Resolución de 14 de noviembre de 2018, de la Consejería de Sanidad, por la que se crean el Comité de Seguridad de Sistemas de Información de Salud del Principado de Asturias (COSSISPA) y los Comités de Seguridad de Sistemas de Información de Salud de las Áreas Sanitarias. [Cód. 2018-11632], - Boletín Oficial del Principado de Asturias, de 04-12-2018

El Reglamento (UE) 2016/679, del Parlamento Europeo y del Consejo, de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que entró en vigor el 25 de mayo de 2018, es plenamente aplicable a desde esa fecha, tratándose de una norma de aplicación directa que no requiere transposición y que establece un sistema de responsabilidad proactiva. En tal sentido, incorpora un modelo de mayor responsabilidad y exige medidas tales como el registro de actividades de tratamiento, el análisis de riesgos y las evaluaciones de impacto, así como las notificaciones de las violaciones de seguridad y la incorporación obligatoria de la figura del Delegado de Protección de Datos en organizaciones como las Administraciones Públicas. Conforme a su artículo 99.2, la protección de los derechos y libertades de las personas físicas con respecto al tratamiento de datos personales, exige la adopción de medidas técnicas y organizativas apropiadas con el fin de garantizar el cumplimiento de los requisitos del Reglamento.

Por su parte; la Ley 39/2015, de 1 de octubre, de Procedimiento Administrativo Común de las Administraciones Públicas, recoge en su artículo 13, sobre derechos de las personas en sus relaciones con las Administraciones Públicas, el relativo a la protección de datos de carácter personal y, en particular, a la seguridad y confidencialidad de los datos que figuren en los ficheros, sistemas y aplicaciones de las Administraciones Públicas.

Con la finalidad de dar cumplimiento a lo dispuesto en la normativa de aplicación y, en particular en el Reglamento, se crea el Comité de Seguridad de Sistemas de Información de Salud del Principado de Asturias (en adelante COSSISPA) como grupo de trabajo en el que se integran los responsables en el tratamientos de datos personales y los Delegados de Protección de Datos del Servicio de Salud y de la Consejería competente en materia de sanidad.

En el mismo sentido y como grupos de trabajo con funciones de de asesoramiento y apoyo se recoge la creación de Comités de Seguridad de Sistemas de Información de Salud en las Áreas Sanitarias.

Los citados órganos colegiados adoptan la naturaleza organizativa de grupos de trabajo, al amparo del artículo 22.3 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, precepto que, si bien no está investido de carácter básico, carece de equivalencia en normas orgánicas propias dada la innovación que supone su expresa inclusión en una de las normas de cabecera de las Administraciones Públicas.

En uso de las atribuciones conferidas por el artículo 38 i) de la Ley del Principado de Asturias 6/1984, de 5 de julio, del Presidente y del Consejo de Gobierno,

RESUELVO

Primero.-Creación y naturaleza del Comité de Seguridad de Sistemas de Información de Salud del Principado de Asturias.

Se crea el Comité de Seguridad de Sistemas de Información de Salud del Principado de Asturias (COSSISPA) que se configura como un grupo de trabajo con funciones de asesoramiento y apoyo, adscrito a la Dirección General con competencias en sistemas de información sanitaria de la Consejería competente en materia de sanidad.

Segundo.-Finalidad.

El COSSISPA tiene como finalidad servir de marco de reunión de los responsables del tratamiento de datos personales y de seguridad con el Delegado de Protección de Datos para el desarrollo e implantación de las medidas establecidas por la normativa sobre protección de datos personales, así como para la definición de estrategias coordinadas de seguridad en el ámbito del Servicio de Salud, incluidas sus Áreas Sanitarias.

El COSSISPA adoptará las medidas necesarias para garantizar la confidencialidad, integridad, autenticidad, trazabilidad y disponibilidad de los datos, cualquiera que sea su soporte.

Tercero.-Funciones.

Serán funciones del COSSISPA las siguientes:

a) Proponer las líneas generales que permitan llevar a cabo la supervisión del cumplimiento de lo dispuesto en el Reglamento General de Protección de Datos y demás disposiciones en la materia.

b) Proponer la forma y el contenido de la información que debe proporcionarse a los interesados cuando se recogen sus datos.

c) Recibir información y realizar propuestas sobre la elaboración del Registro de Actividades de Tratamiento, del Análisis de Riesgo para los derechos y libertades de los ciudadanos y de la Evaluación de Impacto, así como sobre las medidas de seguridad, sin perjuicio de las competencias de otros órganos.

d) Proponer los procedimientos para el ejercicio de los derechos de los interesados.

e) Proponer el establecimiento de mecanismos para identificar la existencia de violaciones de seguridad de los datos y reaccionar ante ellas, en particular para evaluar el riesgo que puedan suponer para los derechos y libertades de los afectados y para notificar esas violaciones de seguridad a las autoridades de protección de datos y, si fuera necesario, a los interesados.

f) Proponer un plan de formación y concienciación de los trabajadores.

g) Protocolizar los circuitos de tramitación de las peticiones de información y asesoramiento al Delegado de Protección de Datos, del responsable del tratamiento y de los empleados que se ocupen del mismo, sobre las obligaciones que les incumben.

h) Recibir información y evaluar los resultados de las auditorías correspondientes.

i) Tener conocimiento de las tareas de cooperación del Delegado de Protección de Datos con la autoridad de control.

j) Cualesquiera otras que sean necesarias para garantizar el cumplimiento de las previsiones establecidas en la normativa en materia de protección de datos.

Cuarto.-Composición.

1. El COSSISPA estará compuesto por un mínimo de diez miembros, nombrados por la persona titular de la Consejería competente en materia de sanidad, quién también designará a la persona que desempeñara la secretaría entre los miembros del mismo.

2. Formará parte del COSSISPA:

a) La persona titular de la Dirección General con competencias en información sanitaria, que desempeñará la presidencia del órgano.

b) La persona o personas designadas como Delegado de Protección de Datos del Servicio de Salud y de la Consejería competente en materia de sanidad.

c) La persona titular de la Dirección Gerencia del Servicio de Salud del Principado de Asturias.

d) Una persona con competencias en el ámbito de seguridad informática, propuesta por la Dirección General competente en materia de informática del Principado de Asturias.

e) Un/a Letrado/a del Servicio Jurídico del Servicio de Salud.

f) La persona responsable del Sistema de Información del Servicio de Salud.

g) Un/a técnico/a Informático/a del área de sistemas del Servicio de Salud.

h) La persona titular de la dirección con competencias en materia de recursos humanos del Servicio de Salud.

i) La persona titular de la Secretaría General del Servicio de Salud.

3. Se podrán nombrar otros miembros del COSSISPA, a propuesta del mismo.

4. El COSSISPA podrá contar, de forma puntual, con personas externas que le asesoren o informen, cuando lo considere necesario.

5. En caso de ausencia de la Presidencia, le sustituirán, por este orden, la persona titular de la Dirección Gerencia del Servicio de Salud y la persona titular de la Secretaría General del Servicio de Salud.

6. En caso de ausencia de la Secretaría, el COSSISPA designará de entre sus miembros a una persona que ejerza sus funciones.

Quinto.-Funcionamiento.

1. El COSSISPA se reunirá de forma ordinaria con una periodicidad mensual y de forma extraordinaria cuando lo determine la Presidencia, a iniciativa propia, del Delegado de Protección de Datos o a solicitud de la tercera parte de sus miembros.

2. Para su válida constitución a efectos de la celebración de sesiones, deliberaciones y toma de acuerdos, se requerirá la presencia de las personas que desempeñen la Presidencia y la Secretaría y de, al menos, la mitad de sus miembros.

3. Las reuniones se realizaran previa convocatoria en la que se fije el orden del día. La convocatoria se realizara con una antelación mínima de dos días.

4. De cada sesión se levantará acta por la Secretaría.

Sexto.-Régimen Jurídico.

En lo no previsto en la presente Resolución, el funcionamiento del COSSISPA se regirá por lo dispuesto en el Capítulo II, Sección 3.ª, del Título Preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

Séptimo.-Comités de Seguridad de Sistemas de Información de Salud en la Áreas Sanitarias.

En cada Área Sanitaria el Servicio de Salud del Principado de Asturias creará un Comité de Área de Seguridad de Sistemas de Información de Salud. Los Comités de cada Área se configurarán como grupos de trabajo con funciones de asesoramiento y apoyo dentro de cada Área Sanitaria.

Octavo.-Finalidad de los Comités de Área Sanitaria.

El Comité de Área tendrá como finalidad colaborar en el desarrollo e implantación de las medidas establecidas por la normativa sobre protección de datos personales, así como en la definición de estrategias coordinadas de seguridad en el Área Sanitaria, desarrollando sus funciones bajo la coordinación del COSSISPA.

Noveno.-Funciones de los Comités de Área Sanitaria.

Serán funciones del Comité de Área, al menos, las siguientes:

a) Colaborar con el COSSISPA en el establecimiento en el Área Sanitaria de las líneas generales que permitan llevar a cabo la supervisión del cumplimiento de lo dispuesto en el Reglamento General de Protección de Datos y demás disposiciones en la materia.

b) Recibir información y formular propuestas sobre el adecuado cumplimiento de la entrega de información a los interesados cuando se recogen sus datos.

c) Recibir información sobre la existencia de violaciones de seguridad de los datos y efectuar propuestas sobre ellas, en particular para evaluar el riesgo que puedan suponer para los derechos y libertades de los afectados y para notificar esas violaciones de seguridad al COSSISPA.

d) Recibir información sobre la realización de los planes de formación y concienciación de los trabajadores así como sobre el control de calidad de los mismos.

e) Recibir información sobre las auditorías locales realizadas sobre las tareas propuestas desde el COSSISPA, vinculadas a lo dispuesto en el Reglamento General de Protección de Datos y demás disposiciones en la materia, enviando los resultados al mismo.

f) Aquellas otras para las que sea requerido por el COSSISPA.

Décimo.-Composición de los Comités de Área Sanitaria.

1. Los Comités de Área Sanitaria estarán constituidos por los siguientes miembros, todos ellos nombrados por el titular de la Dirección Gerencia del Servicio de Salud:

a) La persona titular de la Gerencia del Área Sanitaria que ostentará la Presidencia del Comité.

b) La persona titular de la dirección competente en materia de asistencia sanitaria y salud pública o de la dirección de hospital.

c) La persona titular de la dirección o servicio competente en materia de gestión de recursos humanos y materiales.

d) La persona titular de la dirección con competencias en materia de cuidados y enfermería.

e) La persona responsable de Informática del Área.

f) La persona titular del Servicio de Atención al Ciudadano.

g) La persona que ocupe la Presidencia de la Comisión de Historia Clínica.

h) La persona responsable del Área de Calidad.

2. Cada Comité de Área nombrará de entre sus miembros una persona que desempeñara la secretaría del órgano.

Undécimo.-Régimen Jurídico de los Comités de Área Sanitaria.

En lo no previsto en la presente Resolución, el funcionamiento de los Comités de Área se regirá por lo dispuesto en el Capítulo II, Sección 3.ª, del Título Preliminar de la Ley 40/2015, de 1 de octubre.

Duodécimo.-Régimen Económico.

La condición de miembro de los distintos comités no dará derecho a retribución económica alguna por parte de la Consejería competente en materia de sanidad o del Servicio de Salud del Principado de Asturias.

Decimotercero.-Publicación.

Se ordena la publicación de la presente Resolución en el Boletín Oficial del Principado de Asturias.

Decimocuarto.-Entrada en vigor.

La presente Resolución entrará en vigor en día siguiente a su publicación en el Boletín Oficial del Principado de Asturias.

Este acto pone fin a la vía administrativa y contra el mismo cabe interponer recurso contencioso-administrativo ante la Sala de lo Contencioso-Administrativo del Tribunal Superior de Justicia de Asturias, en el plazo de dos meses contados desde el día siguiente al de su notificación, sin perjuicio de la posibilidad de previa interposición del recurso potestativo de reposición ante el titular de la Consejería de Sanidad, en el plazo de un mes contado desde el día siguiente al de su notificación, no pudiendo simultanearse ambos recursos, conforme a lo establecido en el artículo 28 de la Ley del Principado de Asturias 2/1995, de 13 de marzo, sobre régimen jurídico de la Administración del Principado de Asturias, y en el artículo 123 de la Ley 39/2015, de 1 de octubre, del Procedimiento Administrativo Común de las Administraciones Públicas, y sin perjuicio de que los interesados puedan ejercitar cualquier otro que estimen oportuno.

Oviedo, a 14 de noviembre de 2018.-El Consejero de Sanidad.-Cód. 2018-11632.