Crisis sanitaria GALICIA
ORDE do 18 de agosto de 2020 pola que se regula o sistema de información Passcovid.gal como medida complementaria na xestión da crise sanitaria ocasionada polo COVID-19.
I
O 11 de marzo de 2020, a Organización Mundial da Saúde elevou a situación de emerxencia de saúde pública xerada pola expansión do coronavirus COVID-19 a nivel de pandemia internacional. Esta expansión está a xerar unha crise sen precedentes na saúde pública, que afecta todos os sectores e individuos. As distintas administracións, organismos e institucións, nacionais e internacionais, tiveron que adoptar medidas drásticas e urxentes para a prevención e loita contra a pandemia.
Neste sentido, o 13 de marzo de 2020 o Consello da Xunta de Galicia aprobou o Acordo polo que se declarou a situación de emerxencia sanitaria no territorio da Comunidade Autónoma de Galicia e se activou o Plan territorial de emerxencias de Galicia (Platerga) no seu nivel IG (emerxencia de interese galego), como consecuencia da evolución da pandemia do coronavirus COVID-19.
O 14 de marzo publicouse o Real decreto 463/2020, do 14 de marzo, polo que se declarou o estado de alarma para a xestión da situación de crise sanitaria ocasionada polo COVID-19, dentro das medidas previstas para facer fronte á situación ocasionada pola extensión da enfermidade.
A declaración afectou todo o territorio nacional e a súa duración inicial foi de quince días naturais, ben que o estado de alarma foi obxecto de sucesivas prórrogas e supuxo unha situación excepcional de limitación efectiva da liberdade de circulación das persoas e de actividades, con determinadas excepcións, como quedou recollido no mencionado Real decreto 463/2020, do 14 de marzo, o que tivo un enorme impacto na actividade económica e social e, en termos xerais, en todos os aspectos da vida cotiá da cidadanía galega ou residente en Galicia.
Logo do período inicial de quince días naturais e do correspondente á primeira e á segunda prórrogas do estado de alarma, iniciouse durante a terceira un proceso de redución progresiva das medidas extraordinarias de restrición da mobilidade, do contacto social e do exercicio de actividades, establecidas na versión inicial do Real decreto 463/2020, do 14 de marzo, en especial con motivo da aprobación polo Consello de Ministros, na súa reunión do 28 de abril, do Plan para a transición cara a unha nova normalidade.
No dito plan recolleuse un proceso gradual de volta á normalidade dividido en catro fases: unha fase cero ou preliminar e tres fases de desescalada, diferenciadas en función das actividades permitidas en cada unha delas, polas que poderían transitar os diferentes territorios en función de diversos criterios e indicadores, ata chegar á denominada «nova normalidade».
No caso da Comunidade Autónoma de Galicia, en aplicación do artigo 6 do Real decreto 555/2020, do 5 de xuño, o Consello da Xunta de Galicia, por Acordo do 12 de xuño de 2020, apreciou, como autoridade sanitaria, que a Comunidade Autónoma de Galicia, como unidade territorial, estaba en condicións de superar a fase III e, polo tanto, en condicións de entrar na «nova normalidade». E polo Decreto da Presidencia da Xunta de Galicia 90/2020, do 13 de xuño, declarouse a superación da fase III e, polo tanto, a entrada na nova normalidade, con efectos desde as 00.00 horas do día 15 de xuño de 2020. Agora ben, a superación da devandita fase III, ben que implicou que quedasen sen efecto as medidas extraordinarias derivadas do estado de alarma, comportou e segue comportando a adopción polas administracións competentes das necesarias medidas que permitan seguir facendo fronte e controlando a pandemia, tendo en conta a subsistencia, aínda que atenuada, dunha situación de crise sanitaria. Neste sentido, no ámbito estatal ditouse o Real decreto lei 21/2020, do 9 de xuño, de medidas urxentes de prevención, contención e coordinación para facer fronte á crise sanitaria ocasionada polo COVID-19, as cales, conforme o disposto no seu artigo 2, son de aplicación en todo o territorio nacional. E, no ámbito autonómico, a resposta á crise sanitaria que aínda subsiste foi fundamentalmente, ademais do mantemento da declaración de situación de emerxencia sanitaria efectuada mediante o Acordo do Consello da Xunta de Galicia do 13 de marzo de 2020, a adopción de medidas de prevención. Así, cabe destacar que por Resolución do 12 de xuño de 2020, da Secretaría Xeral Técnica da Consellería de Sanidade, deuse publicidade ao Acordo do Consello da Xunta de Galicia do 12 de xuño de 2020 sobre medidas de prevención necesarias para facer fronte á crise sanitaria ocasionada polo COVID-19, unha vez superada a fase III do Plan para a transición cara a unha nova normalidade. Conforme o punto sexto do acordo, as medidas previstas nel poderán ser obxecto de modificación ou supresión polo Consello da Xunta de Galicia e, así mesmo, a persoa titular da consellería competente en materia de sanidade, como autoridade sanitaria, poderá adoptar as medidas necesarias para a aplicación do acordo e poderá establecer, de acordo coa normativa aplicable e á vista da evolución da situación sanitaria, todas aquelas medidas adicionais ou complementarias ás previstas no acordo que sexan necesarias.
Neste contexto, na xestión da crise sanitaria e no proceso gradual de volta á normalidade non se debe esquecer o papel que poden desenvolver a tecnoloxía, os datos e o uso estendido dos dispositivos móbiles na poboación para a prevención, detección e seguimento de posibles brotes de contaxio. Neste sentido, a tecnoloxía debe considerarse como un instrumento complementario respecto dos protocolos establecidos para a rastrexabilidade de contactos.
Nesta liña, a Recomendación (UE) 2020/518 da Comisión, do 8 de abril de 2020, relativa a un conxunto de instrumentos comúns da Unión para a utilización da tecnoloxía e os datos co fin de combater e superar a crise do COVID-19, contén unha referencia en particular no que respecta ás aplicacións móbiles e á utilización de datos de mobilidade anonimizados, e recoñece o valioso papel que desempeñarán as tecnoloxías e os datos dixitais na loita contra a crise do COVID- 19, xa que en Europa moitas persoas conéctanse á internet a través de dispositivos móbiles.
Esas tecnoloxías e datos, segundo a Comisión, ofrecen unha ferramenta importante para informar o público e axudar as autoridades públicas pertinentes nos seus esforzos por conter a propagación do virus.
A mesma Comisión europea, na súa Comunicación relativa ás Orientacións sobre as aplicacións móbiles de apoio á loita contra a pandemia do COVID-19 no referente á protección de datos, publicada o 17 de abril de 2020, manifesta ser coñecedora de que as aplicacións para dispositivos móbiles, que adoitan estar instaladas en teléfonos intelixentes, poden facilitar ás autoridades sanitarias públicas o seguimento e a contención da pandemia do COVID-19, e son especialmente pertinentes de cara ao levantamento das medidas de confinamento. Esas aplicacións, indica a Comisión, poden proporcionar orientacións directas á cidadanía e facilitar o labor de rastrexo de contactos de risco.
Pola súa banda, o Comité Europeo de Protección de Datos adoptou o 21 de abril de 2020 as directrices 04/2020 sobre o uso de datos de localización e ferramentas de rastrexo de contactos no contexto da pandemia do COVID-19, en que tamén se recoñece que os datos e a tecnoloxía son importantes ferramentas na loita contra o coronavirus.
Tendo en conta o exposto, procede promover o desenvolvemento e posta en marcha dun sistema de información, que estará dispoñible para as persoas usuarias a través dunha aplicación para dispositivos móbiles, como un máis dos instrumentos que se van utilizar na Comunidade Autónoma galega na xestión da crise sanitaria ocasionada polo COVID-19. Non se trata, polo tanto, dun elemento illado, senón dun complemento a outros xa aplicados dentro da estratexia global da Administración autonómica de loita contra o virus e os seus posibles rebrotes.
Este sistema, que estará dispoñible tanto para persoas residentes en Galicia coma para aquelas que se atopen temporalmente en territorio autonómico, terá como finalidades facilitar información ás persoas usuarias (orientacións, consellos prácticos, recomendacións e recursos de interese, así como información personalizada); servir de apoio aos protocolos de rastrexabilidade e xestión de contactos dos casos COVID-19 identificados, así como ofrecer a través da aplicación un soporte dixital para facilitar a posta en funcionamento das medidas que adopten as autoridades competentes na xestión da crise sanitaria. En definitiva, a finalidade última da aplicación é a contribución á mellora da saúde colectiva e individual.
Para o cumprimento das finalidades previstas, a aplicación que dea soporte ao sistema de información basearase en información individual dispoñible, especialmente no Sistema público de saúde de Galicia, pero tamén, cando así o exixa o cumprimento das finalidades do sistema, noutros sistemas de información do sector público autonómico; na dispoñibilidade de sistemas de acreditación dixital da cidadanía como é o sistema de claves concertadas da Xunta de Galicia (Chave365); no estado de desenvolvemento tecnolóxico e penetración na sociedade do uso de dispositivos móbiles, de xeito que poida servir de instrumento para minimizar a cadea de transmisión do contaxio mediante a detección temperá de contactos epidemioloxicamente relevantes; na aplicación dos protocolos e das disposicións que as autoridades competentes establezan para a xestión da crise sanitaria, e no carácter voluntario da instalación e do uso da aplicación, así como no cumprimento dos principios e obrigas establecidos pola normativa vixente en materia de protección de datos persoais. En relación con esta cuestión procede salientar que tanto a instalación da aplicación como a habilitación de cada unha das súas funcionalidades é voluntaria, e a persoa interesada deberá prestar o seu consentimento, será tamén voluntario o uso da aplicación. Agora ben, este carácter voluntario non significa que o tratamento dos datos persoais se basee necesaria e exclusivamente no consentimento. Na medida en que o sistema de información permitirá ás autoridades sanitarias autonómicas a prestación de servizos e o cumprimento de funcións previstos en diversas normas legais en materia de saúde pública que resultan de aplicación nunha situación de crise sanitaria como a que se está vivindo, a base lexítima principal do tratamento de datos é a relativa ao cumprimento dunha misión realizada en interese público (artigos 6.1.e) e 9.2.g) e i) do Regulamento (UE) 2016/679 do Parlamento Europeo e do Consello, do 27 de abril de 2016, relativo á protección das persoas físicas no que respecta ao tratamento de datos persoais e á libre circulación destes datos e polo que se derroga a Directiva 95/46/CE (Regulamento xeral de protección de datos), e artigos 8.2 e 9.2 da Lei orgánica 3/2018, do 5 de decembro, de protección de datos persoais e garantía dos dereitos dixitais).
Así, a Lei orgánica 3/1986, do 14 de abril, de medidas especiais en materia de saúde pública, establece no seu artigo 3 que, co fin de controlar as enfermidades transmisibles, a autoridade sanitaria, ademais de realizar as accións preventivas xerais, poderá adoptar as medidas oportunas para o control dos enfermos, das persoas que estean ou estivesen en contacto con eles e da contorna inmediata, así como as que se consideren necesarias en caso de risco de carácter transmisible.
Por outra banda, o artigo 26 da Lei 14/1986, do 25 de abril, xeral de sanidade, prevé a posibilidade de que as autoridades sanitarias poidan adoptar as medidas preventivas pertinentes cando exista ou se sospeite razoablemente a existencia dun risco inminente e extraordinario para a saúde, así como cantas outras se consideren sanitariamente xustificadas. A duración das ditas medidas fixarase para cada caso, sen prexuízo das prórrogas sucesivas acordadas por resolucións motivadas, e non excederá o que exixa a situación de risco inminente e extraordinario que as xustificou.
Así mesmo, o artigo 27.2 da Lei 33/2011, do 4 de outubro, xeral de saúde pública, establece a obriga, para as administracións públicas, no ámbito das súas competencias, de protexer a saúde da poboación mediante actividades e servizos que actúen sobre os riscos existentes.
Na mesma liña, o artigo 34 da Lei 8/2008, do 10 de xullo, de saúde de Galicia, inclúe, entre as intervencións públicas que poderán exercer as autoridades sanitarias competentes sobre as actividades públicas e privadas que, directa ou indirectamente, poidan ter consecuencias para a saúde, adoptar as medidas preventivas que se consideren pertinentes en caso de que exista ou se sospeite razoablemente a existencia dun risco inminente e extraordinario para a saúde. E o seu artigo 38 prevé que as autoridades sanitarias poderán levar a cabo intervencións públicas nos supostos de riscos para a saúde de terceiras persoas, nos mesmos termos previstos nos artigos 2 e 3 da Lei orgánica 3/1986, do 14 de abril.
Así mesmo, o artigo 49 da mesma lei, na súa letra d), establece que a prestación de saúde pública polo Sistema público de saúde de Galicia comprende, entre outros aspectos, a prevención e o control das enfermidades transmisibles. E o seu artigo 52.4, pola súa banda, recolle a previsión de que ante situacións de crises, alerta ou alarma de saúde pública, o Sistema público de saúde de Galicia responderá con mecanismos e accións precisas que garantan a protección da saúde da poboación.
Finalmente, no que atinxe ao uso da información sanitaria con fins epidemiolóxicos ou de saúde pública, os artigos 16 da Lei 41/2002, do 14 de novembro, básica reguladora da autonomía do paciente e de dereitos e obrigacións en materia de información e documentación clínica, e 19 da Lei 3/2001, do 28 de maio, reguladora do consentimento informado e da historia clínica dos pacientes, recollen o acceso á historia clínica con fins epidemiolóxicos e de protección da saúde pública.
Especial atención merece tamén a configuración como responsable do tratamento da consellería competente en materia de sanidade, tendo en conta a condición de autoridade sanitaria da persoa titular da dita consellería, conforme o artigo 33 da Lei 8/2008, do 10 de xullo, e como encargado do tratamento a Axencia para a Modernización Tecnolóxica de Galicia (Amtega), adscrita á Presidencia da Xunta de Galicia, atendidos os seus obxectivos básicos de definición, desenvolvemento e execución dos instrumentos da política da Xunta de Galicia no eido das tecnoloxías da información, a comunicación, a innovación e o desenvolvemento tecnolóxico.
En consecuencia, de conformidade co contexto, coas previsións normativas e coas recomendacións institucionais antes indicadas, e dentro da estratexia xeral autonómica de loita contra a crise sanitaria derivada da expansión do coronavirus SARS-CoV-2, con esta orde amplíanse as medidas para a xestión da crise ocasionada polo COVID-19, aproveitando os medios tecnolóxicos e sistemas de información dispoñibles no sector público autonómico, coa finalidade última de contribuír á mellora da saúde colectiva e da saúde individual tanto das persoas residentes en Galicia como daquelas que se atopen temporalmente en territorio autonómico.
II
A presente orde consta de 15 artigos, agrupados en 6 capítulos, ademais dunha disposición adicional e dunha disposición derradeira.
No capítulo I, relativo ás disposicións xerais, regúlanse o obxecto da orde así como o carácter e o alcance do sistema de información Passcovid.gal, as súas finalidades e funcionalidades e o réxime de titularidade e de responsabilidade. O capítulo II regula as potenciais persoas usuarias do sistema, o carácter voluntario da instalación e do uso da aplicación que dá acceso ao sistema, así como as modalidades de identificación previstas. O capítulo III, sobre os aspectos técnicos e operativos, recolle os aspectos relativos aos criterios de aplicación, así como á avaliación do sistema. No capítulo IV, relativo á publicidade, transparencia e colaboración, recóllense os criterios de publicidade e transparencia do sistema así como a posible colaboración con outras administracións públicas ou institucións coa finalidade de ampliar o ámbito de implantación funcional do sistema permitindo acadar unha maior extensión deste. O capítulo V establece os criterios de vixencia do sistema de información e, por último, o capítulo VI, sobre a protección de datos persoais, recolle os aspectos xerais respecto da protección de datos persoais e as obrigas do encargado e dos posibles subencargados do tratamento.
A disposición adicional refírese ás actualizacións do sistema e a disposición derradeira establece a inmediata entrada en vigor da disposición tendo en conta a necesidade de que o sistema poida servir, sen demora, de medida complementaria na xestión da crise sanitaria causada polo COVID-19.
O procedemento de elaboración da orde axustouse ao disposto na Lei 16/2010, do 17 de decembro, de organización e funcionamento da Administración xeral e do sector público autonómico de Galicia, e cumpríronse, así mesmo, os trámites previstos na normativa en materia de transparencia. Fíxose ademais partícipe do alcance deste sistema á Axencia Española de Protección de Datos.
Por último, a norma adecúase aos principios de boa regulación do artigo 129 da Lei 39/2015, do 1 de outubro, do procedemento administrativo común das administracións públicas. Así, en aplicación dos principios de necesidade, eficacia, proporcionalidade e eficiencia, a norma persegue un interese xeral que é regular un sistema de información que sirva como medida complementaria na xestión da crise ocasionada polo COVID-19, recollendo as normas necesarias para tal fin e sen impoñer obrigas nin cargas innecesarias. En virtude do principio de seguridade xurídica a norma garda coherencia co resto do ordenamento xurídico e en cumprimento do principio de transparencia identifícanse con claridade nela os obxectivos perseguidos e, ademais, durante a súa tramitación promoveuse a participación da cidadanía a través da publicidade no Portal de transparencia e goberno aberto.
Na súa virtude, no exercicio da competencia prevista no artigo 34.6 da Lei 1/1983, do 22 de febreiro, de normas reguladoras da Xunta e da súa Presidencia,
DISPOÑO:
CAPÍTULO I
Disposicións xerais
Artigo 1. Obxecto
O obxecto desta orde é a regulación do sistema de información Passcovid.gal como medida complementaria na xestión da crise sanitaria ocasionada polo COVID-19.
Artigo 2. Carácter e alcance do sistema de información Passcovid.gal
1. Passcovid.gal é un sistema de información que poderá ter as finalidades e funcionalidades que se prevén nesta orde. Este sistema de información estará dispoñible para as persoas usuarias a través dunha aplicación para dispositivos móbiles.
No caso de que a dita aplicación sexa utilizada para prestar á persoa usuaria outras finalidades e funcionalidades distintas das propias do sistema de información Passcovid.gal, con respecto ao réxime xurídico e ao réxime de responsabilidades, observarase o previsto nas disposicións en cada caso aplicables a esas distintas finalidades e funcionalidades.
2. O sistema de información Passcovid.gal non terá en ningún caso a consideración de sistema de diagnóstico médico, de atención sanitaria ou de prescrición farmacolóxica. En consecuencia, non terá por finalidade nin estará destinado a ser utilizado con fins médicos específicos de diagnóstico, prevención, seguimento, predición, prognóstico, tratamento ou alivio dunha enfermidade.
Artigo 3. Finalidades do sistema
O sistema de información Passcovid.gal poderá ter as seguintes finalidades:
a) Establecer unha canle de comunicación directa entre o Sistema público de saúde de Galicia e as persoas usuarias para facilitar consellos prácticos e orientacións de carácter xeral relativas á crise sanitaria ocasionada polo COVID-19, así como recomendacións das accións e medidas a seguir para afrontar a situación.
b) Ofrecer información sobre recursos de interese para o seguimento das pautas de saúde, de confinamento ou de mobilidade.
c) Facilitar información personalizada sobre o risco transmisor que cada persoa usuaria supón para os demais con base na información que dela dispón o Sistema público de saúde de Galicia.
d) Permitir a identificación e a alerta de contactos relevantes epidemioloxicamente con persoas usuarias declaradas como caso COVID-19.
e) Ofrecer, a través da aplicación, un soporte dixital para recoller a información e documentación de utilidade para facilitar a aplicación das medidas que adopten as autoridades competentes na xestión da crise sanitaria causada polo COVID-19, na medida e nos termos que o permitan as disposicións, os actos, as instrucións e os protocolos que disciplinen tales medidas.
f) Obter información relevante polo seu valor científico ou epidemiolóxico coas debidas garantías de anonimización.
Artigo 4. Funcionalidades do sistema de información
Para acadar as finalidades previstas no artigo anterior, o sistema de información Passcovid.gal poderá ter as seguintes funcionalidades:
a) Recepción de información ou alertas relativas a consellos prácticos e orientacións de carácter xeral relativas ao COVID-19, así como recomendacións respecto a accións e medidas adecuadas que se van seguir.
b) Xeolocalización de recursos de interese que poidan servir de apoio á cidadanía para o seguimento das pautas de saúde, de confinamento ou de mobilidade.
c) Determinación da información individual da persoa usuaria relativa á situación de saúde en referencia ao COVID-19, en termos de nivel de risco transmisor. A información determinarase con base no coñecemento que da persoa usuaria teña o Sistema público de saúde de Galicia.
d) Identificación por parte da persoa usuaria de contactos recentes.
e) Recepción de comunicacións por estar en situación de contacto estreito por casos declarados COVID-19.
f) Proporcionar á persoa usuaria o soporte dixital de información ou documentación individual relativa ás súas circunstancias laborais ou de localización xeográfica co fin de facilitar a aplicación das medidas que adopten as autoridades competentes na xestión da crise sanitaria causada polo COVID-19, na medida e nos termos que o permitan as disposicións, os actos, as instrucións e os protocolos que disciplinen tales medidas.
Artigo 5. Titularidade e responsabilidade do sistema de información
1. A titularidade do servizo prestado a través do sistema de información Passcovid.gal corresponde á consellería competente en materia de sanidade.
2. A Axencia para a Modernización Tecnolóxica de Galicia (en diante, Amtega), como entidade instrumental do sector público autonómico con competencias en materia de desenvolvemento dixital, será a responsable da xestión tecnolóxica e de continuidade, accesibilidade e seguridade do sistema de información Passcovid.gal.
CAPÍTULO II
Persoas usuarias e carácter voluntario
Artigo 6. Persoas usuarias do sistema de información Passcovid.gal
1. O sistema de información Passcovid.gal poderá ser utilizado por calquera persoa, maior de idade, que sexa residente ou se atope temporalmente na Comunidade Autónoma galega.
2. O acceso e o uso da aplicación que dá acceso ao sistema de información por menores de idade quedarán limitados a aquelas funcionalidades que non requiran tratamento dos seus datos persoais. Para a habilitación e o uso por menores de idade de funcionalidades que requiran ou comporten o tratamento dos seus datos persoais será necesaria a prestación de consentimento nos termos previstos no artigo 7 da Lei orgánica 3/2018, do 5 de decembro, de protección de datos persoais e garantía dos dereitos dixitais (en diante, LOPDGDD).
Artigo 7. Instalación e uso voluntarios da aplicación
1. A instalación da aplicación para dispositivos móbiles que facilita o acceso ao sistema de información Passcovid.gal, e a habilitación de cada unha das funcionalidades do sistema basearanse na voluntariedade da persoa usuaria.
Para tal efecto, a persoa usuaria deberá consentir expresamente a habilitación de cada unha das funcionalidades por separado, determinando as que quere utilizar en función das que ten dispoñibles, e poderá decidir en todo momento deshabilitar algunha ou algunhas das funcionalidades así como desinstalar a aplicación.
2. A prestación do consentimento, tanto para a instalación da aplicación coma para a habilitación das diferentes funcionalidades, basearase nunha declaración ou clara acción afirmativa prestada de forma explícita pola persoa usuaria para cada unha das finalidades especificadas. Con carácter previo á prestación do consentimento, garantirase a subministración de información nos termos e co alcance exixidos pola normativa de protección de datos.
3. Dado o seu carácter voluntario, non derivará ningún tipo de consecuencia negativa para as persoas que decidan non descargar ou non usar a aplicación, como tampouco para as persoas usuarias que decidan desinstalala ou retirar o consentimento previamente outorgado para a habilitación dalgunha ou dalgunhas das funcionalidades. Con todo, a retirada do consentimento non afectará a licitude do tratamento previo a ela.
Artigo 8. Identificación das persoas usuarias
1. Para o rexistro na aplicación que facilita o acceso ao sistema de información
Passcovid.gal e os posteriores accesos a ela existirán dúas modalidades de identificación:
a) Identificación verificada. Neste caso, a identificación para o rexistro na aplicación e os posteriores accesos realizarase mediante o sistema de claves concertadas da Xunta de Galicia, Chave365, polo que a persoa usuaria deberá estar previamente rexistrada no sistema Chave365 regulado na Orde do 6 de febreiro de 2014 pola que se aproba o protocolo de identificación e sinatura electrónicas da Administración xeral e do sector público autonómico de Galicia.
Ademais do código de usuario e do código de acceso do sistema Chave365, co fin de garantir o dobre factor de autenticación exixido polo Esquema Nacional de Seguridade (ENS), realizarase un envío automático ao terminal da persoa usuaria dunha mensaxe de texto cun código para introducir no momento da súa autenticación. O devandito código será dun só uso e terá unha duración máxima de 24 horas. A persoa disporá dun número máximo de intentos de acceso á aplicación antes do bloqueo automático do seu usuario.
b) Identificación non verificada. Neste caso, a identificación para o rexistro na aplicación e os posteriores accesos realizarase mediante un identificador na propia aplicación, sen verificación da identidade da persoa usuaria.
c) Sen identificación previa da persoa usuaria, isto é, de forma anónima.
2. As funcionalidades do sistema dispoñibles para cada persoa usuaria a través da aplicación dependerán da modalidade de identificación elixida por ela.
3. Calquera funcionalidade que implique o acceso a información de carácter persoal recollida nos sistemas de información do sector público autonómico requirirá necesariamente o acceso mediante a modalidade de identificación verificada, que permite a identificación segura mediante dobre factor de autenticación. O acceso ao sistema de información Passcovid.gal, non habilita en ningún caso a persoa usuaria para o acceso á carpeta persoal de saúde nin á historia clínica electrónica.
4. Tal e como se indica no artigo 7, a persoa usuaria rexistrada deberá expresamente consentir a habilitación, por separado, de cada unha das funcionalidades dispoñibles na aplicación, determinando as que quere utilizar en función das que ten dispoñibles. Ademais, sen prexuízo daqueles outros aspectos a que deba estenderse o deber de información previo á prestación do consentimento, a persoa usuaria, antes de prestar o seu consentimento para o acceso e tratamento de datos procedentes de sistemas de información, será informada de maneira completa dos concretos sistemas de información de que se trate e dos datos existentes neles cuxo acceso e tratamento consente.
CAPÍTULO III
Aspectos técnicos e operativos
Artigo 9. Determinación de criterios sobre aspectos relacionados coa saúde pública
1. A consellería competente en materia de sanidade establecerá os criterios que deberán adoptarse para o funcionamento do sistema de información Passcovid.gal en todos os aspectos relativos á materia de saúde pública.
2. Entre tales aspectos, e sobre a base dos protocolos e das disposicións vixentes en cada caso e momento, a consellería competente en materia de sanidade establecerá, para os efectos deste sistema, os criterios de determinación dos conceptos de caso COVID-19 e de contacto estreito, así como dos niveis de risco transmisor do virus, ou a determinación do que se considera contacto estreito.
Artigo 10. Avaliación do sistema
1. As autoridades competentes na xestión da crise sanitaria determinarán os indicadores que permitan o seguimento do impacto do uso do sistema, coa finalidade de avaliar a súa eficacia e utilidade práctica.
2. Igualmente, determinarán a información que deba conservarse conforme o disposto na normativa sanitaria aplicable, así como aquela que tamén proceda conservar, coas debidas garantías de anonimización, polo seu valor científico ou epidemiolóxico.
CAPÍTULO IV
PUBLICIDADE, TRANSPARENCIA E COLABORACIÓN
Artigo 11. Publicidade e transparencia
1. Co fin de garantir a confianza no sistema e na aplicación que lle dá soporte por parte das persoas usuarias darase publicidade ás características de funcionamento do sistema así como a todos aqueles aspectos que permitan ter un coñecemento adecuado das súas finalidades, funcionalidades e dos protocolos conforme os cales funcionará. A dita publicidade realizarase a través do portal informativo https://passcovid.xunta.gal
2. En concreto, o portal https://passcovid.xunta.gal facilitará, como mínimo, a seguinte información:
a) O alcance e as finalidades e funcionalidades do sistema.
b) Os criterios de determinación dos conceptos utilizados no sistema, entre eles, os de caso COVID-19 e contacto estreito, e os criterios de determinación dos niveis de risco transmisor.
c) O funcionamento detallado das funcionalidades do sistema, incluíndo as fontes de información utilizadas.
d) Información sobre as novidades que se incorporen progresivamente no sistema.
e) A información relativa aos dereitos á privacidade e á protección de datos persoais. En concreto publicarase, conforme o exixido na lexislación vixente, o correspondente rexistro de actividades de tratamento dos datos persoais e facilitarase información que permitirá á persoa usuaria o exercicio dos dereitos recoñecidos nos artigos 15 a 22 do Regulamento (UE) 2016/679 do Parlamento Europeo e do Consello, do 27 de abril de 2016, relativo á protección das persoas físicas no que respecta ao tratamento de datos persoais e á libre circulación destes datos e polo que se derroga a Directiva 95/46/CE, Regulamento xeral de protección de datos (en diante, RXPD) así como a retirada do consentimento outorgado.
f) Calquera outra información que poida ser de interese para o coñecemento do sistema.
3. Dado que a eficacia do sistema dependerá en gran medida da porcentaxe de poboación que descargue a aplicación que dá acceso ao dito sistema, promoverase a instalación e o uso da dita aplicación a través de campañas de sensibilización e difusión.
Artigo 12. Mecanismos de colaboración con outras administracións e institucións
1. Poderán establecerse convenios ou acordos de colaboración con outras administracións públicas ou institucións, públicas ou privadas, coa finalidade de ampliar o ámbito de implantación funcional do sistema permitindo acadar unha maior extensión deste, e sempre dentro do ámbito competencial autonómico.
2. Estes convenios ou acordos de colaboración deberán concretar, como mínimo e sen prexuízo dos demais aspectos exixidos pola normativa aplicable, a súa finalidade, as funcionalidades do sistema a que se refiren e as posibles comunicacións de datos, así como os aspectos relativos ao cumprimento da normativa vixente en materia de protección de datos. En todo caso, as comunicacións de datos relativos á persoa usuaria requirirá do consentimento inequívoco e explícito desta.
CAPÍTULO V
Vixencia do sistema
Artigo 13. Vixencia do sistema de información Passcovid.gal
1. O sistema de información Passcovid.gal estará vinculado ás disposicións e aos protocolos de xestión da crise sanitaria derivada do coronavirus COVID-19 polo que a súa vixencia rematará no momento da declaración, polo goberno estatal en aplicación do disposto no artigo 2.3 do Real decreto lei 21/2020, do 9 de xuño, de medidas urxentes de prevención, contención e coordinación para facer fronte á crise sanitaria ocasionada polo COVID-19, da finalización da situación de crise sanitaria ocasionada polo COVID-19 ou, de ser posterior, no momento da declaración, polo goberno autonómico, da finalización da situación de emerxencia sanitaria declarada polo Acordo do Consello da Xunta de Galicia do 13 de marzo de 2020, polo que se declara a situación de emerxencia sanitaria no territorio da Comunidade Autónoma de Galicia e se activa o Plan territorial de emerxencias de Galicia (Platerga) no seu nivel IG (emerxencia de interese galego), como consecuencia da evolución da epidemia do coronavirus COVID-19.
2. En prol da necesaria transparencia, mediante resolución da persoa titular da consellería competente en materia de sanidade publicada no Diario Oficial de Galicia, farase público o momento do fin da vixencia do sistema conforme o disposto no número anterior.
3. A finalización da vixencia do sistema implicará a inmediata desactivación da aplicación que dá acceso ao dito sistema nos dispositivos móbiles e a supresión dos datos persoais tratados para os fins do sistema.
4. O disposto no número anterior enténdese sen prexuízo dos datos que deban conservarse en cumprimento da normativa sanitaria aplicable, así como da posible conservación daquela información que sexa relevante polo seu valor científico ou epidemiolóxico ao servizo do interese público durante períodos máis longos, sempre que neste último caso se conserve nun formato anonimizado e coas garantías necesarias para imposibilitar a reidentificación das persoas afectadas.
CAPÍTULO VI
Protección de datos persoais
Artigo 14. Aspectos xerais respecto da protección de datos persoais
1. Tanto no desenvolvemento coma na posta en marcha e funcionamento do sistema e da aplicación que dá acceso a este, e posteriormente na súa desactivación, estableceranse as garantías necesarias para as persoas usuarias e demais persoas afectadas respecto ao tratamento dos seus datos persoais, segundo o disposto na normativa vixente en materia de protección de datos e confidencialidade das comunicacións, en especial a Directiva 2002/58/CE do Parlamento Europeo e do Consello, do 12 de xullo de 2002, relativa ao tratamento dos datos persoais e á protección da intimidade no sector das comunicacións electrónicas (Directiva sobre a privacidade e as comunicacións electrónicas), así como as súas normas de transposición; o RXPD, e a LOPDGDD.
Estas garantías respectarán os principios recollidos na dita normativa. En particular, a recollida dos datos persoais rexerase polos principios xerais de efectividade, necesidade e proporcionalidade, respectándose en todo caso o principio de minimización dos datos.
2. O responsable do tratamento será a consellería con competencias en materia de sanidade. A Amtega terá a consideración de encargada do tratamento para o desenvolvemento, mantemento, aloxamento e xestión do sistema e da aplicación a través da cal se lle dará acceso a el ás persoas usuarias. Autorízase a Amtega, pola súa vez, para recorrer a outros encargados do tratamento para o desenvolvemento do seu encargo.
Neste contexto, tomaranse medidas para garantir que calquera persoa que actúe baixo a autoridade do responsable ou do encargado e teña acceso a datos persoais só poida tratar os devanditos datos seguindo instrucións do responsable, salvo que estea obrigada a iso en virtude do dereito da Unión ou dos Estados membros. Entre outras medidas, solicitaranse os compromisos de confidencialidade persoais necesarios nos cales se fará mención expresa ao deber de segredo profesional conforme o exixido no RXPD.
3. A habilitación da funcionalidade de determinación do nivel de risco transmisor fronte ao virus, así como a de declaración de contactos recentes comportará o tratamento de categorías especiais de datos como os relativos á saúde. Tamén poderán tratarse datos identificativos, datos relativos ás características persoais e datos de detalle do emprego así como aqueloutros necesarios para o cumprimento das finalidades do sistema.
4. Como se indica no artigo 7, tanto a instalación da aplicación que dá acceso ao sistema como a activación de cada unha das funcionalidades teñen carácter voluntario, e a persoa interesada deberá prestar o seu consentimento; será tamén voluntario o uso da aplicación. Agora ben, este carácter voluntario non significa que o tratamento dos datos persoais se basee necesaria e exclusivamente no consentimento, senón que a base lexítima principal do tratamento de datos é a relativa ao cumprimento dunha misión realizada en interese público (artigos 6.1.e) e 9.2.g) e i) do RXPD e 8.2 e 9.2 da LOPDGDD), na medida en que o sistema de información permitirá ás autoridades sanitarias autonómicas a prestación de servizos e o cumprimento de funcións previstos en diversas normas legais en materia de saúde pública que resultan de aplicación nunha situación de crise sanitaria, singularmente a Lei orgánica 3/1986, do 14 de abril, de medidas especiais en materia de saúde pública; a Lei 14/1986, do 25 de abril, xeral de sanidade; a Lei 33/2011, do 4 de outubro, xeral de saúde pública, e a Lei 8/2008, do 10 de xullo, de saúde de Galicia.
5. En cumprimento do principio de limitación da finalidade, os datos persoais serán tratados unicamente para as finalidades indicadas nesta orde e para ningunha outra, e non serán utilizados posteriormente de maneira incompatible cos devanditos fins. Os posibles tratamentos que poidan resultar necesarios con fins de arquivamento en interese público, investigación científica ou histórica ou estatísticos estarán suxeitos as garantías previstas no artigo 89 do RXPD e rexeranse pola lexislación aplicable a cada caso . Así mesmo, de acordo co principio de minimización de datos, unicamente serán obxecto de tratamento os datos que sexan adecuados, pertinentes e estritamente necesarios para as distintas funcionalidades do sistema, despois de valorar a necesidade do seu tratamento e a súa pertinencia, ademais de non existir outra medida menos invasiva que poida ofrecer os mesmos resultados.
6. O cumprimento do principio de responsabilidade proactiva e da obrigación de implementar a privacidade desde o deseño e por defecto documentarase nunha avaliación de impacto na protección de datos de cuxo resultado, así como das súas posibles actualizacións, se dará difusión.
A devandita avaliación de impacto será obxecto das actualizacións necesarias na medida en que o sistema e a aplicación que dá acceso a este poidan evolucionar, incorporando progresivamente novos servizos para as persoas usuarias aos que inicialmente se poñan á súa disposición, sempre dentro das finalidades e funcionalidades previstas na presente orde.
7. No desenvolvemento e na operativa do sistema e da aplicación que dá acceso a este respectaranse os principios de confidencialidade, seguridade e exactitude dos datos.
Toda persoa con acceso autorizado aos datos persoais estará suxeita ao deber de segredo respecto destes.
Poñerase especial énfase na protección dos datos de saúde dado que o seu tratamento pode entrañar maiores riscos para as persoas interesadas.
Sempre que sexa posible restrinxirase o tratamento ao uso de datos anonimizados e agregados.
Aplicaranse, así mesmo, medidas técnicas e organizativas apropiadas para garantir un nivel de seguridade adecuado ao risco, incluíndo: a pseudonimización e a cifraxe de datos persoais; a capacidade de garantir a confidencialidade, integridade, dispoñibilidade e resiliencia permanentes dos sistemas e servizos de tratamento; a capacidade de restaurar a dispoñibilidade e o acceso aos datos persoais de forma rápida en caso de incidencia física ou técnica e un procedemento permanente de verificación, avaliación e valoración da eficacia das medidas técnicas e organizativas para garantir a seguridade do tratamento. En concreto, aplicaranse aos tratamentos de datos persoais derivados das distintas funcionalidades do sistema as medidas que correspondan segundo o previsto no Esquema Nacional de seguridade protexendo, así, a seguridade dos datos. As ditas medidas documentaranse adecuadamente. Implementaranse, ademais, as medidas necesarias para garantir a exactitude e actualización dos datos persoais tratados.
8. Os datos non se conservarán durante máis tempo do necesario para cada unha das funcionalidades do sistema e, unha vez finalizada a vixencia do sistema, procederase consonte o especificado no artigo 13.
9. Garantirase que os delegados de protección de datos correspondentes ao ámbito do sistema de información participen de forma adecuada e en tempo oportuno en todas as cuestións relativas á protección de datos persoais que afecten o contido da presente orde.
10. Co fin de garantir a confianza no sistema e na aplicación que dá acceso a este por parte das persoas usuarias implementaranse os necesarios requisitos de transparencia sobre a configuración de privacidade, mantendo as persoas usuarias á súa disposición, de forma permanente, facilmente accesible e nunha linguaxe clara e sinxela, a información necesaria sobre o tratamento dos seus datos que se está levando a cabo e as súas principais características. Para tal fin, elaborarase e publicarase, conforme o exixido na lexislación vixente, o correspondente rexistro de actividades de tratamento dos datos persoais. Ademais, o sistema permitirá ao usuario o exercicio dos dereitos recoñecidos nos artigos 15 a 22 do RXPD, así como a retirada do consentimento outorgado mediante un procedemento polo menos tan sinxelo como o utilizado para dalo.
11. Como medidas específicas aplicables ao tratamento dos datos persoais, implementaranse, entre outras, as seguintes:
a) Estableceranse as salvagardas necesarias para previr a reversibilidade da anonimización e evitar a reidentificación de persoas.
b) Desenvolveranse os requisitos de accesibilidade para as persoas con discapacidade.
c) Utilizaranse técnicas de cifraxe avanzadas tanto no almacenamento dos datos como nas transmisións dos mesmos.
d) Implementarase un sistema de control de accesos ao sistema baseado no principio do mínimo privilexio. Para estes efectos, autorizarase o acceso aos datos para os seguintes perfís: administrador do sistema, xestor do sistema ou persoa usuaria coas modalidades de identificación establecidos nesta orde.
e) Subscribiranse os contratos ou actos xurídicos previstos polo artigo 28 do RXPD respecto á relación cos encargados e posibles subencargados do tratamento dos datos, así como compromisos de confidencialidade das persoas con acceso autorizado aos datos. En relación con este último aspecto, a presente orde constitúe a norma reguladora pola que se atribúen as competencias propias do encargado do tratamento á Amtega para os efectos do establecido polo artigo 33.5 da LOPDGDD e segundo o exixido polo artigo 28.3 do RXPD.
Artigo 15. Obrigas do encargado e dos posibles subencargados do tratamento
1. Conforme o previsto no artigo 33.5 da LOPDGDD, atribúese á Amtega mediante a presente orde a condición e as competencias propias de encargado do tratamento para o desenvolvemento, mantemento, aloxamento e xestión do sistema e da aplicación a través da cal se dará acceso a el.
En virtude do anterior, a Amtega dará estrito cumprimento ás obrigas que se establecen a continuación:
a) Utilizar os datos persoais obxecto de tratamento, ou os que recolla para a súa inclusión, só para a finalidade obxecto do encargo. En ningún caso poderá utilizar os datos para fins propios.
b) Tratar os datos de acordo coas instrucións do responsable do tratamento. Para isto, daráselle traslado, entre outra documentación, dos resultados da avaliación ou avaliacións de impacto relativas á protección de datos realizadas, así como das análises de riscos correspondentes e de todas as garantías previstas na presente orde. Se a Amtega considera que algunha das instrucións infrinxe o RXPD, a LOPDGDD ou calquera outra disposición vixente en materia de protección de datos, informará inmediatamente o responsable.
c) Levar por escrito un rexistro das actividades de tratamento efectuadas por conta do responsable, que inclúa o contido previsto no artigo 30 do RXPD.
d) Non comunicar os datos a terceiras persoas, salvo que conte coa autorización expresa do responsable do tratamento, nos supostos legalmente admisibles. A Amtega poderá comunicar os datos a outros encargados do tratamento do mesmo responsable, de acordo coas instrucións deste último.
e) Non divulgar nin comunicar sen a autorización do responsable do tratamento a información facilitada ou recibida como resultado do encargo.
f) Informar o responsable de calquera cambio previsto na incorporación ou substitución dos posibles subencargados, dando así ao responsable a oportunidade de opoñerse aos devanditos cambios. O responsable do tratamento poderá expresar a súa oposición ao respecto no prazo máximo de 7 días hábiles.
g) Manter o deber de segredo respecto dos datos persoais a que tivese acceso, mesmo despois de que finalice o obxecto do encargo.
h) Restrinxir o acceso á información aos seus empregados e subcontratados, salvo na medida en que razoablemente poidan necesitala para o cumprimento das súas tarefas directamente relacionadas coa prestación de servizos ao responsable e garantir que as persoas autorizadas para tratar datos persoais se comprometan, de forma expresa e por escrito, a respectar a confidencialidade e a cumprir as medidas de seguridade correspondentes.
i) Garantir a formación necesaria en materia de protección de datos persoais das persoas autorizadas para tratar este tipo de información.
j) Asistir o responsable do tratamento na resposta ao exercicio dos dereitos recoñecidos pola lexislación vixente en materia de protección de datos persoais, a través de medidas técnicas e organizativas apropiadas, para que aquel poida cumprir coa súa obrigación de responder ás solicitudes que teñan por obxecto o exercicio de tales dereitos nos prazos legalmente previstos. Para iso, a Amtega facilitará ao responsable, por requirimento deste, e coa maior brevidade posible, canta información sexa necesaria ou relevante para estes efectos. No caso de que as persoas afectadas solicitasen o exercicio dos seus dereitos ante a Amtega esta informaraos, a través de calquera medio fidedigno, do procedemento previsto para iso, e dará traslado, asemade, do contido da devandita solicitude ao responsable.
k) Notificar ao responsable do tratamento, de forma inmediata e implementando as medidas de seguridade necesarias, as violacións da seguridade dos datos persoais ao seu cargo de que teña coñecemento, xunto con toda a información relevante para a documentación e comunicación da incidencia, de ser o caso, á Axencia Española de Protección de Datos, conforme o previsto no artigo 33 do RXPD.
l) Dar apoio ao responsable do tratamento na realización das avaliacións de impacto relativas á protección de datos e na realización das consultas previas á autoridade de control, cando cumpra.
m) Axudar o responsable para garantir o cumprimento das obrigacións establecidas nos artigos 32 a 36 do RXPD, segundo a natureza do tratamento e a información ao dispor do encargado.
n) Implantar, en todo caso, as medidas de seguridade necesarias para:
1º. Garantir a confidencialidade, integridade, dispoñibilidade e resiliencia permanentes dos sistemas e servizos de tratamento.
2º. Restaurar a dispoñibilidade e o acceso aos datos persoais de forma rápida, en caso de incidencia física ou técnica.
3º. Verificar, avaliar e valorar, de forma regular, a eficacia das medidas técnicas e organizativas implantadas para garantir a seguridade do tratamento.
4º. Pseudonimizar e cifrar os datos persoais, se for necesario.
5º. Así mesmo, nos casos en que resulte aplicable, implantaranse, ademais, as previsións recollidas no Real decreto 3/2010, do 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade no ámbito da administración electrónica (ENS).
ñ) Poñer á disposición do responsable toda a información necesaria para demostrar o cumprimento das súas obrigacións. En particular, posibilitarase a realización das auditorías ou inspección por parte do propio responsable ou outro auditor autorizado, así como, de ser o caso, facilitaranse os certificados de cumprimento da normativa expedidos por entidades acreditadas.
o) Designar un delegado de protección de datos segundo o previsto no artigo 37 do RXPD e no artigo 34 da LOPDGDD, e comunicar a súa identidade e datos de contacto ao responsable, sen prexuízo da comunicación á Axencia Española de Protección de Datos.
p) Devolver ao responsable, tan pronto como finalice o encargo, os datos persoais e, de ser o caso, os soportes onde consten. A devolución suporá o borrado total dos datos existentes nos equipos informáticos utilizados polo encargado e subencargados. Non obstante, de conformidade coa normativa en materia de protección de datos, poderán conservar unha copia dos datos estritamente necesarios, debidamente bloqueados, mentres se poidan derivar responsabilidades da execución do encargo.
2. Segundo o previsto no artigo 14.2, autorízase a Amtega para recorrer a outros encargados do tratamento para o desenvolvemento do seu encargo. Para estes efectos, corresponderalle á Amtega formalizar a relación cos devanditos subencargados, os cales quedarán sometidos ás mesmas obrigas de protección de datos que as previstas neste artigo para a Amtega, en particular no referente á prestación de garantías suficientes e á aplicación de medidas técnicas e organizativas apropiadas de maneira que o tratamento sexa conforme á normativa en materia de protección de datos. Se o subencargado incumpre as súas obrigas de protección de datos, a Amtega seguirá sendo plenamente responsable ante o responsable do tratamento polo que respecta ao cumprimento das obrigas do subencargado. No caso de que a relación entre a Amtega e o subencargado se someta á Lei 9/2017, do 8 de novembro, de contratos do sector público, pola que se traspoñen ao ordenamento xurídico español as directivas do Parlamento Europeo e do Consello 2014/23/UE e 2014/24/UE, do 26 de febreiro de 2014, deberá observarse tamén o disposto na devandita lei.
Disposición adicional única. Actualizacións do sistema
O sistema de información Passcovid.gal poderá evolucionar no seu funcionamento ou nos servizos incluídos en función do previsto nas disposicións, actos, instrucións ou protocolos que disciplinen as medidas que adopten as autoridades competentes na xestión da crise sanitaria causada polo COVID-19, respectando en todo caso as finalidades e funcionalidades previstas nesta orde. No portal informativo do sistema previsto no artigo 11 darase publicidade ás sucesivas versións de mellora del ou novos servizos incluídos e que melloran ou completan as funcionalidades do sistema dentro das finalidades expresamente previstas na presente orde.
Disposición derradeira única. Entrada en vigor
Esta orde entrará en vigor o día seguinte ao da súa publicación no Diario Oficial de Galicia.
Santiago de Compostela, 18 de agosto de 2020
Jesús Vázquez Almuíña
Conselleiro de Sanidade
Dejar un comentario
¿Quieres unirte a la conversación?Siéntete libre de contribuir!