La Constitución española en su artículo 18.4º dispone que la ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos.

En este sentido, la Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, regula el tratamiento de datos de carácter personal registrados en soporte físico, así como el uso posterior de estos datos por los sectores público y privado.

La finalidad de esta regulación es proteger los derechos fundamentales de las personas físicas y especialmente su honor e intimidad, tanto personal como familiar.

En su artículo 20.1º se dispone que la creación, modificación o supresión de los ficheros de las administraciones públicas sólo podrá hacerse por medio de una disposición general publicada en el Boletín Oficial del Estado o diario oficial correspondiente.

En consecuencia, en virtud de las facultades que me confiere el artículo 34.6º de la Ley 1/1983, de 22 de febrero, reguladora de la Xunta y de su presidente, modificada parcialmente por la Ley 11/1988, de 20 de octubre,

DISPONGO:

Artículo 1º.-Objeto.

Esta orden tiene por objeto la creación de los ficheros automatizados de datos de carácter personal existentes en la Consellería de Sanidad y el Servicio Gallego de Salud que se relacionan en el anexo.

Artículo 2º.-Contenido.

La información que, de acuerdo con el artículo 20.2º de la Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, se exige para las disposiciones de creación de ficheros, está

contenida en el anexo de esta orden, en cada uno de los ficheros creados.

Artículo 3º.-Finalidad y uso de los ficheros.

Los datos de carácter personal, registrados en los ficheros automatizados de la Consellería de Sanidad y del Servicio Gallego de Salud, creados por la presente orden sólo serán utilizados para los fines expresamente previstos en el anexo y por personal debidamente autorizado.

Artículo 4º.-Cesión de datos.

En el supuesto de cesión de datos a las administraciones públicas habrá que atenerse a lo dispuesto en la normativa vigente respecto de esta materia.

Artículo 5º.-Órganos responsables de la seguridad de los ficheros.

Serán responsables de los ficheros las personas u órganos que, en cada caso, figuran en el anexo. Asimismo, en el citado anexo se enumeran las unidades ante las que se ejercerán los derechos de acceso, rectificación y cancelación, sin perjuicio de la responsabilidad directa que en la gestión y custodia de los datos corresponde al empleado público que esté al cargo del fichero correspondiente.

Artículo 6º.-Medidas de seguridad.

Las medidas de seguridad de los ficheros están especificadas en el correspondiente documento de seguridad en función del nivel en que éstos se clasifican.

Disposición final

La presente orden entrará en vigor el día siguiente al de su publicación en el Diario Oficial de Galicia.

Santiago de Compostela, 1 de octubre de 2003.

José Mª Hernández Cochón

Conselleiro de Sanidad

ANEXO

1. Gestión de personal.

a) Finalidad y usos previstos del fichero.

Gestión de personal, contrataciones, bajas, jubilaciones, conceptos, retribuciones, control de absentismo, estadísticas de personal, elaboración de la nómina y todo lo relacionado con la gestión de personal de un centro.

Utilización como herramienta en la confección de estadísticas.

b) Personas y/o colectivos afectados.

Personas con vinculación laboral o profesional con el centro.

c) Procedimiento de recogida de los datos de carácter personal.

Formularios o cupones.

d) Estructura básica.

Base de datos.

e) Tipos de datos.

-Datos relativos a la afiliación sindical (recabados con consentimiento expreso y por escrito de los afectados).

-Datos relativos a salud.

-Datos relativos a infracciones administrativas.

-Datos de carácter identificativo: DNI/NIF, nº S.S./mutualidad, nombre y apellidos, dirección, teléfono y nº de registro personal.

-Datos de características personales: datos de estado civil, datos de familia, fecha/lugar de nacimiento, sexo y nacionalidad.

-Datos de circunstancias sociales: situación militar y licencias/permisos/autorizaciones.

-Datos académicos y profesionales: formación/titulaciones, experiencia profesional y pertenencia a asociaciones profesionales.

-Datos de detalles del empleo y carrera administrativa: cuerpo/escala, categoría/grado, puestos de trabajo, datos no económicos de nómina e historial del trabajador.

-Datos económico-financieros: ingresos/rentas, créditos/préstamos/avales, datos bancarios, datos económicos de nómina, seguros y datos de deducciones impositivas/impuestos.

f) Cesiones previstas.

-Ministerio de Economía y Hacienda.

-Ministerio de Trabajo y Seguridad Social.

-Organismos oficiales estadísticos.

-Consellería de Sanidad.

g) Órganos de la Administración responsables del fichero.

Servicio Gallego de Salud, direcciones provinciales de Sergas.

h) Servicio o unidad ante los que podrá ejercitar los derechos de acceso, rectificación y cancelación de datos de los afectados.

-A Coruña.

Dirección Provincial de A Coruña.

-Lugo.

Dirección Provincial de Lugo.

-Ourense.

Dirección Provincial de Ourense.

-Pontevedra.

Dirección Provincial de Pontevedra.

i) Nivel de medidas de seguridad exigible: alto.

2. Relaciones comerciales y económicas con terceros.

a) Finalidad y usos previstos del fichero.

Seguimiento y control de las relaciones comerciales y económicas con terceros: proveedores, investigadores, aseguradores y trabajadores. Ofertas comerciales facilitadas por proveedores. Elaboración de estadísticas y comparativas de gestión. Control económico interno.

b) Personas y/o colectivos afectados.

Cualquier persona física o jurídica con relaciones económicas con el centro.

c) Procedimiento de recogida de los datos de carácter personal.

Formularios o cupones.

Transmisión electrónica de datos/Internet.

d) Estructura básica.

Base de datos.

e) Tipos de datos.

-Datos de carácter identificativo: DNI/NIF, nombre y apellidos, dirección y teléfono.

-Datos de información comercial: actividades y negocios.

-Datos económico-financieros: datos bancarios.

-Datos de transacciones: bienes y servicios suministrados por el afectado y transacciones financieras.

f) Cesiones previstas.

-Ministerio de Economía y Hacienda.

-Consellería de Economía y Hacienda.

-Consellería de Sanidad.

g) Órganos de la Administración responsables del fichero.

Servicio Gallego de Salud, direcciones provinciales de Sergas.

h) Servicio o unidad ante los que podrá ejercitar los derechos de acceso, rectificación y cancelación de datos de los afectados.

-A Coruña.

Dirección Provincial de A Coruña.

-Lugo.

Dirección Provincial de Lugo.

-Ourense.

Dirección Provincial de Ourense.

-Pontevedra.

Dirección Provincial de Pontevedra.

i) Nivel de medidas de seguridad exigible: básico.

3. Gestión de usuarios y passwords de los sistemas.

a) Finalidad y usos previstos del fichero.

Gestión y control de accesos a los sistemas de información del Sergas y de la Consellería de Sanidad.

b) Personas y/o colectivos afectados.

Cualquier persona física que tenga relación laboral con el Sergas y que sea usuario de los sistemas informáticos.

c) Procedimiento de recogida de los datos de carácter personal.

Formularios o cupones.

Transmisión electrónica de datos/Internet.

d) Estructura básica.

Base de datos.

e) Tipos de datos.

-Datos de carácter identificativo: DNI/NIF, nombre y apellidos y teléfono.

-Datos de detalles del empleo y carrera administrativa: cuerpo/escala, categoría/grado, puestos de trabajo y dirección del centro de trabajo.

f) Cesiones previstas.

-Consellería de Sanidad.

g) Órganos de la Administración responsables del fichero.

Servicio Gallego de Salud, direcciones provinciales del Sergas.

h) Servicio o unidad ante los que podrá ejercitar los derechos de acceso, rectificación y cancelación de datos de los afectados.

-A Coruña.

Dirección Provincial de A Coruña.

-Lugo.

Dirección Provincial de Lugo.

-Ourense.

Dirección Provincial de Ourense.

-Pontevedra.

Dirección Provincial de Pontevedra.

i) Nivel de medidas de seguridad exigible: básico.

4. Gestión asistencial.

a) Finalidad y usos previstos del fichero.

Gestión de la actividad asistencial, gestión financiera, facturación, actividad docente, producción de estadísticas e investigación sanitaria.

b) Personas y/o colectivos afectados.

Personas que acceden o pueden tener acceso al Sistema Sanitario.

c) Procedimiento de recogida de los datos de carácter personal.

Encuestas o entrevistas.

Formularios o cupones.

Transmisión electrónica de datos/Internet.

d) Estructura básica.

Base de datos.

e) Tipos de datos.

-Datos especialmente protegidos: salud y vida sexual.

-Datos de carácter identificativo: identificación del paciente en el fichero de Usuarios del Sistema Sanitario.

-Datos de características personales: datos de familia, fecha/lugar de nacimiento, características físicas o antropométricas, sexo, edad, datos de conducta y antecedentes personales y familiares psiquiátricos.

-Datos de circunstancias sociales: características de alojamiento/vivienda, aficiones y estilo de vida, situación familiar de convivencia y situaciones de riesgo social.

-Datos académicos y profesionales: formación/titulaciones.

-Datos de detalles de empleo: situación laboral, puesto de trabajo y sector de actividad.

-Datos económicos-financieros y de seguros: ingreso, rentas y seguros.

f) Cesiones previstas.

-Ministerio de Sanidad.

-Consellería de Sanidad.

-Organismos oficiales estadísticos.

-Otros organismos sanitarios

-Proveedores de material de prótesis o implantes.

g) Órganos de la Administración responsables del fichero.

Direcciones provinciales de Sergas.

h) Servicio o unidad ante los que podrá ejercitar los derechos de acceso, rectificación y cancelación de datos de los afectados.

-A Coruña.

Dirección Provincial de A Coruña.

-Lugo.

Dirección Provincial de Lugo.

-Ourense.

Dirección Provincial de Ourense.

-Pontevedra.

Dirección Provincial de Pontevedra.

i) Nivel de medidas de seguridad exigible: alto.