Boletín Oficial de la Junta de Andalucía - Histórico del BOJA Boletín número 20 de 30/01/2026

El Capítulo VI del título preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, se encuentra dedicado a los convenios. Por su parte, los artículos 9 y 10 de la Ley 9/2007, de 22 de octubre, de la Administración de la Junta de Andalucía, establecen que los convenios de colaboración interadministrativa y convenios y acuerdos de cooperación con otras Comunidades Autónomas se ajustarán a la normativa estatal básica, con las especialidades previstas en el Estatuto de Autonomía para Andalucía, en el caso de estos últimos.

Mediante Acuerdo de 10 de diciembre de 2025, del Consejo de Gobierno, se aprobó la Instrucción sobre la tramitación de convenios y otros instrumentos de colaboración en el ámbito de la Administración de la Junta de Andalucía, sus agencias y consorcios adscritos. Dicha instrucción establece, por un lado, el régimen aplicable a los convenios y, por otro, fija criterios unitarios que aportan certidumbre a la actividad administrativa, favoreciendo su uniformidad y proporcionando garantías a los órganos tramitadores.

El apartado segundo de dicho acuerdo habilita a la persona titular del órgano competente en materia de coordinación y seguimiento del cumplimiento de la normativa aplicable en materia de protección de datos para la aprobación de los anexos correspondientes en materia de protección de datos en el ámbito de aplicación de la mencionada Instrucción.

Por su parte, la Instrucción cuarta, referida al contenido mínimo y a la estructura de los convenios, establece en su apartado 2, letra d), la obligatoriedad de cumplimentar los anexos que procedan en materia de protección de datos, una vez aprobados por el órgano habilitado al efecto.

De acuerdo con el artículo 8.2.u) del Decreto 164/2022, de 9 de agosto, por el que se establece la estructura orgánica de la Consejería de Justicia, Administración Local y Función Pública, corresponde a la Secretaría General para la Administración Pública, entre otras, la coordinación y seguimiento del cumplimiento de la normativa aplicable en materia de protección de datos en el ámbito de las competencias de la Administración de la Junta de Andalucía y de sus entidades instrumentales, sin perjuicio de las competencias que en dicha materia puedan corresponder a otros órganos o entidades.

En virtud de la habilitación contenida en el Acuerdo de 10 de diciembre de 2025, del Consejo de Gobierno, se considera necesaria la aprobación de las instrucciones de carácter general en materia de protección de datos personales, que se incorporan como Anexo I, así como el contenido mínimo de las declaraciones de tratamiento limitado (datos de contacto profesional), los encargos de tratamiento de datos personales, acuerdos de corresponsabilidad y comunicación de datos entre responsables, que constituyen, respectivamente, los Anexos II a V.

Por lo expuesto,

RESUELVE

Primero. Aprobar las instrucciones generales en materia de protección de datos personales, referidas a la tramitación de convenios y otros instrumentos de colaboración en el ámbito de la Administración de la Junta de Andalucía, sus agencias y consorcios adscritas, que acompañan a la presente resolución como Anexo I.

Segundo. Aprobar los anexos que incorporan el contenido mínimo de las declaraciones de tratamiento limitado (datos de contacto profesional), los encargos de tratamiento de datos personales, acuerdos de corresponsabilidad y comunicación de datos entre responsables, que conforman, respectivamente, los Anexos II a V a la presente resolución.

El anexo contenido como Anexo II de esta resolución, deberá cumplimentarse y suscribirse por las partes en todo caso, y adjuntarse al instrumento de colaboración que corresponda.

Los anexos que se incorporan como Anexos III a V de esta resolución, se cumplimentarán y suscribirán por las partes en el supuesto de que concurran los supuestos que en estos se contemplan y se adjuntarán, en su caso, al instrumento de colaboración que corresponda.

Tercero. Disponer la publicación de la presente resolución en el Boletín Oficial de la Junta de Andalucía, a los efectos de su conocimiento y aplicación en el ámbito de la Administración de la Junta de Andalucía, sus agencias y consorcios adscritos.

Cuarto. La presente resolución surtirá efectos al día siguiente de su publicación en el Boletín Oficial de la Junta de Andalucía.

Sevilla, 27 de enero de 2026.- El Secretario General, Arturo Enrique Domínguez Fernández.

ANEXO I

Instrucciones de carácter general en materia de protección de datos personales

Todo instrumento de colaboración deberá incluir una cláusula de protección de datos, así como los anexos específicos que correspondan en función de los roles que asuman las partes firmantes en materia de protección de datos en los que se propone un contenido mínimo estando abierto a la mejor adaptación que pudieran considerar responsables de los tratamientos y los DPD de las partes para adaptarlos a las peculiaridades específicas que pudiera tener el instrumento de colaboración. Para la correcta determinación de dichos roles, se recomienda consultar las ‘Directrices 07/2020 sobre los conceptos de responsable del tratamiento y encargado del tratamiento en el RGPD’, disponibles en la Intranet de Protección de Datos de la Junta de Andalucía:

https://protecciondedatos.junta-andalucia.es/material_responsable/definicion-de-los-conceptos-de-responsable-del-tratamiento-y-de-encargado-del-tratamiento/

1. Marco normativo y principios.

Todo tratamiento de datos personales necesario para la ejecución de los instrumentos de colaboración se realizará de conformidad con el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (RGPD), la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), y demás normativa vigente en materia de protección de datos. Asimismo, las partes velarán por el cumplimiento del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad (ENS), cuando resulte aplicable.

Las partes aplicarán los principios de licitud, lealtad y transparencia, limitación de la finalidad, minimización de datos, exactitud, limitación del plazo de conservación, integridad y confidencialidad, y responsabilidad proactiva.

2. Naturaleza esencial de las obligaciones de protección de datos.

Las obligaciones establecidas en materia de protección de datos tendrán la consideración de compromisos esenciales para la correcta ejecución del instrumento de colaboración. Su incumplimiento podrá dar lugar a su resolución anticipada, conforme al artículo 51.1.c) de la Ley 40/2015, de 1 de octubre.

3. Determinación previa de roles y anexos obligatorios.

Una vez determinados los roles de las partes a tenor de lo indicado anteriormente, será obligatoria la firma del anexo aplicable.

4. Registro de Actividades y protección de datos desde el diseño.

Cada parte mantendrá actualizado su Registro de Actividades de Tratamiento (art. 30 RGPD) e incorporará, cuando proceda, las actividades relacionadas con el instrumento de colaboración. Se aplicará protección de datos desde el diseño y por defecto (art. 25 RGPD), asegurando minimización y pseudonimización cuando sea viable.

5. Régimen aplicable según la relación entre las partes.

Tal como se indica en la cláusula sexta del modelo de convenio adjunto a la Instrucción sobre la tramitación de convenios y otros instrumentos de colaboración en el ámbito de la Administración de la Junta de Andalucía, sus agencias y consorcios adscritos, aprobada por Acuerdo de 10 de diciembre de 2025, del Consejo de Gobierno, las partes deberán determinar sus roles de conformidad con las siguientes opciones:

 Tratamiento limitado de datos de contacto.

La ejecución del instrumento de colaboración no implica encargo de tratamiento ni comunicación de datos personales entre las partes. Podrán intercambiarse únicamente datos de contacto profesional del personal participante, sin que ello constituya encargo de tratamiento. En este caso se cumplimentará el Anexo II “Declaración de tratamiento limitado (datos de contacto profesional)”. Este anexo II se cumplimentará y firmará por las partes en todos los instrumentos de colaboración, ya que siempre habrá un tratamiento de datos limitado a los datos de contacto.

 Una parte actúa como encargada del tratamiento.

[NOMBRE DE LA ENTIDAD] tendrá la condición de encargada del tratamiento conforme al artículo 28 del RGPD y tratará los datos personales responsabilidad de [NOMBRE DEL RESPONSABLE] exclusivamente siguiendo sus instrucciones. El régimen completo se formalizará en el Anexo III «Encargo de tratamiento de datos personales», cuya firma será obligatoria para la formalización del instrumento de colaboración.

 Corresponsabilidad en el tratamiento.

De conformidad con el artículo 26 del RGPD, las entidades [ENTIDAD 1] y [ENTIDAD 2] serán corresponsables del tratamiento al determinar conjuntamente los fines y medios del mismo. Las partes formalizarán el Anexo IV «Acuerdo de Corresponsabilidad», que deberá cumplimentarse y firmarse obligatoriamente.

 Responsables independientes con comunicación de datos.

Las partes actuarán como responsables independientes de los tratamientos que realicen. Podrán comunicarse datos personales cuando sea necesario para la ejecución del instrumento de colaboración, actuando cada parte como responsable o destinatario según corresponda. Los detalles sobre categorías de datos, base jurídica y finalidad se recogerán en el Anexo V «Comunicación de Datos entre Responsables», que deberá cumplimentarse y firmarse obligatoriamente.

ANEXO II

Declaración tratamiento limitado (datos de contacto profesional)

(Este anexo se cumplimentará y firmará por las partes en todos los tipos de instrumentos de colaboración, ya que siempre habrá un tratamiento de datos limitado a los datos de contacto).

Las partes manifiestan que la ejecución del instrumento de colaboración no implica tratamiento de datos personales, salvo el intercambio estrictamente limitado a datos de contacto profesional. Dicho intercambio no tendrá la consideración de encargo de tratamiento, ni generará acceso a otros datos personales bajo responsabilidad de la otra parte.

Los datos personales de los firmantes del instrumento de colaboración, de las personas que participen en su ejecución y, en su caso, de los miembros de la comisión de seguimiento, serán incorporados a las actividades de tratamiento de cada parte para la gestión, control y ejecución del instrumento de colaboración. A tal efecto, será necesario aportar los datos identificativos (nombre, apellidos, etc.), datos de contacto (correo electrónico, teléfono, etc.), cargo, y firma.

1. Identificación de las partes.

Parte A: [Identificación parte A]

Parte B: [Identificación parte B]

[Tantas como partes]

2. Compromisos de las partes.

Las partes se comprometen a:

 No acceder, tratar ni conservar datos personales distintos de los datos de contacto profesional indicados.

 Adoptar medidas organizativas para evitar que, en el marco de las actividades del instrumento de colaboración, se incorporen o utilicen datos personales ajenos a los estrictamente necesarios.

 Garantizar la confidencialidad de los datos de contacto profesional intercambiados.

 En caso de acceso accidental a otros datos personales:

o Mantener el deber de secreto.

o Abstenerse de utilizarlos para cualquier finalidad no autorizada.

o Comunicarlo sin dilación al responsable de dichos datos.

o Proceder a su eliminación segura o devolución, según corresponda.

3. Medidas de seguridad aplicables.

Las partes aplicarán medidas de seguridad adecuadas al nivel de riesgo, incluso tratándose únicamente de datos de contacto profesional.

4. Información y derechos.

Cada parte garantizará el cumplimiento del deber de información respecto de su personal cuyos datos puedan ser comunicados a la otra parte. Los interesados podrán ejercer sus derechos de acceso, rectificación, supresión, oposición, limitación del tratamiento, portabilidad y demás derechos aplicables, a cuyo fin las partes facilitarán canales para el ejercicio de estos derechos.

5. Conservación y supresión.

Los datos de contacto profesional se conservarán durante el plazo de vigencia del instrumento de colaboración y, en su caso, su posterior liquidación, de conformidad con lo dispuesto en el artículo 52 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público; posteriormente, se suprimirán o bloquearán de acuerdo con la normativa aplicable.

6. Firmas.

Parte A: [Firma A] Fecha: [Fecha firma]

Parte B: [Firma B] Fecha: [Fecha firma]

[Tantas como partes]

ANEXO III

Encargo de tratamiento de datos personales (art.28.3 RGPD)

1. Identificación de las partes y objeto del encargo.

En cumplimiento del artículo 28 del Reglamento (UE) 2016/679 (RGPD), la entidad [NOMBRE DE LA ENTIDAD ENCARGADA], en adelante el encargado, tratará por cuenta de [NOMBRE DE LA ENTIDAD RESPONSABLE], en adelante el responsable, los datos personales indicados en el apartado 3 del presente anexo.

2. Instrucciones del responsable.

El encargado se compromete a:

 Tratar los datos personales únicamente siguiendo instrucciones documentadas del responsable, inclusive con respecto a la transferencia de datos personales a un tercer país o a una organización internacional, de conformidad con lo dispuesto en el artículo 28.3.a) del RGPD.

 No utilizar los datos para fines propios ni comunicarlos, cederlos o difundirlos a terceros sin autorización expresa y por escrito del responsable.

 Mantener un registro actualizado de las actividades de tratamiento realizadas por cuenta del responsable, cuando resulte exigible conforme al artículo 30 RGPD.

Violaciones de seguridad.

El encargado deberá comunicar al responsable sin dilación indebida y, en todo caso, en un plazo máximo de 24 horas, cualquier violación de seguridad que afecte a los datos personales tratados por su cuenta, aportando toda la información necesaria para su documentación y notificación al Consejo de Transparencia y Protección de Datos de Andalucía y comunicación a las personas interesadas, conforme a los artículos 33 y 34 RGPD.

La comunicación incluirá, al menos:

▪ Naturaleza de la violación.

▪ Categorías y número aproximado de interesados afectados.

▪ Datos comprometidos.

▪ Consecuencias probables.

▪ Medidas adoptadas o propuestas para remediar la violación.

Si no es posible facilitar toda la información simultáneamente, se proporcionará de forma gradual sin dilación indebida.

Cooperación con el responsable.

El encargado colaborará con el responsable en:

▪ La realización de análisis de riesgos.

▪ Evaluaciones de impacto (EIPD) cuando proceda.

▪ Consultas previas a la autoridad de control.

▪ La atención de requerimientos de autoridades competentes.

Delegado/a de Protección de Datos.

El encargado comunicará al responsable la identidad y datos de contacto de su Delegado/a de Protección de Datos (DPD), cuando su designación sea obligatoria o voluntaria. En el supuesto de que no se hubiera designado esta figura debería nombrarse una persona de contacto a efectos de protección de datos y comunicárselo al responsable.

3. Descripción y finalidad del tratamiento.

El tratamiento se limitará a las operaciones necesarias para el cumplimiento del objeto del instrumento de colaboración, sin que el encargado pueda utilizarlos para finalidades distintas.

Las partes completarán la siguiente tabla:

Tratamiento(s)	Finalidad	Colectivos de interesados	Datos personales	Ubicación y control
Nombre de la actividad	Finalidad concreta para la que se van a tratar los datos	Categorías de interesados (por ejemplo personal, ciudadanía, pacientes, …)	Datos que se van a tratar (por ejemplo DNI, datos identificativos, domicilio, …)	Sistemas, dispositivos de tratamiento, manuales y automatizados y ubicación de los mismos.
Una fila por cada tratamiento.

Operaciones de tratamiento autorizadas (marcar lo que proceda):

☐ Recogida ☐ Registro ☐ Clasificación ☐ Modificación ☐ Conservación

☐ Consulta ☐ Comunicación o cesión de datos ☐ Difusión ☐ Cotejo

☐ Supresión ☐ Copia ☐ Otros (especificar): ___________

4. Medidas de seguridad.

El encargado aplicará las medidas técnicas y organizativas adecuadas para garantizar la confidencialidad, integridad y disponibilidad de los datos, conforme al artículo 32 RGPD y a la normativa nacional aplicable.

Cuando el tratamiento se realice mediante sistemas sujetos al Esquema Nacional de Seguridad (ENS), se aplicarán las medidas del Anexo II del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, correspondientes a la categoría aplicable: [ALTA / MEDIA / BÁSICA] (marcar lo que proceda).

Si no se emplean sistemas sujetos a categorización ENS, se garantizará igualmente un nivel de seguridad adecuado al riesgo.

El responsable trasladará al encargado las medidas de seguridad mínimas exigibles, y el encargado deberá:

▪ Implantarlas y mantenerlas actualizadas.

▪ Analizar los riesgos derivados de su propia infraestructura.

▪ Informar al responsable de cualquier circunstancia que pueda afectar a la seguridad del tratamiento.

5. Subencargados.

El encargado no podrá recurrir a subencargados sin autorización previa, específica o general y por escrito del responsable.

En caso de autorización, el encargado garantizará que el subencargado asume las mismas obligaciones previstas en este anexo. Si ese otro encargado incumple sus obligaciones de protección de datos, el encargado inicial seguirá siendo plenamente responsable ante el responsable del tratamiento por lo que respecta al cumplimiento de las obligaciones del otro encargado.

6. Derechos de las personas.

El encargado asistirá al responsable para permitirle atender los derechos de los interesados (acceso, rectificación, supresión, oposición, limitación, portabilidad y otros aplicables).

Si un interesado ejerce un derecho directamente ante el encargado, éste deberá:

▪ Comunicarlo al responsable de forma inmediata.

▪ Abstenerse de responder por su cuenta salvo instrucción expresa del responsable.

7. Destino de los datos al finalizar el encargo.

Finalizado el encargo, el encargado deberá devolver o destruir a criterio del responsable y suprimirá las copias existentes, a menos que se requiera la conservación de los datos personales en virtud de la normativa aplicable, en cuyo caso serán devueltos al responsable. No obstante, el encargado puede conservar una copia con los datos debidamente bloqueados, mientras puedan derivarse responsabilidades de la ejecución de la prestación.

8. Auditorías y control.

El responsable podrá realizar auditorías, inspecciones o solicitar información para verificar el cumplimiento de las obligaciones del encargado.

El encargado deberá:

▪ Facilitar toda la información necesaria.

▪ Permitirá y contribuirá a la realización de auditorías a intervalos razonables o si existen indicios de incumplimiento.

▪ Subsanar sin demora cualquier incumplimiento detectado.

9. Responsabilidad y confidencialidad.

El encargado garantizará:

▪ La confidencialidad del personal que intervenga en el tratamiento.

▪ Que las personas autorizadas firman un compromiso de confidencialidad, salvo que estén sujetas a una obligación de confidencialidad de naturaleza estatutaria, y que reciben formación adecuada.

▪ Que mantiene un listado actualizado de personas autorizadas, disponible para el responsable.

La obligación de confidencialidad se mantendrá incluso después de la finalización del instrumento de colaboración.

10. Firmas y duración del encargo.

Responsable: [Firma responsable] Fecha: [Fecha de la firma]

Encargado: [Firma encargado] Fecha: [Fecha de la firma]

La duración del encargo coincidirá con el periodo de vigencia del instrumento de colaboración.

ANEXO IV

Acuerdo de Corresponsabilidad

1. Identificación de las partes.

Las entidades [NOMBRE ENTIDAD 1], [NOMBRE ENTIDAD 2], … [rellenar tantos como partes firmantes] firmantes del instrumento de colaboración, actuarán como corresponsables del tratamiento, conforme al artículo 26 del RGPD, al artículo 29 de la LOPDGDD y demás normativa aplicable.

El acceso a datos personales en el marco del instrumento de colaboración se realiza exclusivamente para la adecuada prestación de las actuaciones objeto del instrumento de colaboración y no tendrá la consideración de cesión o comunicación de datos entre las partes.

2. Objeto del acuerdo.

El presente acuerdo tiene por objeto definir de manera transparente las responsabilidades respectivas de las partes en el cumplimiento de la normativa de protección de datos, garantizando la protección de los derechos de las personas cuyos datos sean tratados.

3. Distribución de responsabilidades.

3.1. Confidencialidad.

Las partes se obligan a guardar la máxima reserva y secreto sobre toda información confidencial a la que accedan en virtud del instrumento de colaboración, especialmente los datos personales tratados. Se considerará información confidencial toda aquella a la que se acceda durante la ejecución del instrumento de colaboración, salvo la que deba ser pública conforme a la Ley 19/2013, de 9 de diciembre, de transparencia, acceso a la información pública y buen gobierno.

La obligación de confidencialidad tendrá carácter indefinido, incluso tras la finalización del instrumento de colaboración.

Cada parte garantizará que su personal, colaboradores, voluntarios y cualquier persona bajo su responsabilidad:

• respeta la confidencialidad,

• firma los compromisos necesarios,

• recibe instrucciones adecuadas sobre protección de datos.

Las partes mantendrán a disposición de la otra la documentación acreditativa del cumplimiento de estas obligaciones.

3.2. Información a las personas interesadas.

Las partes acuerdan que cada corresponsable tendrá que facilitar la información prevista en los artículos 13 y 14 del RGPD. Podrá elaborarse un modelo conjunto de información, que se incorporará como anexo si procede.

Se pondrán a disposición del interesado los aspectos esenciales del acuerdo de corresponsabilidad en virtud del artículo 26.2 del RGPD.

3.3. Ejercicio de derechos.

Las solicitudes de ejercicio de derechos podrán dirigirse indistintamente a cualquiera de las partes tal como establece el artículo 26.3 del RGPD. La parte que reciba la solicitud estará obligada a contestar a la persona interesada para lo cual deberá:

• comunicarla inmediatamente a la otra,

• coordinar la respuesta,

• garantizar coherencia y cumplimiento de plazos.

3.4. Medidas de seguridad.

Cada parte aplicará medidas técnicas y organizativas adecuadas en su ámbito de actuación, conforme al artículo 32 del RGPD y, cuando proceda, al Esquema Nacional de Seguridad (ENS).

Cuando el tratamiento se realice mediante sistemas sujetos al ENS, se aplicarán las medidas del Anexo II del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, correspondientes a la categoría aplicable: [ALTA / MEDIA / BÁSICA] (marcar lo que proceda).

Si no se emplean sistemas sujetos a categorización ENS, se garantizará igualmente un nivel de seguridad adecuado al riesgo.

3.5. Violaciones de seguridad.

Las partes se notificarán mutuamente sin dilación indebida y en un plazo máximo de 24 horas cualquier violación de seguridad que afecte a los tratamientos conjuntos, coordinando:

• la evaluación de riesgos,

• la comunicación a la autoridad de control,

• la comunicación a los interesados, cuando proceda.

Las partes acuerdan que la entidad que detecte la violación de seguridad será responsable de las notificaciones derivadas de la misma. En particular le corresponderá realizar la notificación a la autoridad de control competente y, cuando proceda, la comunicación a los interesados, coordinándose con la otra parte para obtener la información necesaria.

3.6. Delegado/a de Protección de Datos.

Cada una de las partes comunicará a la otra la identidad y los datos de contacto de su Delegado/a de Protección de Datos (DPD), en caso de que su designación sea obligatoria o se haya realizado de forma voluntaria.

Los datos de contacto de DPD estarán a disposición de las personas interesadas a través de los canales de información que cada parte determine (por ejemplo, su sede electrónica o página web institucional).

4. Punto de contacto único.

Se designa como punto de contacto para las personas interesadas, en relación con las cuestiones relacionadas con el tratamiento de sus datos personales:

[Datos de contacto del/la DPD de la entidad designada].

5. Transferencias y encargos.

En el caso de transferencias internacionales a un tercer país o a una organización internacional, se actuará de conformidad con lo dispuesto en el Capítulo V del RGPD.

Tampoco se recurrirá a encargados del tratamiento sin un acuerdo previo y formalizado por escrito que cumpla el artículo 28 RGPD.

6. Vigencia y modificación.

Este acuerdo tendrá la misma duración que el instrumento de colaboración y podrá modificarse por acuerdo expreso entre las partes.

7. Firmas.

Corresponsable 1: [Firma corresponsable 1] Fecha: [Fecha de la firma]

Corresponsable 2: [Firma corresponsable 2] Fecha: [Fecha de la firma]

…

[Tantas firmas como corresponsables hubiere]

ANEXO V

Comunicación de datos entre Responsables

1. Identificación de las partes.

Entidad remitente o cedente de los datos (Responsable): [Entidad cedente]

Entidad destinataria (Responsable): [Entidad destinataria]

Ambas partes actúan como responsables independientes del tratamiento, conforme al artículo 4.7 del RGPD.

2. Finalidad y base jurídica.

La comunicación de datos personales por parte del cedente tiene como finalidad exclusiva el desarrollo de las funciones del cesionario relativas a: [Descripción de la finalidad]

2.1. Base jurídica (art. 6 RGPD).

La comunicación de datos de datos personales se encuentra legitimada por una o varias de las siguientes bases (marcar lo que proceda):

 a) el interesado dio su consentimiento para el tratamiento de sus datos personales para uno o varios fines específicos;

 b) el tratamiento es necesario para la ejecución de un contrato en el que el interesado es parte o para la aplicación a petición de este de medidas precontractuales;

 c) el tratamiento es necesario para el cumplimiento de una obligación legal aplicable al responsable del tratamiento;

 d) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física;

 e) el tratamiento es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;

2.2. Categorías especiales de datos (art. 9.2 RGPD).

Para el caso de que la comunicación de datos de datos personales suponga el tratamiento de categorías especiales de datos personales, la prohibición de su tratamiento queda levantada por (marcar lo que proceda):

 a) el interesado dio su consentimiento explícito para el tratamiento de dichos datos personales con uno o más de los fines especificados, excepto cuando el Derecho de la Unión o de los Estados miembros establezca que la prohibición mencionada no puede ser levantada por el interesado;

 b) el tratamiento es necesario para el cumplimiento de obligaciones y el ejercicio de derechos específicos del responsable del tratamiento o del interesado en el ámbito del Derecho laboral y de la seguridad y protección social, en la medida en que así lo autorice el Derecho de la Unión de los Estados miembros o un convenio colectivo con arreglo al Derecho de los Estados miembros que establezca garantías adecuadas del respeto de los derechos fundamentales y de los intereses del interesado;

 c) el tratamiento es necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento;

 d) el tratamiento es efectuado, en el ámbito de sus actividades legítimas y con las debidas garantías, por una fundación, una asociación o cualquier otro organismo sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que el tratamiento se refiera exclusivamente a los miembros actuales o antiguos de tales organismos o a personas que mantengan contactos regulares con ellos en relación con sus fines y siempre que los datos personales no se comuniquen fuera de ellos sin el consentimiento de los interesados;

 e) el tratamiento se refiere a datos personales que el interesado ha hecho manifiestamente públicos;

 f) el tratamiento es necesario para la formulación, el ejercicio o la defensa de reclamaciones o cuando los tribunales actúen en ejercicio de su función judicial;

 g) el tratamiento es necesario por razones de un interés público esencial, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado;

 h) el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social, sobre la base del Derecho de la Unión o de los Estados miembros o en virtud de un contrato con un profesional sanitario y sin perjuicio de las condiciones y garantías adecuadas;

 i) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional;

 j) el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos, sobre la base del Derecho de la Unión o de los Estados miembros, que debe ser proporcional al objetivo perseguido, respetar en lo esencial el derecho a la protección de datos y establecer medidas adecuadas y específicas para proteger los intereses y derechos fundamentales del interesado.

3. Categorías de datos y de interesados.

El tratamiento se limitará a las operaciones necesarias para el cumplimiento del instrumento de colaboración, sin que ninguna de las partes pueda utilizarlos para fines propios distintos de los autorizados.

Las partes completarán la siguiente tabla:

Tratamiento(s)	Finalidades	Colectivos de interesados	Datos personales	Ubicación y control
Nombre de la actividad	Finalidad concreta para la que se van a tratar los datos	Categorías de interesados (por ejemplo personal, ciudadanía, pacientes, …)	Datos tratados (por ejemplo DNI, datos identificativos, domicilio, …)	Sistemas/dispositivos de tratamiento, manuales y automatizados y ubicación de los mismos.
Una fila por cada tratamiento.

Operaciones de tratamiento autorizadas (marcar lo que proceda):

☐ Recogida ☐ Registro ☐ Clasificación ☐ Modificación ☐ Conservación

☐ Consulta ☐ Comunicación o cesión de datos ☐ Difusión ☐ Cotejo

☐ Supresión ☐ Copia ☐ Otros (especificar): ___________

4. Medidas técnicas y organizativas.

Cedente y cesionario se comprometen a aplicar medidas técnicas y organizativas adecuadas para garantizar la confidencialidad, integridad y disponibilidad de los datos, conforme al artículo 32 del RGPD y la normativa nacional aplicable.

Cuando el tratamiento se realice mediante sistemas sujetos al Esquema Nacional de Seguridad (ENS), se aplicarán las medidas del Anexo II del Real Decreto 311/2022, de 3 de mayo, por el que se regula el Esquema Nacional de Seguridad, correspondientes a la categoría aplicable: [ALTA / MEDIA / BÁSICA] (marcar lo que proceda).

Si no se emplean sistemas sujetos a categorización ENS, se garantizará igualmente un nivel de seguridad adecuado al riesgo.

5. Procedimiento para ejercicio de derechos.

Cada parte atenderá las solicitudes de ejercicio de derechos respecto de los datos tratados bajo su propia responsabilidad.

Cuando la solicitud afecte a datos previamente comunicados entre las partes, la parte receptora informará a la otra sin dilación, a fin de garantizar una respuesta coherente y conforme a la normativa aplicable.

6. Gestión de brechas de seguridad.

Cada parte notificará las violaciones de seguridad que afecten a los datos que trate bajo su responsabilidad a la autoridad de control y, en su caso, a los interesados, conforme a los artículos 33 y 34 del RGPD.

Si la brecha afecta a datos previamente comunicados, la parte afectada lo comunicará a la otra sin dilación indebida, para facilitar una gestión coordinada del incidente.

7. Conservación y supresión.

Los datos comunicados serán conservados únicamente durante los plazos necesarios para el cumplimiento de las finalidades previstas en el instrumento de colaboración, respetando el artículo 5.1.e) del RGPD. Una vez cumplida la finalidad, los datos serán:

▪ suprimidos, o

▪ conservados bloqueados cuando exista obligación legal.

8. Firmas.

Remitente o cedente: [Entidad cedente]

Destinatario: [Entidad destinataria]

Fecha: [Fecha de la firma]

Descargar PDF