Descargar PDF Galego | Castellano| Português

DOG - Xunta de Galicia -

Diario Oficial de Galicia
DOG Núm. 169 Viernes, 21 de agosto de 2020 Pág. 33318

I. Disposiciones generales

Consellería de Sanidad

ORDEN de 18 de agosto de 2020 por la que se regula el sistema de información Passcovid.gal como medida complementaria en la gestión de la crisis sanitaria ocasionada por el COVID-19.

I

El 11 de marzo de 2020, la Organización Mundial de la Salud elevó la situación de emergencia de salud pública generada por la expansión del coronavirus COVID-19 a nivel de pandemia internacional. Esta expansión está generando una crisis sin precedentes en la salud pública que afecta a todos los sectores e individuos. Las distintas administraciones, organismos e instituciones, nacionales e internacionales, tuvieron que adoptar medidas drásticas y urgentes para la prevención y lucha contra la pandemia.

En este sentido, el 13 de marzo de 2020 el Consello de la Xunta de Galicia aprobó el acuerdo por el que se declaró la situación de emergencia sanitaria en el territorio de la Comunidad Autónoma de Galicia y se activó el Plan territorial de emergencias de Galicia (Platerga) en su nivel IG (emergencia de interés gallego), como consecuencia de la evolución de la pandemia del coronavirus COVID-19.

El 14 de marzo se publicó el Real decreto 463/2020, de 14 de marzo, por el que se declaró el estado de alarma para la gestión de la situación de crisis sanitaria ocasionada por el COVID-19, dentro de las medidas previstas para hacer frente a la situación ocasionada por la extensión da enfermedad.

La declaración afectó a todo el territorio nacional y su duración inicial fue de quince días naturales, si bien el estado de alarma fue objeto de sucesivas prórrogas y supuso una situación excepcional de limitación efectiva de la libertad de circulación de las personas y de actividades, con determinadas excepciones, como quedó recogido en el mencionado Real decreto 463/2020, de 14 de marzo, lo que tuvo un enorme impacto en la actividad económica y social y, en términos generales, en todos los aspectos de la vida cotidiana de la ciudadanía gallega o residente en Galicia.

Tras el período inicial de quince días naturales y del correspondiente a la primera y a la segunda prórrogas del estado de alarma, se inició durante la tercera un proceso de reducción progresiva de las medidas extraordinarias de restricción de la movilidad, del contacto social y del ejercicio de actividades, establecidas en la versión inicial del Real decreto 463/2020, de 14 de marzo, en especial con motivo de la aprobación por el Consejo de Ministros, en su reunión de 28 de abril, del Plan para la transición hacia una nueva normalidad.

En dicho plan se contempló un proceso gradual de vuelta a la normalidad dividido en cuatro fases: una fase cero o preliminar y tres fases de desescalada, diferenciadas en función de las actividades permitidas en cada una de ellas, por las que podrían transitar los diferentes territorios en función de diversos criterios e indicadores hasta llegar a la denominada «nueva normalidad».

En el caso de la Comunidad Autónoma de Galicia, en aplicación del artículo 6 del Real decreto 555/2020, de 5 de junio, el Consello de la Xunta de Galicia, por Acuerdo de 12 de junio de 2020, apreció, como autoridad sanitaria, que la Comunidad Autónoma de Galicia, como unidad territorial, estaba en condiciones de superar la fase III y, por lo tanto, en condiciones de entrar en la «nueva normalidad». Y por el Decreto de la Presidencia de la Xunta de Galicia 90/2020, de 13 de junio, se declaró la superación de la fase III y, por lo tanto, la entrada en la nueva normalidad, con efectos desde las 00.00 horas del día 15 de junio de 2020. Ahora bien, la superación de dicha fase III, bien que implicó que quedasen sin efecto las medidas extraordinarias derivadas del estado de alarma, comportó y sigue comportando la adopción por las administraciones competentes de las necesarias medidas que permitan seguir haciendo frente y controlando la pandemia, habida cuenta de la subsistencia, aunque atenuada, de una situación de crisis sanitaria. En este sentido, en el ámbito estatal se dictó el Real decreto ley 21/2020, de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el COVID-19, las cuales, conforme a lo dispuesto en su artículo 2, son de aplicación en todo el territorio nacional. Y, en el ámbito autonómico, la respuesta a la crisis sanitaria que aún subsiste fue fundamentalmente, además del mantenimiento de la declaración de situación de emergencia sanitaria efectuada mediante el Acuerdo del Consello de la Xunta de Galicia de 13 de marzo de 2020, la adopción de medidas de prevención. Así, cabe destacar que mediante la Resolución de 12 de junio de 2020, de la Secretaría General Técnica de la Consellería de Sanidad, se dio publicidad al Acuerdo del Consello de la Xunta de Galicia de 12 de junio de 2020 sobre medidas de prevención necesarias para hacer frente a la crisis sanitaria ocasionada por el COVID-19, una vez superada la fase III del Plan para la transición hacia una nueva normalidad. Conforme al punto sexto del acuerdo, las medidas previstas en el mismo podrán ser objeto de modificación o supresión por el Consello de la Xunta de Galicia y, asimismo, la persona titular de la consellería competente en materia de sanidad, como autoridad sanitaria, podrá adoptar las medidas necesarias para la aplicación del acuerdo y podrá establecer, de conformidad con la normativa aplicable y a la vista de la evolución de la situación sanitaria, todas aquellas medidas adicionales o complementarias a las previstas en el acuerdo que sean necesarias.

En este contexto, en la gestión de la crisis sanitaria y en el proceso gradual de vuelta a la normalidad no se debe olvidar el papel que pueden desarrollar la tecnología, los datos y el uso extendido de los dispositivos móviles en la población para la prevención, detección y seguimiento de posibles brotes de contagio. En este sentido, la tecnología debe considerarse como un instrumento complementario respecto de los protocolos establecidos para la trazabilidad de contactos.

En esta línea, la Recomendación (UE) 2020/518 de la Comisión, de 8 de abril de 2020, relativa a un conjunto de instrumentos comunes de la Unión para la utilización de la tecnología y los datos a fin de combatir y superar la crisis del COVID-19, contiene una referencia en particular en lo que respecta a las aplicaciones móviles y la utilización de datos de movilidad anonimizados, y reconoce el valioso papel a desempeñar por las tecnologías y los datos digitales en la lucha contra la crisis del COVID-19, ya que en Europa muchas personas se conectan a internet a través de dispositivos móviles.

Esas tecnologías y datos, según la Comisión, ofrecen una herramienta importante para informar al público y ayudar a las autoridades públicas pertinentes en sus esfuerzos por contener la propagación del virus.

La misma Comisión Europea, en su Comunicación relativa a las orientaciones sobre las aplicaciones móviles de apoyo a la lucha contra la pandemia del COVID-19 en lo referente a la protección de datos, publicada el 17 de abril de 2020, manifiesta ser conocedora de que las aplicaciones para dispositivos móviles, que suelen estar instaladas en teléfonos inteligentes, pueden facilitar a las autoridades sanitarias públicas el seguimiento y la contención de la pandemia del COVID-19, y son especialmente pertinentes de cara al levantamiento de las medidas de confinamiento. Esas aplicaciones, indica la Comisión, pueden proporcionar orientaciones directas a la ciudadanía y facilitar la labor de rastreo de contactos de riesgo.

Por su parte, el Comité Europeo de Protección de Datos adoptó el 21 de abril de 2020 las directrices 04/2020 sobre el uso de datos de localización y herramientas de rastreo de contactos en el contexto de la pandemia del COVID-19, en las que también se reconoce que los datos y la tecnología son importantes herramientas en la lucha contra el coronavirus.

Teniendo en cuenta lo expuesto, procede promover el desarrollo y puesta en marcha de un sistema de información, que estará disponible para las personas usuarias a través de una aplicación para dispositivos móviles, como uno más de los instrumentos a utilizar en la Comunidad Autónoma gallega en la gestión de la crisis sanitaria ocasionada por el COVID-19. No se trata, por lo tanto, de un elemento aislado, sino de un complemento a otros ya aplicados dentro de la estrategia global de la Administración autonómica de lucha contra el virus y sus posibles rebrotes.

Este sistema, que estará disponible tanto para personas residentes en Galicia como para aquellas que se encuentren temporalmente en territorio autonómico, tendrá como finalidades: facilitar información a las personas usuarias (orientaciones, consejos prácticos, recomendaciones y recursos de interés, así como información personalizada); servir de apoyo a los protocolos de trazabilidad y gestión de contactos de los casos COVID-19 identificados, así como ofrecer a través de la aplicación un soporte digital para facilitar la puesta en funcionamiento de las medidas que se adopten por las autoridades competentes en la gestión de la crisis sanitaria. En definitiva, la finalidad última de la aplicación es la contribución al avance de la salud colectiva e individual.

Para el cumplimiento de las finalidades previstas, la aplicación que dé soporte al sistema de información se basará en información individual disponible, especialmente en el Sistema público de salud de Galicia, pero también, cuando así lo exija el cumplimiento de las finalidades del sistema, en otros sistemas de información del sector público autonómico; en la disponibilidad de sistemas de acreditación digital de la ciudadanía, como es el sistema de claves concertadas de la Xunta de Galicia (Chave365); en el estado de desarrollo tecnológico y penetración en la sociedad del uso de dispositivos móviles, de suerte que pueda servir de instrumento para minimizar la cadena de transmisión del contagio mediante la detección temprana de contactos epidemiológicamente relevantes; en la aplicación de los protocolos y de las disposiciones que las autoridades competentes establezcan para la gestión de la crisis sanitaria; y en el carácter voluntario de la instalación y del uso de la aplicación, así como en el cumplimiento de los principios y obligaciones establecidos por la normativa vigente en materia de protección de datos personales. En relación con esta cuestión procede destacar que tanto la instalación de la aplicación como la habilitación de cada una de sus funcionalidades es voluntaria, debiendo la persona interesada prestar su consentimiento; será también voluntario el uso de la aplicación. Ahora bien, este carácter voluntario no significa que el tratamiento de los datos personales se base necesaria y exclusivamente en el consentimiento. En la medida en la que el sistema de información permitirá a las autoridades sanitarias autonómicas la prestación de servicios y el cumplimiento de funciones previstos en diversas normas legales en materia de salud pública que resultan de aplicación en una situación de crisis sanitaria como la que se está viviendo, la base legítima principal del tratamiento de datos es la relativa al cumplimiento de una misión realizada en interés público (artículos 6.1.e) y 9.2.g) e i) del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), y artículos 8.2 y 9.2 de la Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales).

Así, la Ley orgánica 3/1986, de 14 de abril, de medidas especiales en materia de salud pública, establece en su artículo 3 que, a fin de controlar las enfermedades transmisibles, la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o estuviesen en contacto con los mismos y del entorno inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible.

Por otra parte, el artículo 26 de la Ley 14/1986, de 25 de abril, general de sanidad, prevé la posibilidad de que las autoridades sanitarias puedan adoptar las medidas preventivas pertinentes cuando exista o se sospeche razonablemente la existencia de un riesgo inminente y extraordinario para la salud, así como cuantas otras se consideren sanitariamente justificadas. La duración de dichas medidas se fijará para cada caso, sin perjuicio de las prórrogas sucesivas acordadas por resoluciones motivadas, y no excederá el que exija la situación de riesgo inminente y extraordinario que las justificó.

Asimismo, el artículo 27.2 de la Ley 33/2011, de 4 de octubre, general de salud pública, establece la obligación, para las administraciones públicas, en el ámbito de sus competencias, de proteger la salud de la población mediante actividades y servicios que actúen sobre los riesgos existentes.

En la misma línea, el artículo 34 de la Ley 8/2008, de 10 de julio, de salud de Galicia, incluye, entre las intervenciones públicas que podrán ejercer las autoridades sanitarias competentes sobre las actividades públicas y privadas que, directa o indirectamente, puedan tener consecuencias para la salud, adoptar las medidas preventivas que se consideren pertinentes en caso de que exista o se sospeche razonablemente la existencia de un riesgo inminente y extraordinario para la salud. Y su artículo 38 prevé que las autoridades sanitarias podrán llevar a cabo intervenciones públicas en los supuestos de riesgos para la salud de terceras personas, en los mismos términos previstos en los artículos 2 y 3 de la Ley orgánica 3/1986, de 14 de abril.

Asimismo, el artículo 49 de la misma ley, en su letra d), establece que la prestación de salud pública por el Sistema público de salud de Galicia comprende, entre otros aspectos, la prevención y el control de las enfermedades transmisibles. Y su artículo 52.4, por su parte, recoge la previsión de que ante situaciones de crisis, alerta o alarma de salud pública el Sistema público de salud de Galicia responderá con mecanismos y acciones precisas que garanticen la protección de la salud de la población.

Finalmente, por lo que se refiere al uso de la información sanitaria con fines epidemiológicos o de salud pública, los artículos 16 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, y 19 de la Ley 3/2001, de 28 de mayo, reguladora del consentimiento informado y de la historia clínica de los pacientes, contemplan el acceso a la historia clínica con fines epidemiológicos y de protección de la salud pública.

Especial atención merece también la configuración como responsable del tratamiento de la consellería competente en materia de sanidad, habida cuenta de la condición de autoridad sanitaria de la persona titular de dicha consellería, conforme al artículo 33 de la Ley 8/2008, de 10 de julio, y como encargado del tratamiento a la Agencia para la Modernización Tecnológica de Galicia (Amtega), adscrita a la Presidencia de la Xunta de Galicia, atendidos sus objetivos básicos de definición, desarrollo y ejecución de los instrumentos de la política de la Xunta de Galicia en el campo de las tecnologías de la información, la comunicación, la innovación y el desarrollo tecnológico.

En consecuencia, de conformidad con el contexto, con las previsiones normativas y con las recomendaciones institucionales antes indicadas, y dentro de la estrategia general autonómica de lucha contra la crisis sanitaria derivada de la expansión del coronavirus SARS-CoV-2, con esta orden se amplían las medidas para la gestión de la crisis ocasionada por el COVID-19, aprovechando los medios tecnológicos y sistemas de información disponibles en el sector público autonómico, con la finalidad última de contribuir a la mejora de la salud colectiva y de la salud individual tanto de las personas residentes en Galicia como de aquellas que se encuentren temporalmente en territorio autonómico.

II

La presente orden consta de 15 artículos, agrupados en 6 capítulos, además de una disposición adicional y de una disposición final.

En el capítulo I, relativo a las disposiciones generales, se regulan el objeto de la orden, así como el carácter y alcance del sistema de información Passcovid.gal, sus finalidades y funcionalidades y el régimen de titularidad y de responsabilidad. El capítulo II regula las potenciales personas usuarias del sistema, el carácter voluntario de la instalación y del uso de la aplicación que da acceso al sistema, así como las modalidades de identificación previstas. El capítulo III, sobre los aspectos técnicos y operativos, recoge los extremos relativos a los criterios de aplicación, así como a la evaluación del sistema. En el capítulo IV, relativo a la publicidad, transparencia y colaboración, se recogen los criterios de publicidad y transparencia del sistema, así como la posible colaboración con otras administraciones públicas o instituciones con la finalidad de ampliar el ámbito de implantación funcional del sistema permitiendo alcanzar una mayor extensión del mismo. El capítulo V establece los criterios de vigencia del sistema de información y, por último, el capítulo VI, sobre la protección de datos personales, contempla los aspectos generales respecto de la protección de datos personales y las obligaciones del encargado y de los posibles subencargados del tratamiento.

La disposición adicional se refiere a las actualizaciones del sistema y la disposición final establece la inmediata entrada en vigor de la disposición habida cuenta de la necesidad de que el sistema pueda servir, sin demora, de medida complementaria en la gestión de la crisis sanitaria causada por el COVID-19.

El procedimiento de elaboración de la orden se ajustó a lo dispuesto en la Ley 16/2010, de 17 de diciembre, de organización y funcionamiento de la Administración general y del sector público autonómico de Galicia, y se cumplieron, asimismo, los trámites previstos en la normativa en materia de transparencia. Se hizo además partícipe del alcance de este sistema a la Agencia Española de Protección de Datos.

Por último, la norma se adecúa a los principios de buena regulación del artículo 129 de la Ley 39/2015, de 1 de octubre, del procedimiento administrativo común de las administraciones públicas. Así, en aplicación de los principios de necesidad, eficacia, proporcionalidad y eficiencia, la norma persigue un interés general que es regular un sistema de información que sirva como medida complementaria en la gestión de la crisis ocasionada por el COVID-19, recogiendo las normas necesarias a tal fin y sin imponer obligaciones ni cargas innecesarias. En virtud del principio de seguridad jurídica la norma guarda coherencia con el resto del ordenamiento jurídico y en cumplimiento del principio de transparencia se identifican con claridad en ella los objetivos perseguidos y, además, durante su tramitación se promovió la participación de la ciudadanía a través de la publicidad en el Portal de transparencia y gobierno abierto.

En su virtud, en el ejercicio de la competencia prevista en el artículo 34.6 de la Ley 1/1983, de 22 de febrero, de normas reguladoras de la Xunta y de su Presidencia,

DISPONGO:

CAPÍTULO I

Disposiciones generales

Artículo 1. Objeto

El objeto de esta orden es la regulación del sistema de información Passcovid.gal como medida complementaria en la gestión de la crisis sanitaria ocasionada por el COVID-19.

Artículo 2. Carácter y alcance del sistema de información Passcovid.gal

1. Passcovid.gal es un sistema de información que podrá tener las finalidades y funcionalidades que se prevén en esta orden. Este sistema de información estará disponible para las personas usuarias a través de una aplicación para dispositivos móviles.

En caso de que dicha aplicación sea utilizada para prestar a la persona usuaria otras finalidades y funcionalidades distintas de las propias del sistema de información Passcovid.gal, se estará respecto al régimen jurídico y al régimen de responsabilidades a lo previsto en las disposiciones en cada caso aplicables a esas distintas finalidades y funcionalidades.

2. El sistema de información Passcovid.gal no tendrá en ningún caso la consideración de sistema de diagnóstico médico, de atención sanitaria o de prescripción farmacológica. En consecuencia, no tendrá por finalidad ni estará destinado a ser utilizado con fines médicos específicos de diagnóstico, prevención, seguimiento, predicción, pronóstico, tratamiento o alivio de una enfermedad.

Artículo 3. Finalidades del sistema

El sistema de información Passcovid.gal podrá tener las siguientes finalidades :

a) Establecer un canal de comunicación directa entre el Sistema público de salud de Galicia y las personas usuarias para facilitar consejos prácticos y orientaciones de carácter general relativas a la crisis sanitaria ocasionada por el COVID-19, así como recomendaciones de las acciones y medidas a seguir para afrontar la situación.

b) Ofrecer información sobre recursos de interés para el seguimiento de las pautas de salud, de confinamiento o de movilidad.

c) Facilitar información personalizada sobre el riesgo transmisor que cada persona usuaria supone para los demás en base a la información que de ella dispone el Sistema público de salud de Galicia.

d) Permitir la identificación y la alerta de contactos relevantes epidemiológicamente con personas usuarias declaradas como caso COVID-19.

e) Ofrecer, a través de la aplicación, un soporte digital para recoger la información y documentación de utilidad para facilitar la aplicación de las medidas que adopten las autoridades competentes en la gestión de la crisis sanitaria causada por el COVID-19, en la medida y en los términos que lo permitan las disposiciones, los actos, las instrucciones y los protocolos que disciplinen tales medidas.

f) Obtener información relevante por su valor científico o epidemiológico con las debidas garantías de anonimización.

Artículo 4. Funcionalidades del sistema de información

Para alcanzar las finalidades previstas en el artículo anterior, el sistema de información Passcovid.gal podrá tener las siguientes funcionalidades:

a) Recepción de información o alertas relativas a consejos prácticos y orientaciones de carácter general relativas al COVID-19, así como recomendaciones respecto a acciones y medidas adecuadas a seguir.

b) Geolocalización de recursos de interés que puedan servir de apoyo a la ciudadanía para el seguimiento de las pautas de salud, de confinamiento o de movilidad.

c) Determinación de la información individual de la persona usuaria relativa a la situación de salud en referencia al COVID-19, en términos de nivel de riesgo transmisor. La información se determinará en base al conocimiento que de la persona usuaria tenga el Sistema público de salud de Galicia.

d) Identificación por parte de la persona usuaria de contactos recientes.

e) Recepción de comunicaciones por estar en situación de contacto estrecho por casos declarados COVID-19.

f) Proporcionar a la persona usuaria el soporte digital de información o documentación individual relativa a sus circunstancias laborales o de localización geográfica a fin de facilitar la aplicación de las medidas que adopten las autoridades competentes en la gestión de la crisis sanitaria causada por el COVID-19, en la medida y en los términos que lo permitan las disposiciones, los actos, las instrucciones y los protocolos que disciplinen tales medidas.

Artículo 5. Titularidad y responsabilidad del sistema de información

1. La titularidad del servicio prestado a través del sistema de información Passcovid.gal corresponde a la consellería competente en materia de sanidad.

2. La Agencia para la Modernización Tecnológica de Galicia (en adelante, Amtega), como entidad instrumental del sector público autonómico con competencias en materia de desarrollo digital, será la responsable de la gestión tecnológica y de continuidad, accesibilidad y seguridad del sistema de información Passcovid.gal.

CAPÍTULO II

Personas usuarias y carácter voluntario

Artículo 6. Personas usuarias del sistema de información Passcovid.gal

1. El sistema de información Passcovid.gal podrá ser utilizado por cualquier persona, mayor de edad, que sea residente o se encuentre temporalmente en la Comunidad Autónoma gallega.

2. El acceso y el uso de la aplicación que da acceso al sistema de información por menores de edad quedarán limitados a aquellas funcionalidades que no requieran tratamiento de sus datos personales. Para la habilitación y el uso por menores de edad de funcionalidades que requieran o conlleven el tratamiento de sus datos personales será necesaria la prestación de consentimiento en los términos previstos en el artículo 7 de la Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (en adelante, LOPDGDD).

Artículo 7. Instalación y uso voluntarios de la aplicación

1. La instalación de la aplicación para dispositivos móviles que facilita el acceso al sistema de información Passcovid.gal y la habilitación de cada una de las funcionalidades del sistema se basarán en la voluntariedad de la persona usuaria.

A tal efecto, la persona usuaria deberá consentir expresamente la habilitación de cada una de las funcionalidades por separado, determinando las que quiere utilizar en función de las que tiene disponibles, y podrá decidir en todo momento deshabilitar alguna o algunas de las funcionalidades, así como desinstalar la aplicación.

2. La prestación del consentimiento, tanto para la instalación de la aplicación como para la habilitación de las diferentes funcionalidades, se basará en una declaración o clara acción afirmativa prestada de forma explícita por la persona usuaria para cada una de las finalidades especificadas. Con carácter previo a la prestación del consentimiento, se garantizará el suministro de información en los términos y con el alcance exigidos por la normativa de protección de datos.

3. Dado su carácter voluntario, no se derivará ningún tipo de consecuencia negativa para las personas que decidan no descargar o no usar la aplicación, como tampoco para las personas usuarias que decidan desinstalarla o retirar el consentimiento previamente otorgado para la habilitación de alguna o de algunas de las funcionalidades. Con todo, la retirada del consentimiento no afectará a la licitud del tratamiento previo a la misma.

Artículo 8. Identificación de las personas usuarias

1. Para el registro en la aplicación que facilita el acceso al sistema de información Passcovid.gal y los posteriores accesos a la misma existirán dos modalidades de identificación:

a) Identificación verificada. En este caso, la identificación para el registro en la aplicación y los posteriores accesos se realizará mediante el sistema de claves concertadas de la Xunta de Galicia, Chave365, por lo que la persona usuaria deberá estar previamente registrada en el sistema Chave365 regulado en la Orden de 6 de febrero de 2014 por la que se aprueba el protocolo de identificación y firma electrónicas de la Administración general y del sector público autonómico de Galicia.

Además del código de usuario y del código de acceso del sistema Chave365, a fin de garantizar el doble factor de autenticación exigido por el Esquema nacional de seguridad (ENS), se realizará un envío automático al terminal de la persona usuaria de un mensaje de texto con un código a introducir en el momento de su autenticación. Dicho código será de un solo uso y tendrá una duración máxima de 24 horas. La persona dispondrá de un número máximo de intentos de acceso a la aplicación antes del bloqueo automático de su usuario.

b) Identificación no verificada. En este caso, la identificación para el registro en la aplicación y los posteriores accesos se realizará mediante un identificador en la propia aplicación, sin verificación de la identidad de la persona usuaria.

c) Sin identificación previa de la persona usuaria, esto es, de forma anónima.

2. Las funcionalidades del sistema disponibles para cada persona usuaria a través de la aplicación dependerán de la modalidad de identificación elegida por ella.

3. Cualquier funcionalidad que implique el acceso a información de carácter personal recogida en los sistemas de información del sector público autonómico requerirá necesariamente el acceso mediante la modalidad de identificación verificada, que permite la identificación segura mediante doble factor de autenticación. El acceso al sistema de información Passcovid.gal no habilita en ningún caso a la persona usuaria para el acceso a la carpeta personal de salud ni a la historia clínica electrónica.

4. Tal y como se indica en el artículo 7, la persona usuaria registrada deberá expresamente consentir la habilitación, por separado, de cada una de las funcionalidades disponibles en la aplicación, determinando las que quiere utilizar en función de las que tiene disponibles. Además, sin perjuicio de aquellos otros extremos a los que deba extenderse el deber de información previo a la prestación del consentimiento, la persona usuaria, antes de prestar su consentimiento para el acceso y tratamiento de datos procedentes de sistemas de información, será informada de manera completa de los concretos sistemas de información de que se trate y de los datos existentes en ellos cuyo acceso y tratamiento consiente.

CAPÍTULO III

Aspectos técnicos y operativos

Artículo 9. Determinación de criterios sobre aspectos relacionados con la salud pública

1. La consellería competente en materia de sanidad establecerá los criterios que deberán adoptarse para el funcionamiento del sistema de información Passcovid.gal en todos los aspectos relativos a la materia de salud pública.

2. Entre tales aspectos, y sobre la base de los protocolos y de las disposiciones vigentes en cada caso y momento, la consellería competente en materia de sanidad establecerá, a los efectos de este sistema, los criterios de determinación de los conceptos de caso COVID-19 y de contacto estrecho, así como de los niveles de riesgo transmisor del virus, o la determinación de lo que se considera contacto estrecho.

Artículo 10. Evaluación del sistema

1. Las autoridades competentes en la gestión de la crisis sanitaria determinarán los indicadores que permitan el seguimiento del impacto del uso del sistema, con la finalidad de evaluar su eficacia y utilidad práctica.

2. Igualmente, determinarán la información que deba conservarse conforme a lo dispuesto en la normativa sanitaria aplicable, así como aquella que también proceda conservar, con las debidas garantías de anonimización, por su valor científico o epidemiológico.

CAPÍTULO IV

Publicidad, transparencia y colaboración

Artículo 11. Publicidad y transparencia

1. A fin de garantizar la confianza en el sistema y en la aplicación que le da soporte por parte de las personas usuarias se dará publicidad a las características de funcionamiento del sistema, así como a todos aquellos aspectos que permitan tener un conocimiento adecuado de sus finalidades, funcionalidades y de los protocolos conforme a los cuales funcionará. Dicha publicidad se realizará a través del portal informativo
https://passcovid.xunta.gal.

2. En concreto, el portal https://passcovid.xunta.gal facilitará, como mínimo, la siguiente información:

a) El alcance y las finalidades y funcionalidades del sistema.

b) Los criterios de determinación de los conceptos utilizados en el sistema, entre ellos, los de caso COVID-19 y contacto estrecho, y los criterios de determinación de los niveles de riesgo transmisor.

c) El funcionamiento detallado de las funcionalidades del sistema, incluyendo las fuentes de información utilizadas.

d) Información sobre las novedades que se incorporen progresivamente en el sistema.

e) La información relativa a los derechos a la privacidad y a la protección de datos personales. En concreto se publicará, conforme a lo exigido en la legislación vigente, el correspondiente registro de actividades de tratamiento de los datos personales y se facilitará información que permitirá a la persona usuaria el ejercicio de los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, y por el que se deroga la Directiva 95/46/CE, Reglamento general de protección de datos (en adelante, RGPD) así como la retirada del consentimiento otorgado.

f) Cualquier otra información que pueda ser de interés para el conocimiento del sistema.

3. Dado que la eficacia del sistema dependerá en gran medida del porcentaje de población que descargue la aplicación que da acceso a dicho sistema, se promoverá la instalación y el uso de dicha aplicación a través de campañas de sensibilización y difusión.

Artículo 12. Mecanismos de colaboración con otras administraciones e instituciones

1. Podrán establecerse convenios o acuerdos de colaboración con otras administraciones públicas o instituciones, públicas o privadas, con la finalidad de ampliar el ámbito de implantación funcional del sistema permitiendo alcanzar una mayor extensión del mismo, y siempre dentro del ámbito competencial autonómico.

2. Estos convenios o acuerdos de colaboración deberán concretar, como mínimo y sin perjuicio de los demás extremos exigidos por la normativa aplicable, su finalidad, las funcionalidades del sistema a que se refieren y las posibles comunicaciones de datos, así como los extremos relativos al cumplimiento de la normativa vigente en materia de protección de datos. En todo caso, las comunicaciones de datos relativos a la persona usuaria requerirá del consentimiento inequívoco y explícito de esta.

CAPÍTULO V

Vigencia del sistema

Artículo 13. Vigencia del sistema de información Passcovid.gal

1. El sistema de información Passcovid.gal estará vinculado a las disposiciones y a los protocolos de gestión de la crisis sanitaria derivada del coronavirus COVID-19, por lo que su vigencia finalizará en el momento de la declaración por el gobierno estatal, en aplicación de lo dispuesto en el artículo 2.3 del Real decreto ley 21/2020, de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el COVID-19, de la finalización de la situación de crisis sanitaria ocasionada por el COVID-19 o, de ser posterior, en el momento de la declaración, por el Gobierno autonómico, de la finalización de la situación de emergencia sanitaria declarada por Acuerdo del Consello de la Xunta de Galicia de 13 de marzo de 2020, por el que se declara la situación de emergencia sanitaria en el territorio de la Comunidad Autónoma de Galicia y se activa el Plan territorial de emergencias de Galicia (Platerga) en su nivel IG (emergencia de interés gallego), como consecuencia de la evolución de la epidemia del coronavirus COVID-19.

2. En aras de la necesaria transparencia, mediante resolución de la persona titular de la consellería competente en materia de sanidad publicada en el Diario Oficial de Galicia, se hará público el momento del fin de la vigencia del sistema conforme a lo dispuesto en el número anterior.

3. La finalización de la vigencia del sistema implicará la inmediata desactivación de la aplicación que da acceso a dicho sistema en los dispositivos móviles y la supresión de los datos personales tratados para los fines del sistema.

4. Lo dispuesto en el número anterior se entiende sin perjuicio de los datos que deban conservarse en cumplimiento de la normativa sanitaria aplicable, así como de la posible conservación de aquella información que sea relevante por su valor científico o epidemiológico al servicio del interés público durante períodos más largos, siempre que en este último caso se conserve en un formato anonimizado y con las garantías necesarias para imposibilitar la reidentificación de las personas afectadas.

CAPÍTULO VI

Protección de datos personales

Artículo 14. Aspectos generales respeto de la protección de datos personales

1. Tanto en el desarrollo como la en la puesta en marcha y funcionamiento del sistema y de la aplicación que da acceso a este, y posteriormente en su desactivación, se establecerán las garantías necesarias para las personas usuarias y demás personas afectadas respecto al tratamiento de sus datos personales, según lo dispuesto en la normativa vigente en materia de protección de datos y confidencialidad de las comunicaciones, en especial la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), así como sus normas de transposición, el RGPD y la LOPDGDD.

Estas garantías respetarán los principios recogidos en dicha normativa. En particular, la recogida de los datos personales se regirá por los principios generales de efectividad, necesidad y proporcionalidad, respetándose en todo caso el principio de minimización de los datos.

2. El responsable del tratamiento será la consellería con competencias en materia de sanidad. La Amtega tendrá la consideración de encargada del tratamiento para el desarrollo, mantenimiento, alojamiento y gestión del sistema y de la aplicación a través de la que se dará acceso al mismo a las personas usuarias. Se autoriza a la Amtega, a su vez, a recurrir a otros encargados del tratamiento para el desarrollo de su encargo.

En este contexto, se tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solamente pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros. Entre otras medidas, se solicitarán los compromisos de confidencialidad personales necesarios, en los que se hará mención expresa al deber de secreto profesional conforme a lo exigido en el RGPD.

3. La habilitación de la funcionalidad de determinación del nivel de riesgo transmisor frente al virus, así como la de declaración de contactos recientes, comportará el tratamiento de categorías especiales de datos como los relativos a la salud. También podrán tratarse datos identificativos, datos relativos a las características personales y datos de detalle del empleo, así como aquellos otros necesarios para el cumplimiento de las finalidades del sistema.

4. Como se indica en el artículo 7, tanto la instalación de la aplicación que da acceso al sistema como la activación de cada una de las funcionalidades tienen carácter voluntario, debiendo la persona interesada prestar su consentimiento; será también voluntario el uso de la aplicación. Ahora bien, este carácter voluntario no significa que el tratamiento de los datos personales se base necesaria y exclusivamente en el consentimiento, sino que la base legítima principal del tratamiento de datos es la relativa al cumplimiento de una misión realizada en interés público (artículos 6.1.e) y 9.2.g) e i) del RGPD y 8.2 y 9.2 de la LOPDGDD), en la medida en la que el sistema de información permitirá a las autoridades sanitarias autonómicas la prestación de servicios y el cumplimiento de funciones previstos en diversas normas legales en materia de salud pública que resultan de aplicación en una situación de crisis sanitaria, singularmente la Ley orgánica 3/1986, de 14 de abril, de medidas especiales en materia de salud pública, la Ley 14/1986, de 25 de abril, general de sanidad, la Ley 33/2011, de 4 de octubre, general de salud pública, y la Ley 8/2008, de 10 de julio, de salud de Galicia.

5. En cumplimiento del principio de limitación de la finalidad, los datos personales serán tratados únicamente para las finalidades indicadas en esta orden y para ninguna otra, y no serán utilizados posteriormente de manera incompatible con dichos fines. Los posibles tratamientos que puedan resultar necesarios con fines de archivo en interés público, investigación científica o histórica o estadísticos estarán sujetos a las garantías previstas en el artículo 89 del RGPD y se regirán por la legislación aplicable a cada caso. Asimismo, de acuerdo con el principio de minimización de datos, únicamente serán objeto de tratamiento los datos que sean adecuados, pertinentes y estrictamente necesarios para las distintas funcionalidades del sistema, después de valorar la necesidad de su tratamiento y su pertinencia, además de no existir otra medida menos invasiva que pueda ofrecer los mismos resultados.

6. El cumplimiento del principio de responsabilidad proactiva y de la obligación de implementar la privacidad desde el diseño y por defecto se documentará en una evaluación de impacto en la protección de datos de cuyo resultado, así como de sus posibles actualizaciones, se dará difusión.

Dicha evaluación de impacto será objeto de las actualizaciones necesarias en la medida en que el sistema y la aplicación que da acceso a este puedan evolucionar, incorporando progresivamente nuevos servicios para las personas usuarias a los que inicialmente se pongan a su disposición, siempre dentro de las finalidades y funcionalidades previstas en la presente orden.

7. En el desarrollo y en la operativa del sistema y de la aplicación que da acceso a este se respetarán los principios de confidencialidad, seguridad y exactitud de los datos.

Toda persona con acceso autorizado a los datos personales estará sujeta a la obligación de secreto respecto de estos.

Se pondrá especial énfasis en la protección de los datos de salud dado que su tratamiento puede entrañar mayores riesgos para las personas interesadas.

Siempre que sea posible se restringirá el tratamiento al uso de datos anonimizados y agregados.

Se aplicarán, asimismo, medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo: la seudonimización y el cifrado de datos personales; la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidencia física o técnica y un procedimiento permanente de verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. En concreto, se aplicarán a los tratamientos de datos personales derivados de las distintas funcionalidades del sistema las medidas que correspondan según lo previsto en el Esquema nacional de seguridad, protegiendo así la seguridad de los datos. Dichas medidas se documentarán adecuadamente. Se implementarán además las medidas necesarias para garantizar la exactitud y actualización de los datos personales tratados.

8. Los datos no se conservarán durante más tiempo del necesario para cada una de las funcionalidades del sistema y, una vez finalizada la vigencia del sistema, se procederá de acuerdo con lo especificado en el artículo 13.

9. Se garantizará que los delegados de protección de datos correspondientes al ámbito del sistema de información participen de forma adecuada y en tiempo oportuno en todas las cuestiones relativas a la protección de datos personales que afecten al contenido de la presente orden.

10. A fin de garantizar la confianza en el sistema y en la aplicación que da acceso a este por parte de las personas usuarias se implementarán los necesarios requisitos de transparencia sobre la configuración de privacidad, manteniendo las personas usuarias a su disposición, de forma permanente, fácilmente accesible y en un lenguaje claro y sencillo, la información necesaria sobre el tratamiento de sus datos que se está llevando a cabo y sus principales características. A tal fin se elaborará y se publicará, conforme a lo exigido en la legislación vigente, el correspondiente registro de actividades de tratamiento de los datos personales. Además, el sistema permitirá al usuario el ejercicio de los derechos reconocidos en los artículos 15 a 22 del RGPD, así como la retirada del consentimiento otorgado mediante un procedimiento al menos tan sencillo como el utilizado para darlo.

11. Como medidas específicas aplicables al tratamiento de los datos personales se implementarán, entre otras, las siguientes:

a) Se establecerán las salvaguardas necesarias para prevenir la reversibilidad de la anonimización y evitar la reidentificación de personas.

b) Se desenvolverán los requisitos de accesibilidad para las personas con discapacidad.

c) Se utilizarán técnicas de cifrado avanzadas tanto en el almacenamiento de los datos como en las transmisiones de los mismos.

d) Se implementará un sistema de control de accesos al sistema basado en el principio del mínimo privilegio. A estos efectos, se autorizará el acceso a los datos para los siguientes perfiles: administrador del sistema, gestor del sistema o persona usuaria con las modalidades de identificación establecidos en esta orden.

e) Se celebrarán los contratos o actos jurídicos previstos por el artículo 28 del RGPD respecto a la relación con los encargados y posibles subencargados del tratamiento de los datos, así como compromisos de confidencialidad de las personas con acceso autorizado a los datos. En relación con este último extremo, la presente orden constituye la norma reguladora por la que se atribuyen las competencias propias del encargado del tratamiento a la Amtega a efectos de lo establecido por el artículo 33.5 de la LOPDGDD y según lo exigido por el artículo 28.3 del RGPD.

Artículo 15. Obligaciones del encargado y de los posibles subencargados del tratamiento

1. Conforme a lo previsto en el artículo 33.5 de la LOPDGDD, se atribuye la Amtega mediante la presente orden la condición y las competencias propias de encargado del tratamiento para el desarrollo, mantenimiento, alojamiento y gestión del sistema y de la aplicación a través de la que se dará acceso al mismo.

En virtud de lo anterior, la Amtega dará estricto cumplimiento a las obligaciones que se establecen a continuación:

a) Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, solamente para la finalidad objeto del encargo. En ningún caso podrá utilizar los datos para fines propios.

b) Tratar los datos de acuerdo con las instrucciones del responsable del tratamiento. Para ello se dará traslado, entre otra documentación, de los resultados de la evaluación o evaluaciones de impacto relativas a la protección de datos realizadas, así como de los análisis de riesgos correspondientes y de todas las garantías previstas en la presente orden. Si la Amtega considera que alguna de las instrucciones infringe el RGPD, la LOPDGDD o cualquier otra disposición vigente en materia de protección de datos, informará inmediatamente al responsable.

c) Llevar por escrito un registro de las actividades de tratamiento efectuadas a cargo del responsable que incluya el contenido previsto en el artículo 30 del RGPD.

d) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del responsable del tratamiento, en los supuestos legalmente admisibles. La Amtega podrá comunicar los datos a otros encargados del tratamiento del mismo responsable, de acuerdo con las instrucciones de este último.

e) No divulgar ni comunicar sin la autorización del responsable del tratamiento la información facilitada o recibida como resultado del encargo.

f) Informar al responsable de cualquier cambio previsto en la incorporación o sustitución de los posibles subencargados, dando así al responsable la oportunidad de oponerse a dichos cambios. El responsable del tratamiento podrá expresar su oposición al respecto en el plazo máximo de 7 días hábiles.

g) Mantener el deber de secreto respecto de los datos personales a los que tuviese acceso, incluso después de que finalice el objeto del encargo.

h) Restringir el acceso a la información a sus empleados y subcontratados, salvo en la medida en que razonablemente puedan necesitarla para el cumplimiento de sus tareas directamente relacionadas con la prestación de servicios al responsable y garantizar que las personas autorizadas para tratar datos personales se comprometan, de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes.

i) Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar este tipo de información.

j) Asistir al responsable del tratamiento en la respuesta al ejercicio de los derechos reconocidos por la legislación vigente en materia de protección de datos personales, a través de medidas técnicas y organizativas apropiadas, para que aquel pueda cumplir con su obligación de responder a las solicitudes que tengan por objeto el ejercicio de tales derechos en los plazos legalmente previstos. Para ello la Amtega facilitará al responsable, a requerimiento de este, y a la mayor brevedad posible, cuanta información sea necesaria o relevante a estos efectos. En caso de que las personas afectadas solicitasen el ejercicio de sus derechos ante la Amtega, esta les informará, a través de cualquier medio fehaciente, del procedimiento previsto para ello, dando traslado asimismo del contenido de dicha solicitud al responsable.

k) Notificar al responsable del tratamiento, de forma inmediata e implementando las medidas de seguridad necesarias, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, junto con toda la información relevante para la documentación y comunicación de la incidencia, en su caso, a la Agencia Española de Protección de Datos, conforme a lo previsto en el artículo 33 del RGPD.

l) Dar apoyo al responsable del tratamiento en la realización de las evaluaciones de impacto relativas a la protección de datos y en la realización de las consultas previas a la autoridad de control, cuando proceda.

m) Ayudar al responsable para garantizar el cumplimiento de las obligaciones establecidas en los artículos 32 a 36 del RGPD, según la naturaleza del tratamiento y la información a disposición del encargado.

n) Implantar, en todo caso, las medidas de seguridad necesarias para:

1º. Garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.

2º. Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidencia física o técnica.

3º. Verificar, evaluar y valorar, de forma regular, la eficacia de las medidas técnicas y organizativas implantadas para garantizar la seguridad del tratamiento.

4º. Seudonimizar y cifrar los datos personales, si fuera necesario.

5º. Asimismo, en los casos en los que resulte aplicable, se implantarán, además, las previsiones recogidas en el Real decreto 3/2010, de 8 de enero, por el que se regula el Esquema nacional de seguridad en el ámbito de la Administración electrónica (ENS).

ñ) Poner a disposición del responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones. En particular, se posibilitará la realización de las auditorías o inspección por parte del propio responsable u otro auditor autorizado, así como, en su caso, se facilitarán los certificados de cumplimiento de la normativa expedidos por entidades acreditadas.

o) Designar a un delegado de protección de datos según lo previsto en el artículo 37 del RGPD y en el artículo 34 de la LOPDGDD, y comunicar su identidad y datos de contacto al responsable, sin perjuicio de la comunicación a la Agencia Española de Protección de Datos.

p) Devolver al responsable, tan pronto como finalice el encargo, los datos personales y, en su caso, los soportes donde consten. La devolución supondrá el borrado total de los datos existentes en los equipos informáticos utilizados por el encargado y subencargados. No obstante, de conformidad con la normativa en materia de protección de datos, podrán conservar una copia de los datos estrictamente necesarios, debidamente bloqueados, mientras se puedan derivar responsabilidades de la ejecución del encargo.

2. Según lo previsto en el artículo 14.2, se autoriza a la Amtega a recurrir a otros encargados del tratamiento para el desarrollo de su encargo. A estos efectos, corresponderá a la Amtega formalizar la relación con dichos subencargados, los cuales quedarán sometidos a las mismas obligaciones de protección de datos que las previstas en este artículo para la Amtega, en particular en lo referente a la prestación de garantías suficientes y a la aplicación de medidas técnicas y organizativas apropiadas de manera que el tratamiento sea conforme a la normativa en materia de protección de datos. Si el subencargado incumple sus obligaciones de protección de datos, la Amtega seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del subencargado. En caso de que la relación entre la Amtega y el subencargado se someta a la Ley 9/2017, de 8 de noviembre, de contratos del sector público, por la que se transponen al ordenamiento jurídico español las directivas del Parlamento Europeo y del Consejo 2014/23/UE y 2014/24/UE, de 26 de febrero de 2014, deberá estarse también a lo dispuesto en dicha ley.

Disposición adicional única. Actualizaciones del sistema

El sistema de información Passcovid.gal podrá evolucionar en su funcionamiento o en los servicios incluidos en función de lo previsto en las disposiciones, actos, instrucciones o protocolos que disciplinen las medidas que se adopten por las autoridades competentes en la gestión de la crisis sanitaria causada por el COVID-19, respetando en todo caso las finalidades y funcionalidades previstas en esta orden. En el portal informativo del sistema previsto en el artículo 11 se dará publicidad de las sucesivas versiones de mejora del mismo o nuevos servicios incluidos y que mejoran o completan las funcionalidades del sistema dentro de las finalidades expresamente previstas en la presente orden.

Disposición final única. Entrada en vigor

Esta orden entrará en vigor al día siguiente de su publicación en el Diario Oficial de Galicia.

Santiago de Compostela, 18 de agosto de 2020

Jesús Vázquez Almuíña
Conselleiro de Sanidad