El Director general de la Tesorería General de la Seguridad Social y el Director general del Instituto de Mayores y Servicios Sociales, han suscrito un Convenio sobre cesión de información.

Para general conocimiento, y en cumplimiento de lo establecido en el artículo 48.8 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, dispongo la publicación en el «Boletín Oficial del Estado» del referido convenio como anejo a la presente Resolución.

Madrid, 14 de noviembre de 2019.–El Subsecretario de la Presidencia, Relaciones con las Cortes e Igualdad, Antonio J. Hidalgo López.

ANEJO

Convenio entre la Tesorería General de la Seguridad Social y el Instituto es y Servicios Sociales sobre cesión de información

En Madrid a 11 de septiembre de 2019.

REUNIDOS

De una parte, don Francisco Javier Aibar Bernad, Director general de la Tesorería General de la Seguridad Social (TGSS), como servicio común de la Seguridad Social, tutelado por el Ministerio de Trabajo, Migraciones y Seguridad Social, cargo para el que fue nombrado por Real Decreto 643/2018, de 22 de junio (BOE n.º 152, del 23), en virtud de las atribuciones previstas en el artículo 48.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, en función de su cargo, y en ejercicio de las facultades que le confiere el artículo 3 del Real Decreto 1314/1984, de 20 de junio.

De otra, don Manuel Martínez Domene, Director general del Instituto de Mayores y Servicios Sociales (Imserso), como entidad gestora de la Seguridad Social adscrita al Ministerio de Sanidad, Consumo y Bienestar Social a través de la Secretaría de Estado de Servicios Sociales, cargo para el que fue nombrado en virtud del Real Decreto 10/2019, de 18 de enero (BOE n.º 17, del 19), y facultado para su representación conforme a las atribuciones establecidas en el artículo 5 del Real Decreto 1226/2005, de 13 de octubre (BOE n.º 246, del 14).

Las partes intervienen en nombre y representación de sus respectivas instituciones, en ejercicio de las competencias que les están legalmente atribuidas, y se reconocen mutua y recíprocamente legitimidad y capacidad suficiente para obligarse mediante el presente convenio, en los términos que en él se contienen, y al efecto,

EXPONEN

I

La Tesorería General de la Seguridad Social es un Servicio Común de la Seguridad Social, dotado de personalidad jurídica al que compete la gestión de los recursos y la administración financiera del sistema en aplicación de los principios de solidaridad financiera y caja única. El Real Decreto 1314/1984, de 20 de julio, por el que se regula la estructura y competencias de la TGSS, atribuye en su artículo 1.a) las competencias en materia de inscripción de empresa y la afiliación, altas y bajas de los trabajadores, así como la recaudación de cuotas y demás recursos de financiación del sistema de la Seguridad Social a la TGSS. Estas materias son reguladas posteriormente en el Reglamento General sobre inscripción de empresas y afiliación, altas, bajas y variaciones de los trabajadores en la Seguridad Social, aprobado por Real Decreto 84/1996, de 26 de enero y en el Reglamento General de Recaudación de la Seguridad Social, aprobado por Real Decreto 1415/2004, de 11 de junio, integrándose dicha gestión en los Ficheros Generales de Afiliación y de Recaudación, respectivamente.

El artículo 77.1. del texto refundido de la Ley General de la Seguridad Social, establece que los datos, informes o antecedentes obtenidos por la Administración de la Seguridad Social en el ejercicio de sus funciones tienen carácter reservado y solo podrán utilizarse para los fines encomendados a las distintas entidades gestoras y servicios comunes de la Seguridad Social, sin que puedan ser cedidos o comunicados a terceros, salvo que la cesión o comunicación tenga por objeto, entre otros supuestos, los recogidos en el apartado: d) La colaboración con cualesquiera otras administraciones públicas para la lucha contra el fraude en la obtención o percepción de ayudas o subvenciones a cargo de fondos públicos, incluidos los de la Unión Europea, así como en la obtención o percepción de prestaciones incompatibles en los distintos regímenes del sistema de la Seguridad Social.

II

El Instituto de Mayores y Servicios Sociales (en adelante Imserso) es una Entidad Gestora de la Seguridad Social adscrita al Ministerio de Sanidad, Consumo y Bienestar Social, a través de la Secretaría de Estado de Servicios Sociales, con naturaleza de entidad de derecho público y capacidad jurídica para el cumplimiento de los fines que le están encomendados a tenor del artículo 66.1. c) del texto refundido de la Ley General de la Seguridad Social, aprobado por el Real Decreto Legislativo 8/2015, de 30 de octubre, tiene competencias en las siguientes materias:

– La gestión y seguimiento de las pensiones de invalidez y jubilación en sus modalidades no contributivas y en la forma prevista en el artículo 373 del texto refundido de la Ley General de la Seguridad Social.

– Los servicios complementarios de las prestaciones del sistema de Seguridad Social.

– El seguimiento de la gestión de las prestaciones económicas derivadas del texto refundido de la Ley General de derechos de las personas con discapacidad y de su inclusión social, sin perjuicio de la gestión directa de estas prestaciones en las ciudades de Ceuta y de Melilla.

– La propuesta de normativa básica que garantice los principios de igualdad y solidaridad para la determinación de los baremos, a los efectos del reconocimiento del grado de discapacidad y de dependencia.

– La propuesta y ejecución, en su caso, de las funciones atribuidas a la Secretaría de Estado de Servicios Sociales en el artículo 2.2.a) del Real Decreto 1047/2018, de 24 de agosto, en concreto: «La articulación de la participación de la Administración General del Estado en el Sistema para la Autonomía y Atención a la Dependencia, en los términos previstos en la Ley 39/2006, de 14 de diciembre, de Promoción de la Autonomía Personal y Atención a las personas en situación de dependencia.

– La propuesta, gestión y seguimiento de planes de servicios sociales de ámbito estatal en las áreas de personas mayores y de personas en situación de dependencia.

Para llevar a cabo la gestión antes descrita, al Imserso le sería necesario poder disponer de cierta información contenida en la base de datos de la TGSS. Por este motivo se ha dirigido a la TGSS solicitando su cooperación.

El artículo 3.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, establece que las Administraciones Públicas se relacionarán entre sí y con sus órganos organismos públicos y entidades vinculados o dependientes a través de medios electrónicos, que aseguren la interoperabilidad y seguridad de los sistemas y soluciones adoptadas por cada una de ellas, garantizarán la protección de datos de carácter personal, y facilitarán preferentemente la prestación conjunta de servicios a los interesados.

En consecuencia, dentro del espíritu de mutua colaboración para el cumplimiento de los fines públicos, las partes acuerdan suscribir el presente convenio, de conformidad con las siguientes

CLÁUSULAS

Primera. Objeto.

El convenio tiene por objeto fijar las condiciones y términos de la colaboración entre la TGSS y el Imserso, para facilitar el acceso a dicho organismo a las bases de datos de los Ficheros Generales de Afiliación y de Recaudación. En lo que respecta a la forma y características de la autorización, asignación, funcionamiento y demás condiciones del acceso al Fichero General de Afiliación, se deberán ajustar a lo que se establece en la Orden de 17 de enero de 1996 («BOE» del 25).

Segunda. Finalidad.

La cesión de información procedente de las bases de datos de la TGSS tiene como finalidad exclusiva el desarrollo de las concretas funciones atribuidas por el ordenamiento jurídico al Imserso, que justifican su cesión.

Tercera. Autorización.

Por el presente convenio la TGSS autoriza al Imserso la consulta a las siguientes transacciones:

– Del Fichero General de Afiliación:

ATT30: Situaciones adicionales de afiliación.

ATT31: Consulta situaciones adicionales de afiliación.

ATT64: Consulta de trabajadores.

ACC61: Consulta general de cuentas de cotización.

– Del Fichero General de Recaudación:

RCU05: relación de deuda de un período.

RCU06: historial de cobros y deudas.

RCU07: consulta de deuda por número de documento.

RBC01: consulta de bases de cotización.

La TGSS y el Imserso deberán ajustarse a lo estipulado en los siguientes puntos:

La TGSS y el Imserso deberán ajustarse a lo estipulado en los siguientes puntos:

1.º La TGSS realizará la autorización inicial de acceso a las transacciones de los Ficheros Generales de Afiliación y Recaudación a que se refiere el presente convenio.

2.º La configuración del acceso objeto del presente convenio habrá de cumplir los siguientes principios establecidos por la Orden de 17 de enero de 1996 sobre control de acceso al sistema informático de la Seguridad Social.

– Confidencialidad, de manera que se asegure que la información está disponible solamente para aquellos usuarios que estén debidamente autorizados para acceder a la misma y que se utiliza exclusivamente por aquéllos para sus cometidos concretos de gestión en la forma, tiempo y condiciones determinados en la autorización respectiva.

– Integridad, garantizando que únicamente los usuarios autorizados, y en la forma y con los límites de la autorización, puedan crear, utilizar, modificar o suprimir la información.

– Disponibilidad, de forma que los usuarios autorizados tengan acceso a la información en la forma y cuando lo requieran para los exclusivos cometidos de la gestión encomendada.

3.º La Administración del sistema se basará en la asignación de perfiles de autorización a los distintos usuarios de acuerdo con las funciones desempeñadas por los mismos. En este sentido, la TGSS asignará un perfil de usuario autorizador con nivel 4, y éste a su vez dará de alta tantos códigos de usuario como sean necesarios para la realización de las funciones de gestión encomendadas.

A los efectos del presente punto se denomina «usuario» a las personas autorizadas para acceder al sistema informático pero sin facultad para dar de alta en SILCON a otros usuarios ni transferir autorización alguna. Estos serán identificados con el nivel U.

El usuario autorizador dado de alta realizará la asignación de perfiles, entendiéndose como tal la anotación en SILCON de las transacciones a las que puede acceder un determinado autorizado (usuario) por razón de su puesto de trabajo.

4.º El usuario administrador/autorizador y subsidiariamente el Imserso es responsable de la asignación de perfiles de autorización a los usuarios, que deben corresponderse con las necesidades de gestión y vigilará la correcta utilización de las autorizaciones concedidas.

5.º Todos los usuarios autorizados a acceder al sistema deberán quedar identificados y autentificados, de forma que en todo momento pueda conocerse el usuario y los motivos por los que se accedió a la correspondiente información contenida en el sistema. Para ello en el momento de autorizar un usuario se cumplimentarán todos los campos exigidos tales como, características del puesto de trabajo e información complementaria, n.º de teléfono, fax, etc.

6.º Cada usuario tendrá un único código de acceso y será responsable de los accesos que se realicen con su código y contraseña personal.

7.º Cuando algún usuario, ya sea autorizador o autorizado, pase a desempeñar un nuevo puesto de trabajo en distinta unidad de gestión o cause baja en el trabajo de forma voluntaria, o sea objeto de suspensión de empleo, se procederá a la baja del código de usuario. Por otra parte se establecerán controles en cuanto al tiempo de inactividad de los usuarios que pasarán a la situación de cancelados una vez transcurridos tres meses sin acceder a los Ficheros Generales de Afiliación y de Recaudación. También se dispondrá de la posibilidad de establecer fechas de caducidad de acceso al sistema por parte de usuarios y limitaciones en el horario de conexión.

Quinta. Responsabilidad de los usuarios.

Todos los usuarios identificados, así como sus responsables en el Imserso deben tener el conocimiento de que la copia de programas y/o uso de datos de carácter personal en tareas impropias son operaciones ilegales que pueden dar lugar a responsabilidades administrativas y, en concreto, las establecidas en el Título IX de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, así como a responsabilidades de cualquier otra naturaleza, incluso penales, razón por la cual cuando, por cualquier medio, se tengan indicios de la utilización de datos, antecedentes, registros o informes con finalidad distinta a la propia gestión asignada al usuario, o su difusión indebida, infringiendo así el deber de secreto profesional, se pondrán dichos hechos en conocimiento del interlocutor de la TGSS definido a estos efectos, al objeto de procurar la adopción de las medidas pertinentes entre ambas partes.

A fin de dar a conocer estas responsabilidades, en todas las altas de usuarios realizadas se deberá cumplimentar un documento donde se especificarán los compromisos adoptados por el usuario, en los términos que se indican en esta cláusula y en el anexo I que se adjunta a este convenio. Dicho documento quedará en poder del autorizador de nivel 4, si bien podrá ser remitido a la TGSS.

Sexta. Control y seguridad de datos.

El control y seguridad de los datos suministrados se regirá por lo dispuesto en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, en el Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, y en los Documentos de Seguridad aprobados por la TGSS.

Séptima. Uso indebido de datos.

El órgano cesionario acepta y asume por el presente documento que la cesión de datos se produce a los fines exclusivos que se especifican en este convenio, por lo que cualquier otro uso que se haga de dichos datos constituirá un incumplimiento del presente convenio que facultará a la Tesorería para exigir las responsabilidades oportunas.

El Organismo cesionario será responsable frente a la Tesorería y frente a terceros de cualquier reclamación derivada del uso indebido que se haga por los usuarios de los datos cedidos, eximiendo a la TGSS de cualquier responsabilidad a este respecto. La Tesorería podrá repetir contra el Organismo cesionario por cualquier indemnización que deba satisfacer derivado de dicho incumplimiento.

Octava. Custodia de los datos recibidos.

A través de los sistemas y medios informáticos de auditoria que facilite la TGSS, como órgano cedente e incluidos y detallados en el anexo II, el órgano cesionario deberá realizar las actividades de control que garanticen la debida custodia y adecuada utilización de los datos recibidos y cualquier otra actividad encaminada a garantizar la correcta forma y justificación del acceso a los ficheros o bases en que aquéllos figuren incluidos.

El Órgano cesionario se compromete a que cada acceso quede justificado con la causa o expediente que lo hubiera motivado.

Novena. Auditorías.

1. Sin perjuicio de lo anterior, la TGSS, se reserva la facultad de:

A. Controlar, supervisar y/o auditar los accesos o la utilización que se de a los datos recibidos, para lo cual podrán llevarse a efecto cualesquiera otros controles accesorios o complementarios por la Unidad Nacional de Auditorias de la TGSS.

B. Solicitar, en cualquier momento, las aclaraciones o la información complementaria que se estime precisa o conveniente por la TGSS sobre la corrección de los accesos, la custodia o la utilización de la información cedida.

C. Suspender las autorizaciones y desactivar los perfiles de aquellos usuarios que hubieren realizado accesos de riesgo, entendiendo por tales todos aquellos en los que no quede acreditada su correspondencia con los fines para los que hubieran sido utilizados.

2. El órgano cesionario acepta someterse a todas las actuaciones de control y supervisión que puedan acordarse por la Unidad Nacional de Auditorias de la TGSS, al objeto de verificar la adecuada obtención y utilización de la información cedida y de las condiciones normativas o convencionales que resultan de aplicación.

Décima. Revisión de las formas de acceso a los datos.

La TGSS se reserva la facultad de revisar en cualquier momento posterior a la firma del presente convenio, las formas de acceso a los datos protegidos ya sea a través de acceso directo a ficheros, soporte físico o conexión telemática o electrónica, y la limitación de las mismas por razones técnicas, por modificación de los contenidos de los ficheros a raíz de mejoras introducidas en los mismos, por falta de uso de las transacciones o por otras razones que pudieran suponer alteración de las condiciones pactadas en este convenio.

Undécima. Irregularidad en la utilización de datos.

Si como consecuencia de las actuaciones de control o auditoria o por causa de denuncia o comunicación, se detectase cualquier tipo de irregularidad relacionada con la utilización de datos, antecedentes, registros o informes con finalidad distinta a la propia gestión del órgano cesionario, se abrirán de inmediato diligencias en orden al completo esclarecimiento y, en su caso, a la exigencia de responsabilidades con traslado, si procede, a la autoridad judicial correspondiente.

Duodécima. Comisión de Seguimiento.

Para facilitar el seguimiento y cumplimiento del convenio, se constituirá una Comisión de Seguimiento integrada, como mínimo, por dos representantes de la TGSS y dos del Imserso, a la que corresponde desarrollar y concretar las actuaciones de cooperación que se establezcan, así como velar por el cabal cumplimiento de los objetivos comunes perseguidos por ambas partes.

La Comisión se reunirá tantas veces como sea necesario para la buena marcha de las actuaciones a desarrollar en el marco del convenio.

La Comisión en su funcionamiento se regirá por lo previsto en el presente convenio y supletoriamente por lo estipulado en la Sección tercera, del Capítulo II, del Título Preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

Decimotercera. Vigencia.

El presente convenio tendrá una duración de cuatro años, se perfeccionará por la prestación del consentimiento de las partes en los términos previstos en el apartado 8 del artículo 48 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público y resultará eficaz una vez inscrito en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación del sector público estatal y publicado en el «Boletín Oficial del Estado».

De conformidad con lo dispuesto en el artículo 49 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, en cualquier momento antes de la finalización del plazo previsto en el apartado anterior, los firmantes del convenio podrán acordar unánimemente su prórroga por un periodo de hasta cuatro años adicionales o su extinción.

No obstante, cualquiera de las partes podrá denunciar el presente convenio comunicándolo a la otra parte interviniente por escrito con tres meses de antelación a la fecha en la que se desee la terminación del mismo o, en su caso, de su prórroga.

Decimocuarta. Modificación.

El presente convenio podrá ser modificado por acuerdo de las partes a propuesta de cualquiera de ellas, a través de la Comisión de Seguimiento, mediante la suscripción del oportuno acuerdo de modificación formalizado antes de la finalización del convenio, y será eficaz una vez inscrito en el Registro Electrónico estatal de Órganos e Instrumentos de Cooperación del sector público estatal y publicado en el «Boletín Oficial del Estado».

Decimoquinta. Extinción y resolución.

El presente convenio se extinguirá por el cumplimiento de las actuaciones que constituyen su objeto o por incurrir en causa de resolución.

Son causa de resolución:

a) El transcurso del plazo de vigencia del convenio

b) El acuerdo unánime de todos los firmantes.

c) El incumplimiento de las obligaciones y compromisos asumidos por parte de alguno de los firmantes.

En este caso, cualquiera de las partes podrá notificar a la parte incumplidora un requerimiento para que cumpla en un plazo de tres meses con las obligaciones o compromisos que se consideran incumplidos. Este requerimiento será comunicado al responsable del mecanismo de seguimiento, vigilancia y control de la ejecución del convenio y a las demás partes firmantes.

Si trascurrido el plazo indicado en el requerimiento persistiera el incumplimiento, la parte que lo dirigió notificará a las partes firmantes la concurrencia de la causa de resolución y se entenderá resuelto el convenio.

d) Por decisión judicial declaratoria de la nulidad del convenio.

e) Cualquiera de las partes podrá denunciar el presente convenio comunicándolo a la otra parte interviniente por escrito con tres meses de antelación a la fecha en la que se desee la terminación del mismo o, en su caso, de su prórroga.

No obstante, si cuando concurra cualquiera de las causas de resolución del convenio existen actuaciones que en ese momento estén iniciadas, las partes podrán acordar su continuación hasta la finalización del plazo convenido para su ejecución, conforme a lo establecido en el art. 52.3 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.

Decimosexta. Régimen jurídico y jurisdicción competente.

Este convenio tiene naturaleza administrativa y su régimen jurídico está regulado en los artículos 47 a 53 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.