos:
1. La comunicación de España con otros Estados Miembros, en el marco de los CBeHIS, se efectuará a través de un único NCPeH.
2. El Ministerio de Sanidad, como autoridad nacional responsable del NCPeH, velará por el cumplimiento del presente convenio, así como de aquellos consensos alcanzados a nivel europeo por parte de la eHN para el correcto desarrollo de los servicios CBeHIS.
Las partes del presente convenio, cumplirán la normativa aplicable para el desempeño de sus respectivas competencias y el correcto funcionamiento de los sistemas de información.
3. El INGESA será responsable de la identificación, autenticación y autorización de los profesionales sanitarios dentro de su ámbito competencial para la operación de los servicios CBeHIS. Esto incluirá la operación de los sistemas Proveedores de Identidad («Identity Providers») a nivel autonómico.
La comunicación de datos de profesionales sanitarios del SNS con otros Estados Miembros será acorde con lo dispuesto en el Real Decreto 81/2014, de 7 de febrero de transposición de la Directiva 2011/24/UE de asistencia sanitaria transfronteriza.
4. Para la operación de los CBeHIS, el INGESA y el MS, dentro de su respectivo ámbito competencial, serán responsables de la identificación inequívoca de los ciudadanos y pacientes cuyo Estado de afiliación sea España, en los términos que dispone el Real Decreto 183/2004, de 30 de enero, por el que se regula la tarjeta sanitaria individual.
El INGESA serán responsables de la identificación de ciudadanos y pacientes cuyo Estado de afiliación sea otro estado miembro.
5. Las partes se comprometen al establecimiento de procedimientos y mecanismos de soporte que garanticen la continuidad de los CBeHIS.
6. Las partes garantizarán que se cumplen los acuerdos de nivel de servicio consensuados entre ellas, que garanticen los CBeHIS.
cve: BOE-A-2021-21534
Verificable en xxxxx://xxx.xxx.xx
7. MS e INGESA efectuarán una monitorización de las novedades y modificaciones legislativas y su impacto en los servicios de intercambio de información clínica. Esta monitorización y adecuación a las novedades y modificaciones legislativas, se efectuará en base a la normativa vigente en la materia, así como a los procedimientos que a tal efecto se deriven de esta.
8. MS e INGESA deberán realizar las pruebas, tests y auditorías oportunas para probar el correcto funcionamiento de los servicios antes y después de la entrada en producción de los mismos, siempre que fuera necesario según los acuerdos alcanzados en la eHN y en el SNS.
II. Requisitos semánticos:
1. El INGESA usará el «Master Valueset Catalogue» (MVC) de la infraestructura eHDSI y, en caso de que sean aplicables, las versiones nacionales vigentes y versionadas de terminologías, clasificaciones y nomenclaturas que hayan sido adoptadas como estándares nacionales para la generación de contenidos clínicos.
2. Los Responsables del Tratamiento del INGESA deberán garantizar la fidelidad, la exactitud y la integridad del procesamiento semántico de los contenidos que generen, hasta que se produzca su comunicación al NCPeH.
3. El INGESA deberá designar al menos una persona experta en interoperabilidad semántica, que se deberá hacer cargo de las labores comunes o específicas de los casos de uso, para garantizar el servicio en condiciones óptimas de fidelidad a los significados y de seguridad clínica.
4. La estructura y la conformación de los contenidos serán reguladas por el MS a través de Normas Técnicas. Dichas normas establecerán especificaciones de modelos de información y recursos de terminología que deberán ser periódicamente aprobadas y actualizadas.
5. El MS será responsable de la provisión y la actualización de los recursos semánticos de referencia aplicable a escala nacional y necesarios para el conformar contenidos comunicables en el contexto de los servicios CBeHIS, en los términos establecidos en Cláusula II.3 del Acuerdo Europeo.
6. El MS efectuará, para los servicios CBeHIS que se acuerde entre las partes, aquellas adaptaciones necesarias para cumplir los requisitos semánticos acordados a nivel europeo. El INGESA adaptará en sus sistemas aquellas especificaciones semánticas que sean precisas para la implementación y correcto funcionamiento de los CBeHIS, según se establezca entre las partes.
7. El MS será responsable de organizar, acordar y coordinar las auditorías que deban efectuarse sobre los contenidos comunicables producidos por el INGESA. Dichas auditorías abarcarán aspectos de modelado de la información, enlace terminológico y valores de los elementos de datos.
III. Requisitos técnicos:
1. El Ministerio de Sanidad y el INGESA implementarán aquellos requisitos tecnológicos que sean acordados a nivel europeo en la eHN para el desarrollo y correcto funcionamiento de los CBeHIS y concretamente de la infraestructura eHDSI.
2. Los sistemas de información involucrados en la comunicación de información clínica de los CBeHIS, que incluyen los sistemas de información de Tarjeta Sanitaria, Historia Clínica Nacional, Receta Electrónica Nacional y Nodo de interoperabilidad europea, cumplirán los requisitos del Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (ENS), en función de su categorización.
cve: BOE-A-2021-21534
Verificable en xxxxx://xxx.xxx.xx
3. Corresponde a las partes observar la aplicación de las medidas de seguridad recogidas en el Anexo II del ENS aplicables a dichos sistemas en función de su nivel seguridad, así como las medidas correspondientes de las previstas en dicho esquema al tratamiento de los datos personales de conformidad con en el artículo 32 del RGPD y la disposición adicional primera de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
Quinta. Gobernanza del acuerdo.
i. Firma, vigencia y terminación del convenio. Firma.
(1) A la entrada en vigor del convenio, el INGESA deberá cumplir los criterios establecidos para la participación en el CBeHIS, tal y como estipula el presente convenio.
Núm. 310 Lunes 27 de diciembre de 2021 Sec. III. Pág. 164086
(2) La admisión de un sujeto firmante en el CBeHIS, de conformidad con la Cláusula III.1.2.1 del Agreement y lo dispuesto por la eHN, implica el cumplimiento, de manera incondicional, de todos los criterios legales, técnicos y funcionales aplicables para la provisión de los servicios CBeHIS, tendrá lugar tras la inscripción del convenio en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación del sector público estatal.
Período de vigencia y terminación.
(1) El presente convenio se perfeccionará, tal como establece el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, por la prestación del consentimiento de las partes. Este convenio resultará eficaz una vez inscrito, en el plazo de 5 días hábiles desde su formalización, en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación del sector público estatal, al que se refiere la disposición adicional séptima de la Ley 40/2015, de 1 de octubre. Asimismo, será publicado en el plazo de 10 días hábiles desde su formalización en el «Boletín Oficial del Estado», sin perjuicio de su publicación facultativa en el boletín oficial de la comunidad autónoma que corresponda a la otra administración firmante»
(2) El convenio se mantendrá en vigor por cuatro años, siendo prorrogable hasta cuatro años adicionales, según lo dispuesto en el artículo 49 de la Ley 40/2015.
ii. Comisión de Seguimiento del convenio.
Se establece una Comisión de Seguimiento del presente convenio constituida por un representante del Ministerio de Sanidad y otro Representante del INGESA. Los miembros de esta Comisión podrán ser sustituidos por las personas que éstos designen. La sustitución, con carácter definitivo o temporal, de cualquiera de los miembros de la Comisión de Seguimiento, será anunciada en la convocatoria de la reunión correspondiente, y quedará debidamente reflejada en el acta de la misma.
La presidencia de la Comisión de Seguimiento corresponderá al Ministerio de Sanidad. A la Comisión de Seguimiento podrán asistir invitados de cada una de las partes, que actuarán con voz, pero sin voto.
La Comisión de Seguimiento se reunirá en sesión constitutiva en el plazo de un mes desde que el convenio sea eficaz y podrá reunirse cuantas veces considere necesario para la ejecución del mismo. En todo caso, se reunirá como mínimo una vez al año y siempre que lo solicite alguno de los miembros que la componen.
Corresponderá a la Comisión de Seguimiento definir las líneas generales de las actuaciones a realizar en interpretación de lo establecido en el presente convenio, así como supervisar la ejecución de las mismas.
Adicionalmente a las funciones previstas, la Comisión de Seguimiento resolverá los problemas de interpretación y cumplimiento que se deriven del mismo. Asimismo, podrá proponer mejoras y modificar las actuaciones previstas en el convenio, siempre que dichas mejoras y modificaciones no supongan una alteración sustancial del objeto del presente convenio.
iii. Régimen económico del convenio.
cve: BOE-A-2021-21534
Verificable en xxxxx://xxx.xxx.xx
El presente convenio no lleva aparejada obligación económico-financiera alguna para las partes.
iv. Incumplimiento del convenio.
En caso de incumplimiento del convenio por alguna de las partes, la Comisión de seguimiento podrá notificar un requerimiento con el plazo que se estime oportuno para subsanar el incumplimiento. Ante un incumplimiento, para garantizar la seguridad en el funcionamiento de los servicios CBeHIS, se pondrán en marcha el mecanismo de suspensión técnica de los servicios, que se regula en el punto v. de esta cláusula quinta. Este requerimiento será comunicado a las partes firmantes.
Si trascurrido el plazo indicado en el requerimiento persistiera el incumplimiento, la Comisión de Seguimiento notificará a la parte que incumple su exclusión de la provisión de los servicios CBeHIS y la resolución del convenio, que será notificada a las partes firmantes.
La resolución del convenio no afectará a los compromisos y responsabilidades en los que hayan incurrido las Partes en la provisión de los servicios CBeHIS antes de dicha resolución.
v. Admisión y suspensión técnica en los servicios CBeHIS. Admisión en los servicios CBeHIS:
El Ministerio de Sanidad actúa como Autoridad Nacional u Organización Nacional responsable del NCPeH en los términos que dispone el Agreement, autorizando la participación de las comunidades autónomas, o entidades que estas designen, en CBeHIS.
Para que el INGESA pueda operar en CBeHIS, el Ministerio de Sanidad autorizará su puesta en producción según lo dispuesto en este convenio y los requisitos consensuados por la eHN.
Suspensión técnica de los servicios CBeHIS.
(1) El Ministerio de Sanidad puede suspender a INGESA, o a la entidad que esta designe, de la provisión de los servicios CBeHIS ante un incumplimiento de acuerdo con el epígrafe (2).
(2) La suspensión técnica del INGESA de los servicios CBeHIS, o entidad que esta designe para la provisión de los servicios, podrá ser provisional o indefinida. La Comisión de Seguimiento decidirá en relación a la suspensión técnica, cuando identifique que una de las partes está incumpliendo las obligaciones recogidas en este convenio. Las partes serán informadas acerca de este hecho con el objeto de aplicar las medidas técnicas y organizativas que procedan.
La suspensión técnica provisional se levantará si la parte que incumple los criterios desistiera de su incumplimiento. Asimismo, esta suspensión técnica provisional será indefinida si la parte incumplidora de las obligaciones recogidas en este convenio persiste en dicho incumplimiento por no proceder a su subsanación en el plazo indicado por la Comisión de Seguimiento. En este caso, se procederá a su exclusión del servicio CBeHIS y se resolverá el convenio tal como se indica en el punto iv de la cláusula quinta.
vi. Extinción del convenio.
La extinción del presente convenio se regirá por lo dispuesto en el artículo 51 de la Ley 40/2015, de 1 de octubre. Concretamente, será motivo de extinción el incumplimiento de las cláusulas del presente convenio y normativa aplicable por alguna de las partes.
Si trascurrido el plazo indicado en el requerimiento persistiera el incumplimiento, la parte que lo dirigió notificará a las partes firmantes la concurrencia de la causa de resolución y se entenderá resuelto el convenio.
vii. Modificación del convenio.
cve: BOE-A-2021-21534
Verificable en xxxxx://xxx.xxx.xx
Aquellas modificaciones que supongan una alteración sustancial del convenio, requerirán el acuerdo unánime de los firmantes. La Comisión de Seguimiento efectuará una propuesta de modificación, cuya adopción se someterá a la firma de las partes.
Núm. 310 Lunes 27 de diciembre de 2021 Sec. III. Pág. 164088
viii. Régimen jurídico.
El presente convenio tiene naturaleza administrativa y se regirá por lo dispuesto en el Capítulo VI del Título Preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
ix. Resolución de conflictos.
Tras la inscripción del convenio en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación del sector público estatal, las partes se comprometen a resolver de mutuo acuerdo las incidencias que puedan surgir en su cumplimiento.
Las cuestiones litigiosas que surjan entre las partes durante el desarrollo y ejecución del presente convenio y no puedan ser resueltas por la Comisión de Seguimiento prevista en la cláusula quinta, se someterán a la jurisdicción contencioso-administrativa, conforme a lo dispuesto en la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-Administrativa.
cve: BOE-A-2021-21534
Verificable en xxxxx://xxx.xxx.xx
La Ministra de Sanidad, Xxxxxxxx Xxxxxx San Xxxxxxxxx.–La Directora del Instituto Nacional de Gestión Sanitaria, Xxxxx Xxxxxxxx Xxxxx.
xxxxx://xxx.xxx.xx BOLETÍN OFICIAL DEL ESTADO D. L.: M-1/1958 - ISSN: 0212-033X