La Constitución española en su artículo 18.4º dispone que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

En este sentido, la Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, regula el tratamiento de datos de carácter personal registrados en soporte físico, así como toda modalidad de uso posterior de ellos por los sectores público y privado. En este marco, es objeto de esta regulación la garantía y protección de los derechos

fundamentales y libertades públicas de las personas físicas, y especialmente de su honor e intimidad personal y familiar.

El artículo 20.1º de la citada ley dispone que la creación, modificación o supresión de los ficheros de las administraciones públicas sólo podrá hacerse por medio de disposición general publicada en el BOE o diario oficial correspondiente.

Las órdenes de 2 de febrero de 2001 (DOG nº 40, del 26 de febrero) y de 17 de diciembre de 2002 (DOG nº 5, del 9 de enero de 2003), crearon determinados ficheros automatizados de datos de carácter personal en la Consellería de Sanidad y en el Servicio Gallego de Salud, al amparo de lo dispuesto en la Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.

La conveniencia de adaptar los ficheros creados por las citadas órdenes a las nuevas necesidades y al cambio legislativo operado en la materia, justifica su modificación, limitada en el presente caso, al cambio de algunas de las características definidoras de determinados ficheros existentes.

En consecuencia, y en virtud de las facultades que me confiere el artículo 34.6º de la Ley 1/1983, de 22 de febrero, reguladora de la Xunta y de su presidente, modificada parcialmente por la Ley 11/1988, de 20 de octubre,

DISPONGO:

Artículo 1º.-Objeto.

La presente orden tiene por objeto la modificación de las órdenes de 2 de febrero de 2001 y 17 de diciembre de 2002 por las que se crearon determinados ficheros automatizados de datos de carácter personal en la Consellería de Sanidad y en el Servicio Gallego de Salud. Los ficheros que se modifican quedan redactados como figura en el anexo de la presente orden.

Artículo 2º.-Contenido.

La información que exige el artículo 20.2º de la Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal para la modificación de ficheros, está contenida en el anexo de esta orden, en cada uno de los ficheros modificados.

Artículo 3º.-Finalidad y uso de los ficheros.

Los datos de carácter personal, registrados en los ficheros automatizados de la Consellería de Sanidad y del Servicio Gallego de Salud, modificados por la presente orden, sólo serán utilizados para los fines expresamente previstos en el anexo y por personal debidamente autorizado.

Artículo 4º.-Cesión de datos.

En el supuesto de cesión de datos a las administraciones públicas habrá que atenerse a lo dispuesto en la normativa vigente en la materia.

Artículo 5º.-Órganos responsables de la seguridad de los ficheros.

Serán responsables de los ficheros las personas u órganos que, en cada caso, figuran en el anexo. Asi

mismo, en el citado anexo se enumeran las unidades ante las que se ejercerán los derechos de acceso, rectificación y cancelación, sin perjuicio de la responsabilidad directa que en la gestión y custodia de los datos corresponde al empleado público que esté al cargo del fichero correspondiente.

Artículo 6º.-Medidas de seguridad.

Las medidas de seguridad de los ficheros están especificadas en el correspondiente documento de seguridad en función del nivel en que éstos se clasifican.

Disposición final

La presente orden entrará en vigor el día siguiente al de su publicación en el Diario Oficial de Galicia.

Santiago de Compostela, 1 de octubre de 2003.

José Mª Hernández Cochón

Conselleiro de Sanidad

ANEXO

1. Usuarios del sistema sanitario.

a) Finalidad y usos previstos del fichero.

Conocer la identidad de las personas protegidas por la Administración sanitaria gallega y de los profesionales relacionados con el catálogo de prestaciones sanitarias, y la actividad y situación administrativa de estos últimos.

b) Personas y/o colectivos afectados.

Ciudadanos residentes en la Comunidad Autónoma o desplazados que tengan algún contacto con la Administración sanitaria gallega y trabajadores de la red sanitaria gallega.

c) Procedimiento de recogida de los datos de carácter personal.

Formularios o cupones.

Transmisión electrónica de datos/Internet.

d) Estructura básica.

Base de datos.

e) Tipos de datos.

-Datos de carácter identificativo: DNI/NIF, nº SS/mutualidad, nombre y apellidos, dirección, teléfono, CIP, NIE, código de identificación en el Sistema Nacional de Salud y código de colegiado.

-Datos de características personales: datos de estado civil, datos de familia, fecha/lugar de nacimiento, edad, sexo, nacionalidad, lengua materna y datos de tarjeta sanitaria.

-Datos académicos y profesionales: formación/titulaciones y pertenencia a colegios o a asociaciones profesionales.

-Datos de detalle de empleo: cuerpo/escala, categoría/grado, puestos de trabajo e historial del trabajador.

-Datos de información comercial: actividades y negocios, y otros (farmacia, código delegación y especialidades farmacéuticas dispensadas).

f) Cesiones previstas.

-Consellería de Sanidad.

-Consellería de la Presidencia (sólo el fichero del Servicio Gallego de Salud).

-Otros organismos sanitarios.

g) Órganos de la Administración responsables del fichero.

Servicio Gallego de Salud, Secretaría General y centros hospitalarios dependientes del Servicio Gallego de Salud.

h) Servicios o unidades nuevos ante los que podrán ejercitar los derechos de acceso, rectificación y cancelación de datos de los afectados.

-A Coruña.

Dirección Provincial de A Coruña.

-Lugo.

Dirección Provincial de Lugo.

-Ourense.

Dirección Provincial de Ourense.

-Pontevedra.

Dirección Provincial de Pontevedra.

i) Nivel de medidas de seguridad exigible: básico.

2. Historias clínicas.

a) Finalidad y usos previstos del fichero.

Datos de la historia clínica del paciente para el seguimiento de éste, gestión de la actividad asistencial, gestión financiera, facturación, actividad docente, producción de estadísticas e investigación sanitaria.

b) Personas y/o colectivos afectados.

Personas que acceden o pueden tener acceso al sistema sanitario.

c) Procedimiento de recogida de los datos de carácter personal.

Encuestas o entrevistas.

Formularios o cupones.

Transmisión electrónica de datos/Internet.

d) Estructura básica.

Base de datos.

e) Tipos de datos.

-Datos especialmente protegidos: religión, salud y vida sexual.

-Datos de carácter identificativo: identificación del paciente en el fichero de usuarios del sistema sanitario.

-Datos de características personales: datos de familia, fecha/lugar de nacimiento, características físicas

o antropométricas, sexo, edad, datos de conducta y antecedentes personales y familiares psiquiátricos.

-Datos de circunstancias sociales: características de alojamiento/vivienda, aficiones y estilo de vida, situación familiar de convivencia y situaciones de riesgo social.

-Datos académicos y profesionales: formación/titulaciones.

-Datos de detalles de empleo: situación laboral, puesto de trabajo y sector de actividad.

-Datos económicos-financieros y de seguros: ingreso, rentas y seguros.

f) Cesiones previstas.

-Ministerio de Sanidad.

-Consellería de Sanidad.

-Ministerio de Trabajo y Asuntos Sociales.

-Organismos oficiales estadísticos.

-Otros organismos sanitarios.

-Universidades, centros de investigación e investigadores.

-Proveedores de material de prótesis o implantes.

g) Órganos de la Administración responsables del fichero.

Consellería de Sanidad, Servicio Gallego de Salud.

h) Servicios o unidades nuevos ante los que podrán ejercitar los derechos de acceso, rectificación y cancelación de datos de los afectados.

-A Coruña.

Dirección Provincial de A Coruña.

-Lugo.

Dirección Provincial de Lugo.

-Ourense.

Dirección Provincial de Ourense.

-Pontevedra.

Dirección Provincial de Pontevedra.

i) Nivel de medidas de seguridad exigible: alto.

3. Oposiciones, concursos y contratación temporal de personal.

a) Finalidad y usos previstos del fichero.

Confección de listas para la contratación de personal y publicación de las mismas.

b) Personas y/o colectivos afectados.

Personas que solicitan acceso a procedimientos de selección de personal.

c) Procedimiento de recogida de los datos de carácter personal.

Formularios o cupones.

Transmisión electrónica de datos/Internet.

d) Estructura básica.

Base de datos.

e) Tipos de datos.

-Datos de carácter identificativo: DNI/NIF, nº SS/mutualidad, nombre y apellidos, dirección y teléfono.

-Datos de características personales: fecha/lugar de nacimiento y características físicas y antropométricas (grado de minusvalía).

-Datos académicos y profesionales: formación/titulaciones, historial de estudiante y experiencia profesional.

-Datos de detalles del empleo y carrera administrativa: cuerpo/escala, categoría/grado e historial del trabajador.

f) Cesiones previstas.

-Consellería de Sanidad.

-Órganos sindicales.

g) Órganos de la Administración responsables del fichero.

Consellería de Sanidad, Servicio Gallego de Salud y direcciones provinciales del Sergas.

h) Servicio o unidad ante los que podrán ejercitar los derechos de acceso, rectificación y cancelación de datos de los afectados (Para el Sergas).

A Coruña.

-Secretaría General del Sergas.

-Dirección Provincial de A Coruña.

Lugo.

-Dirección Provincial de Lugo.

Ourense.

-Dirección Provincial de Ourense.

Pontevedra.

-Dirección Provincial de Pontevedra.

i) Nivel de medidas de seguridad exigible: alto.

4. Gestión de personal.

a) Finalidad y usos previstos del fichero.

Gestión de personal, contrataciones, bajas, jubilaciones, conceptos, retribuciones, control de absentismo, estadísticas de personal, elaboración de la nómina y todo lo relacionado con la gestión de personal de un centro.

Utilización como herramienta en la confección de estadísticas.

b) Personas y/o colectivos afectados.

Personas con vinculación laboral o profesional con el centro.

c) Procedimiento de recogida de los datos de carácter personal.

Formularios o cupones.

d) Estructura básica.

Base de datos.

e) Tipos de datos.

-Datos relativos a afiliación sindical (recabados con consentimiento expreso y por escrito de los afectados).

-Datos relativos a salud.

-Datos relativos a infracciones administrativas.

-Datos de carácter identificativo: DNI/NIF, nº SS/mutualidad, nombre y apellidos, dirección, teléfono y nº de registro personal.

-Datos de características personales: datos de estado civil, datos de familia, fecha/lugar de nacimiento, sexo y nacionalidad.

-Datos de circunstancias sociales: situación militar y licencias/permisos/autorizaciones.

-Datos académicos y profesionales: formación/titulaciones, experiencia profesional y pertenencia a asociaciones profesionales.

-Datos de detalles del empleo y carrera administrativa: cuerpo/escala, categoría/grado, puestos de trabajo, datos no económicos de nómina e historial del trabajador.

-Datos económico-financieros: ingresos/rentas, créditos/préstamos/avales, datos bancarios, datos económicos de nómina, seguros y datos de deducciones impositivas/impuestos.

f) Cesiones previstas.

-Ministerio de Economía y Hacienda.

-Ministerio de Trabajo y Seguridad Social.

-Organismos oficiales estadísticos.

-Consellería de Sanidad.

-Consellería de Presidencia.

g) Órganos de la Administración responsables del fichero.

Consellería de Sanidad, Servicio Gallego de Salud y delegaciones provinciales de Sanidad.

h) Servicio o unidad ante los que podrán ejercitar los derechos de acceso, rectificación y cancelación de datos de los afectados.

-A Coruña.

Secretaría General del Sergas.

Delegación Provincial de A Coruña.

-Lugo.

Delegación Provincial de Lugo.

-Ourense.

Delegación Provincial de Ourense.

-Pontevedra.

Delegación Provincial de Pontevedra.

i) Nivel de medidas de seguridad exigible: alto.

CONSELLERÍA DE JUSTICIA, INTERIOR Y ADMINISTRACIÓN

LOCAL