Inscrito en el Registro General de Convenios con el núm. h2c16n0072 el Convenio de colaboración suscrito, con fecha 3 de junio de 2008, por el Director General de la Tesorería General de la Seguridad Social y la Consejera de Salud y Consumo delGobierno de Aragón, y de conformidad con lo dispuesto en el artículo 8.2 de la Ley 30/1992, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, he resuelto:
Ordenar la publicación del citado Convenio en el «Boletín Oficial de Aragón».
Zaragoza, 11 de febrero de 2009.
El Vicepresidente del Gobierno
JOSÉ ÁNGEL BIEL RIVERA
CONVENIO DE CESIÓN DE DATOS ENTRE LA TESORERÍA GENERAL DE LA SEGURIDAD SOCIAL Y EL DEPARTAMENTO DE SALUD Y CONSUMO DEL GOBIERNO DE ARAGÓN SOBRE AUTORIZACIÓN DE ACCESO AL FICHERO GENERAL DE AFILIACIÓN
En Madrid, a 3 de junio de 2008, reunidos:
De una parte la Tesorería General de la Seguridad Social, representada por su titular D. Francisco Javier Aibar Bernad, nombrado por el Real Decreto 838/2004, de 23 de abril.
De otra parte Dª Luisa María Noeno Ceamanos, Consejera de Salud y Consumo de la Comunidad Autónoma de Aragón, en nombre y representación del Gobierno de Aragón, autorizada expresamente para este acto por Acuerdo del Gobierno de Aragón, celebradoel día 29 de abril de 2008.
Las partes se reconocen con capacidad suficiente para suscribir el presente Convenio y a tal efecto, exponen:
1. El Real Decreto 1314/84, de 20 de junio, por el que se regula la estructura y competencias de la Tesorería General de la Seguridad Social (TGSS), atribuye en su artículo 1.a) las competencias en materia de inscripción de empresas y laafiliación, altas y bajas de los trabajadores, materia regulada posteriormente por el artículo 3 del Reglamento General sobre inscripción de empresas y afiliación, altas y bajas de los trabajadores en la Seguridad Social, aprobado por el RealDecreto 84/96, de 26 de enero. A tales efectos, en virtud de lo establecido en el artículo 52 del citado Reglamento, corresponde a la TGSS el mantenimiento de un registro de trabajadores con la correspondiente identificación por cada Régimen delSistema de la Seguridad Social, así como los beneficiarios y demás personas sujetas a la obligación de cotizar. Dicho registro está integrado en el Fichero General de Afiliación cuya titularidad ostenta asimismo este Servicio Común.
2. El artículo 66, punto 1º de la Ley General de la Seguridad Social, conforme a la nueva redacción dada por el artículo 6 de la Ley 52/2003, de 10 de diciembre, de disposiciones específicas en materia de Seguridad Social establece que «losdatos, informes o antecedentes obtenidos por la Administración de la Seguridad Social en el ejercicio de sus funciones tienen carácter reservado y solo podrán utilizarse para los fines encomendados a la TGSS, sin que puedan ser cedidos o comunicadosa terceros, salvo que la cesión o comunicación tengan por objeto, entre otros supuestos, los recogidos en el apartado d) «la colaboración con cualesquiera otras Administraciones Públicas para la lucha contra el fraude en la obtención o percepción deayudas o subvenciones a cargo de fondos públicos incluidos los de la Unión Europea, así como en la obtención o percepción de prestaciones incompatibles en los distintos Regímenes del Sistema de la Seguridad Social».
3. El Departamento de Salud y Consumo del gobierno de Aragón tiene atribuidas las competencias en materia de prestaciones de asistencia sanitaria y de incapacidad temporal de la Seguridad Social en virtud de las siguientes normas:
a. El Real Decreto 1475/2001 de 27 de diciembre por el que se trasfirió a la Comunidad Autónoma de Aragón las funciones y Servicios del Instituto Nacional de la Salud las funciones y Servicios en materia de gestión la asistencia sanitaria de laSeguridad Social.
b. El Decreto 6/2008 de 30 de enero, del Gobierno de Aragón, en el que se establece la estructura orgánica del Departamento de Salud y Consumo designa la dirección General de Planificación y aseguramiento como el órgano administrativo encargadode la evaluación y control de las prestaciones sanitarias así como el control del acceso a las mismas y a la Secretaria General Técnica la coordinación de funciones en relación con la prestación de incapacidad temporal.
4. El artículo 4 de la Ley 30/92, de 26 de noviembre, de Régimen Jurídico de las Administraciones Públicas y del Procedimiento Administrativo Común, según redacción dada por la Ley 4/99, de 13 de enero, establece que las Administraciones Públicasen el desarrollo de su actividad y en sus relaciones recíprocas deben prestar en el ámbito propio, la cooperación y asistencia activa que las otras Administraciones pudieran recabar para el ejercicio de sus competencias.
En consecuencia, dentro del espíritu de mutua colaboración para el cumplimiento de los fines públicos, las partes acuerdan suscribir el presente convenio, de conformidad con las siguientes cláusulas:
Primera:
El Convenio tiene por objeto fijar las condiciones y términos de la colaboración entre la TGSS y el Departamento de Salud y Consumo del Gobierno de Aragón, para facilitar el acceso a dicho Organismo a las bases de datos del Fichero General deAfiliación. En lo que respecta a la forma y características de la autorización, asignación, funcionamiento y demás condiciones del acceso al Fichero General de Afiliación, se deberán ajustar a lo que se establece en la Orden Ministerial de 17 deenero de 1996 («Boletín Oficial del Estado» de 25 de enero 1996)
Segunda:
La cesión de información procedente de las bases de datos de la Tesorería General de la Seguridad Social tiene como finalidad exclusiva el desarrollo de las concretas funciones sobre gestión del aseguramiento sanitario atribuidas por ordenamientojurídico al Gobierno de Aragón, que justifican su cesión.
Por el presente Convenio la TGSS autoriza al Departamento de Salud y Consumo del Gobierno de Aragón, el acceso a las siguientes transacciones del Fichero General de Afiliación:
- ATT77 - Consulta de datos de asistencia sanitaria.
- ATT48 - Modificación de zona médica.
- ATT30 - Situaciones adicionales de afiliación.
- ATT31 - Consulta de situaciones adicionales de afiliación.
Tercera:
La TGSS y el Departamento de Salud y Consumo del Gobierno de Aragón, deberán ajustarse a lo estipulado en los siguientes puntos:
1º.-La Tesorería General de la Seguridad Social realizará la autorización inicial de acceso a las transacciones del Fichero General de Afiliación a que se refiere el presente Convenio.
2º.-La configuración del acceso objeto del presente Convenio habrá de cumplir los siguientes principios establecidos por la Orden de 17 de enero de 1996 sobre control de acceso al sistema informático de la Seguridad Social.
- Confidencialidad, de manera que se asegure que la información está disponible solamente para aquellos usuarios que estén debidamente autorizados para acceder a la misma y que se utiliza exclusivamente por aquéllos para sus cometidos concretosde gestión en la forma, tiempo y condiciones determinados en la autorización respectiva.
- Integridad, garantizando que únicamente los usuarios autorizados, y en la forma y con los límites de la autorización, puedan crear, utilizar, modificar o suprimir la información.
- Disponibilidad, de forma que los usuarios autorizados tengan acceso a la información en la forma y cuando lo requieran para los exclusivos cometidos de la gestión encomendada.
3º.-La Administración del sistema se basará en la asignación de perfiles de autorización a los distintos usuarios de acuerdo con las funciones desempeñadas por los mismos. En este sentido, la Tesorería General de la Seguridad Social asignará dosperfiles de usuario autorizador con nivel 4, y éste a su vez dará de alta tantos códigos de usuario como sean necesarios para la realización de las funciones de gestión encomendadas.
A los efectos del presente punto se denomina «usuario» a las personas autorizadas para acceder al sistema informático pero sin facultad para dar de alta en SILCON a otros usuarios ni transferir autorización alguna. Estos serán identificados conel nivel U.
El usuario autorizador dado de alta realizará la asignación de perfiles, entendiéndose como tal la anotación en SILCON de las transacciones a las que puede acceder un determinado autorizado (usuario) por razón de su puesto de trabajo.
5º.-Los usuarios administrador/autorizador, subsidiariamente son responsable de la asignación de perfiles de autorización a los usuarios, que deben corresponderse con las necesidades de gestión y vigilará la correcta utilización de lasautorizaciones concedidas.
6º.-Todos los usuarios autorizados a acceder al sistema deberán quedar identificados y autentificados, de forma que en todo momento pueda conocerse el usuario y los motivos por los que se accedió a la correspondiente información contenida en elsistema. Para ello en el momento de autorizar un usuario se cumplimentarán todos los campos exigidos tales como, características del puesto de trabajo e información complementaria, nº de teléfono, fax, etc.
7º.-Cada usuario tendrá un único código de acceso y será responsable de los accesos que se realicen con su código y contraseña personal.
8º.-Cuando algún usuario, ya sea autorizador o autorizado, pase a desempeñar un nuevo puesto de trabajo en distinta unidad de gestión o cause baja en el trabajo de forma voluntaria, o sea objeto de suspensión de empleo, se procederá a la baja delcódigo de usuario. Por otra parte se establecerán controles en cuanto al tiempo de inactividad de los usuarios que pasarán a la situación de cancelados una vez transcurridos tres meses sin acceder al Fichero General de Afiliación. También sedispondrá de la posibilidad de establecer fechas de caducidad de acceso al sistema por parte de usuarios y limitaciones en el horario de conexión.
Cuarta
Todos los usuarios identificados, así como sus responsables deben tener el conocimiento de que la copia de programas y/o uso de datos de carácter personal en tareas impropias son operaciones ilegales que pueden dar lugar a responsabilidadesadministrativas y, en concreto, las establecidas en el Título VII de la Ley Orgánica 15/1999 de 13 de diciembre, así como a responsabilidades de cualquier otra naturaleza, incluso penales, razón por la cual cuando, por cualquier medio, se tenganindicios de la utilización de datos, antecedentes, registros o informes con finalidad distinta a la propia gestión asignada al usuario, o su difusión indebida, infringiendo así el deber de secreto profesional, se pondrán dichos hechos enconocimiento del interlocutor de la Tesorería General de la Seguridad Social definido a estos efectos, al objeto de procurar la adopción de las medidas pertinentes entre ambas partes.
A fin de dar a conocer estas responsabilidades, en todas las altas de usuarios realizadas se deberá cumplimentar un documento donde se especificarán los compromisos adoptados por el usuario, en los términos que se indican en esta cláusula y en elanexo que se adjunta a este Convenio. Dicho documento quedará en poder del autorizador de nivel 4, si bien podrá ser remitido a la Tesorería General de la Seguridad Social si ésta lo solicita.
Quinta
El control y seguridad de los datos suministrados se regirá por lo dispuesto en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en el Reglamento de Desarrollo de esta Ley Orgánica, aprobado por el RealDecreto 1720/2007, de 21 de diciembre, y en los Documentos de Seguridad aprobados por la Tesorería General de la Seguridad Social.
Sexta
El órgano cesionario acepta y asume por el presente documento que la cesión de datos se produce a los fines exclusivos que se especifican en este Convenio, por lo que cualquier otro uso que se haga de dichos datos constituirá un incumplimientodel presente Convenio que facultará a la Tesorería para exigir las responsabilidades oportunas.
El Organismo cesionario será responsable frente a la Tesorería y frente a terceros de cualquier reclamación derivada del uso indebido que se haga por los usuarios de los datos cedidos, eximiendo a la Tesorería General de la Seguridad Social decualquier responsabilidad a este respecto. La Tesorería podrá repetir contra el Organismo cesionario por cualquier indemnización que deba satisfacer derivado de dicho incumplimiento.
Séptima
A través de los sistemas y medios informáticos de auditoria que facilite la Tesorería General, como órgano cedente, el órgano cesionario deberá realizar las actividades de control que garanticen la debida custodia y adecuada utilización de losdatos recibidos y cualquier otra actividad encaminada a garantizar la correcta forma y justificación del acceso a los ficheros o bases en que aquéllos figuren incluidos.
Para llevar a efecto lo señalado en el párrafo anterior, la Tesorería General se compromete a proporcionar la asistencia necesaria a los responsables que se designen por el órgano cesionario.
El Órgano cesionario se compromete a que cada acceso quede justificado con la causa o expediente que lo hubiera motivado.
Octava
1.-Sin perjuicio de lo anterior, la Tesorería General, se reserva la facultad de:
A.-Controlar, supervisar y/o auditar los accesos o la utilización que se de a los datos recibidos, para lo cual podrán llevarse a efecto cualesquiera otros controles accesorios o complementarios por la Unidad Nacional de Auditorias de laTesorería General de la Seguridad Social.
B.-Solicitar, en cualquier momento, las aclaraciones o la información complementaria que se estime precisa o conveniente por la Tesorería General de la Seguridad Social sobre la corrección de los accesos, la custodia o la utilización de lainformación cedida.
C.-Suspender las autorizaciones y desactivar los perfiles de aquellos usuarios que hubieren realizado accesos de riesgo, entendiendo por tales todos aquellos en los que no quede acreditada su correspondencia con los fines para los que hubieransido utilizados.
2.-El órgano cesionario acepta someterse a todas las actuaciones de control y supervisión que puedan acordarse por la Unida Nacional de Auditorias de la Tesorería General de la Seguridad Social, al objeto de verificar la adecuada obtención yutilización de la información cedida y de las condiciones normativas o convencionales que resultan de aplicación.
Novena
La Tesorería General se reserva la facultad de revisar en cualquier momento posterior a la firma del presente Convenio, las formas de acceso a los datos protegidos ya sea a través de acceso directo a ficheros, soporte físico o conexión telemáticao electrónica, y la limitación de las mismas por razones técnicas, por modificación de los contenidos de los ficheros a raíz de mejoras introducidas en los mismos, por falta de uso de las transacciones o por otras razones que pudieran suponeralteración de las condiciones pactadas en este Convenio.
Décima
Si como consecuencia de las actuaciones de control o auditoria o por causa de denuncia o comunicación, se detectase cualquier tipo de irregularidad relacionada con la utilización de datos, antecedentes, registros o informes con finalidad distintaa la propia gestión del órgano cesionario, se abrirán de inmediato diligencias en orden al completo esclarecimiento y, en su caso, a la exigencia de responsabilidades con traslado, si procede, a la autoridad judicial correspondiente
Undécima
El presente Convenio tendrá una vigencia de un año, contado a partir del día de su firma, a cuyo término se entenderá tácitamente prorrogado por periodos de un año, salvo denuncia por cualquiera de las partes con una antelación mínima de un mes ala fecha de su vencimiento.
Duodécima
Ambas partes aceptan la sumisión expresa a los Juzgados y Tribunales de Madrid capital para todas las cuestiones derivadas del cumplimiento o interpretación del presente Convenio.
ANEXO I
D./Dª.
Con D.N.I
Y adscrito/a
Por el presente documento.
COMUNICA
Que, de conformidad con lo dispuesto en los artículos 10 de la Ley Orgánica 15/1999 de 13 de diciembre de Protección de Datos de carácter personal, y 6 de la Orden de 17 de enero de 1996, sobre control de accesos al sistema informático de laSeguridad social, en el caso de que las funciones que desarrolle o los trabajos que realice conlleven su alta como usuario del sistema informático, adquiere el compromiso de utilizar las transacciones con los fines exclusivos de gestión para los quesea autorizado y está obligado a guardar el secreto profesional sobre los datos de que tenga conocimiento, siendo responsable de todos los accesos que se realicen a los ficheros informáticos mediante su contraseña personal y el código de accesofacilitado.
Que el incumplimiento de las obligaciones indicadas, el acceso a la información por usuario no autorizado, la asignación de procesos o transacciones no necesarios para la función encomendada y la falta de custodia o secreto de la identificaciónpersonal de acceso, dará lugar a la exigencia de responsabilidades administrativas, en concreto las establecidas en el Título VII de la Ley Orgánica 15/1999 de 13 de diciembre, así como a responsabilidades de cualquier otra naturaleza inclusopenales.
..,.. de.. de..