RESOLUCIÓN de 29 de agosto de 2024, de la Secretaría General, por la que se da publicidad al Convenio de Colaboración entre la Consejería de Presidencia, Interior y Diálogo Social y el Ayuntamiento de Siruela, para la implantación del Tribunal Único en los procesos de selección para la cobertura de plazas en las plantillas de Policía Local de Extremadura.
TEXTO ORIGINAL
Habiéndose firmado el día 12 de agosto de 2024, el Convenio de Colaboración entre la Consejería de Presidencia, Interior y Diálogo Social y el Ayuntamiento de Siruela, para la implantación del Tribunal Único en los procesos de selección para la cobertura de plazas en las plantillas de Policía Local de Extremadura, de conformidad con lo previsto en el artículo 8 del Decreto 217/2013, de 19 de noviembre, por el que se regula el Registro General de Convenios de la Administración de la Comunidad Autónoma de Extremadura,
RESUELVO:
La publicación en el Diario Oficial de Extremadura del Convenio que figura como anexo de la presente resolución.
Mérida, 29 de agosto de 2024.
El Secretario General,
DAVID GONZÁLEZ GIL
CONVENIO DE COLABORACIÓN ENTRE LA CONSEJERÍA DE PRESIDENCIA, INTERIOR Y DIALOGO SOCIAL Y EL AYUNTAMIENTO DE SIRUELA, PARA LA IMPLANTACIÓN DEL TRIBUNAL ÚNICO EN LOS PROCESOS DE SELECCIÓN PARA LA COBERTURA DE PLAZAS EN LAS PLANTILLAS DE POLICÍA LOCAL DE EXTREMADURA
12 de agosto de 2024.
REUNIDOS
De una parte, D. David González Gil, Secretario General de la Consejería de Presidencia, Interior y Diálogo Social, para cuyo cargo fue nombrado por Decreto 84/2023, de 28 de julio (DOE n.º 146, de 31 de julio), en el ejercicio de las competencias que tiene atribuidas mediante Resolución de 4 de octubre de 2023, por el que se delegan determinadas competencias, así como la firma de resoluciones y actos, en la Secretaría General de la Consejería (DOE n.º 194, de 9 de octubre de 2023).
De otra parte, D. José Luis Camacho Mora, Alcalde del Ayuntamiento de Siruela, nombrado en sesión plenaria de fecha 17/06/2023 habiendo sido autorizado para la firma del presente convenio mediante Acuerdo de Pleno de fecha 27/03/2024.
Las partes intervienen en el ejercicio de las competencias que les están legalmente atribuidas y se reconocen mutua y recíprocamente legitimidad y capacidad suficiente para formalizar el presente convenio, y a tales efectos.
EXPONEN
Primero. La Comunidad Autónoma de Extremadura, según dispone el artículo 9.1.41 de la Ley Orgánica 1/2011, de 28 de enero, de reforma del Estatuto de Autonomía de la Comunidad Autónoma de Extremadura, tiene atribuidas de forma exclusiva las competencias en la coordinación y demás facultades previstas en la Ley Orgánica 2/1986, de 13 de marzo, de Fuerzas y Cuerpos de Seguridad en relación con las policías locales de Extremadura. Por su parte, la Ley 7/2017, de 1 de agosto, de Coordinación de Policías Locales de Extremadura, determina en su artículo 46.3, que los Ayuntamientos podrán solicitar a la Consejería competente en materia de coordinación de policías locales la colaboración en la realización de las pruebas de selección para el ingreso o la promoción del personal de las Policías Locales, pudiendo asumir la citada Consejería la convocatoria conjunta de varios procesos selectivos mediante la constitución de un Tribunal Único. Asimismo, desde la Junta de Extremadura se promoverá y potenciarán las convocatorias conjuntas con un Tribunal Único para el mayor número de municipios de Extremadura, haciendo uso de esta posibilidad siempre que sea posible.
Segundo. La Consejería de Presidencia, Interior y Diálogo Social, es competente en materia de interior, en virtud de lo dispuesto en el artículo 2 del Decreto de la Presidenta 16/2023, de 20 de julio, por el que se modifica la denominación y las competencias de las Consejerías que conforman la Administración de la Comunidad Autónoma de Extremadura.
Según establece el artículo 6.1.a) del Decreto 231/2023, de 12 de septiembre, por el que se establece la estructura orgánica de la Consejería de Presidencia, Interior y Diálogo Social, corresponde a la Secretaria General de Interior, Emergencias y Protección Civil el ejercicio de las funciones que la legislación de la Comunidad Autónoma de Extremadura, y otras normas del Estado, atribuya a la Junta de Extremadura en materia de coordinación y cooperación con las policías locales.
Tercero. El Decreto 64/2022, de 8 de junio, por el que se regulan los sistemas de selección, la provisión de puestos y la movilidad de las Policías Locales de Extremadura, así como el Tribunal Único, dedica su Título III a la regulación del Tribunal Único.
Según dispone el artículo 40.1 del citado Decreto, la Junta de Extremadura, a través de la Consejería competente en materia de coordinación de Policías Locales, llevará a efecto la colaboración con los ayuntamientos, asumiendo la convocatoria conjunta de las plazas vacantes de los municipios de la región extremeña que estén interesados mediante la celebración del oportuno convenio de colaboración.
Asimismo, y sin perjuicio de lo establecido en el artículo 47 y siguientes de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público, el artículo 41. A) del citado Decreto dispone: Su objeto será la delegación por el Ayuntamiento a la Consejería competente en materia de coordinación de policías locales de Extremadura de todas las competencias relativas a la convocatoria y desarrollo de los procesos selectivos para el acceso a la categoría o categorías de policía local que se determinen en el propio convenio .
De conformidad con la regulación de la Disposición Adicional Primera de la Ley 1/2024, de 5 de febrero, de Presupuestos Generales de la Comunidad Autónoma de Extremadura para el año 2024, así como de la Ley 18/2001, de 14 de diciembre, sobre Tasas y Precios Públicos de la Comunidad Autónoma de Extremadura, el artículo 40.2 del Decreto 64/2022, de 8 de junio, por el que se regulan los sistemas de selección, la provisión de puestos y la movilidad de las Policías Locales de Extremadura, así como el Tribunal Único, posibilita que la Administración Pública de Extremadura recaude las tasas de los procesos selectivos convocados por ésta para el acceso al empleo público de la Administración Local en materia de Policía Local.
Cuarto. La Federación Extremeña de Municipios y Provincias (FEMPEX), creada al amparo de lo dispuesto en el artículo 54.4 de la Ley Orgánica 1/2011, de 28 de enero, de reforma del Estatuto de Autonomía de la Comunidad Autónoma de Extremadura (BOE núm. 25, de 29 de enero de 2011), en virtud del artículo 1 de sus Estatutos, tiene personalidad jurídica propia y plena capacidad de obrar, constituyéndose para representar a los municipios asociados ante la Administración de la Comunidad Autónoma de Extremadura, encontrándose entre sus finalidades, la representación de los intereses de los Entes Locales ante las instancias políticas y administrativas de su ámbito territorial en orden a la consecución de los objetivos políticos y sociales que les competen, procurar el mejor funcionamiento de los Servicios Públicos, así como prestar servicios y gestiones de asuntos comunes.
La Disposición adicional tercera de la Ley 3/2019, de 22 de enero, de garantía de la autonomía municipal de Extremadura, establece que la Federación Extremeña de Municipios y Provincias podrá celebrar, de conformidad con lo estipulado en el artículo 59.5 del Estatuto de Autonomía de Extremadura, convenios con las distintas administraciones públicas para el cumplimiento de sus fines.
Fruto de ese poder de representación, se firmó el Convenio de Colaboración entre la Consejería de Agricultura, Desarrollo Rural, Población y Territorio, y la Federación de Municipios y Provincias de Extremadura por el que se implementa la figura del Tribunal Único en los procesos de selección para la cobertura de plazas en las plantillas de Policía Local de Extremadura.
En los Anexos I y II de dicho convenio figuran, respectivamente, por un lado el modelo de convenio a suscribir con cada ayuntamiento o grupos de ayuntamientos para articular la delegación de competencias de éstos en la Junta de Extremadura, a través de la Consejería competente en materia de coordinación de policía Local, para la selección de personal de policía local en los términos que se reflejan en dicho modelo, y por otro, el modelo de comunicación (Anexo II) a través del cual, los ayuntamientos que previamente hayan suscrito el modelo de convenio contenido en el Anexo I, comunicarán cada año en los plazos establecidos la plaza o plazas que tengan que ser incluidas en cada procedimiento de selección a través del Tribunal Único.
Quinto. Por su parte, el artículo 100 de la Ley 7/1985, de 2 de abril, reguladora de las Bases de Régimen Local, atribuye a las Corporaciones la competencia para la selección de su personal funcionario.
El artículo 47.2. h) de dicha Ley atribuye a los Plenos de las Corporaciones Locales la competencia para aprobar la Transferencia de funciones o actividades a otras Administraciones públicas, así como la aceptación de las delegaciones o encomiendas de gestión realizadas por otras administraciones, salvo que por ley se impongan obligatoriamente .
Por último, el artículo 57 del mismo cuerpo legal determina que la cooperación económica, técnica y administrativa entre la Administración local y la Administración de las Comunidades Autónomas, en asuntos de interés común, se desarrollará con carácter voluntario, bajo las formas y en los términos previstos en las leyes, pudiendo tener lugar, en todo caso, mediante los consorcios o los convenios administrativos que suscriban, dando preferencia a los convenios.
Por otro lado, el artículo 144 de la Ley 40/2015, de 1 de octubre, del Régimen Jurídico del Sector Público (en adelante, LRSP) referido a las técnicas de cooperación entre administraciones públicas previene que estos se formalicen mediante convenios.
Asimismo, se han de tener en cuenta los artículos 47 y siguientes de la LRSP que regulan con carácter básico los convenios entre Administraciones Públicas, así como el Decreto 217/2013, de 19 de noviembre, por el que se regula el Registro General de Convenios de la Administración de la Comunidad Autónoma de Extremadura.
Sexto. El proceso selectivo de los integrantes de las plantillas de Policía Local conlleva la realización no sólo de pruebas teóricas, sino también físicas, psicotécnicas, médicas y prácticas, así como una fase formativa posterior a la que se asiste como personal funcionario en prácticas, antes de su nombramiento como personal funcionario de carrera, atendiendo a su especialidad. Así lo ha recogido el artículo 50 de la referida Ley 7/2017, de 1 de agosto, de Coordinación de Policías Locales de Extremadura.
Por su complejidad, este proceso selectivo supone para muchos ayuntamientos un esfuerzo sobredimensionado respecto del número de plazas que a cada uno le corresponde convocar.
Séptimo. Confluye, de este modo, el interés de las partes en hacer efectivo el mecanismo de cooperación en materia de selección de personal para el acceso a los Cuerpos de Policía Local que instrumente la delegación de competencias municipales en la Administración Pública de la Comunidad Autónoma de Extremadura, en los términos previstos en el Anexo I del Convenio de Colaboración entre la Consejería de Agricultura, Desarrollo Rural, Población y Territorio, y la Federación de Municipios y Provincias de Extremadura por el que se implementa la figura del Tribunal Único en los procesos de selección para la cobertura de plazas en las plantillas de Policía Local de Extremadura.
Por ello, en virtud de cuanto antecede, y de acuerdo con lo previsto en la legislación vigente, reconociéndose ambas partes con capacidad legal suficiente, así como la representación con que intervienen, convienen en firmar el presente convenio, con arreglo a las siguientes,
CLÁUSULAS
Primera. Objeto.
El presente convenio tiene por objeto articular la colaboración entre la Comunidad Autónoma de Extremadura, a través de la Consejería competente en materia de coordinación de policía Local y el Ayuntamiento de Siruela, mediante la delegación de la competencia, aprobada mediante Acuerdo del respectivo pleno de 27 de marzo de 2024, que se adjunta, para la selección del personal de su plantilla de Policía Local , en los términos del artículo 46.3 Ley 7/2017, de 1 de agosto, de Coordinación de Policías Locales de Extremadura, a favor de dicha Administración Pública, que las ejercerá a través de la Secretaria General de Interior, Emergencias y Protección Civil.
Dicha delegación en la Administración de la Comunidad Autónoma de Extremadura, incluye la competencia para la aprobación de las bases generales del proceso selectivo de policías locales de la Escala de Administración Especial, Subescala de Servicios Especiales, Clase de Policía Local, Escala Básica, Grupo C, Subgrupo C1 que deban cubrirse conforme a lo dispuesto en el Título V de la Ley 7/2017, de 1 de agosto, de Coordinación de Policías Locales de Extremadura, así como en el Decreto 64/2022, de 8 de junio, por el que se regulan los sistemas de selección, la provisión de puestos y la movilidad de las Policías Locales de Extremadura, así como el Tribunal Único, que dedica su Título III a la regulación del Tribunal Único y la acumulación en una única convocatoria anual realizada por la Administración de la Comunidad Autonómica de Extremadura de todas las plazas ofertadas de los diferentes municipios adheridos.
Mediante adendas a este convenio se podrá ampliar la delegación en la Consejería competente en materia de coordinación de policías locales, para la realización del resto de los procesos selectivos de las diferentes categorías de la policía local que, por su naturaleza, sean susceptibles de cobertura mediante convocatoria unificada, de conformidad con lo dispuesto en el Decreto 64/2022, de 8 de junio, por el que se regulan los sistemas de selección, la provisión de puestos y la movilidad de las Policías Locales de Extremadura, así como el Tribunal Único.
Segunda. Ámbito de actuación territorial y material.
El ámbito de actuación territorial del presente convenio de colaboración se circunscribe al término del municipio de Siruela, que disponga o pueda disponer durante su vigencia, de plazas vacantes en sus ofertas de empleo público de policías locales (Escala de Administración Especial, Subescala de Servicios Especiales, Clase de Policía Local, Escala Básica, Grupo C, Subgrupo C1) que deban cubrirse conforme a lo dispuesto en el Título V de la Ley 7/2017, de 1 de agosto, de Coordinación de Policías Locales de Extremadura, así como en el Decreto 64/2022, de 8 de junio, por el que se regulan los sistemas de selección, la provisión de puestos y la movilidad de las Policías Locales de Extremadura, así como el Tribunal Único.
Tercera. Compromisos de la Administración de la Comunidad Autónoma de Extremadura, a través de la Consejería competente en materia de coordinación de Policías Locales.
La Junta de Extremadura, a través de la Consejería competente en materia de coordinación de policía Local, se compromete con el municipio que suscribe el presente convenio a aceptar la delegación de las siguientes competencias municipales:
a) Elaboración, aprobación y publicación anual de las bases de cada convocatoria específica unificada por oposición libre respecto de la suma total de plazas ofertadas por los municipios adheridos, para el acceso al empleo de policías locales, de la escala básica, previstos en sus ofertas de empleo público respectivas. Cada convocatoria específica unificada que realice la Junta de Extremadura indicará e identificará cada una de las plazas convocadas que corresponden a cada Municipio y se redactará de conformidad con las Bases Generales aprobadas para este tipo de procesos que, a su vez, deberán desarrollar lo dispuesto en la Ley 7/2017, de 1 de agosto, de Coordinación de Policías Locales de Extremadura, el Decreto 64/2022, de 8 de junio, por el que se regulan los sistemas de selección, la provisión de puestos y la movilidad de las Policías Locales de Extremadura, así como el Tribunal Único, y con carácter supletorio por el Texto Refundido de la Ley del Estatuto Básico del Empleado Público, aprobado por el Real Decreto Legislativo 5/2015, de 30 de octubre, la Ley 13/2015, de 8 de abril, de Función Pública de Extremadura, así como el Decreto 201/1995, de 26 de diciembre, por el que se aprueba el Reglamento General de Ingreso del Personal al Servicio de la Administración de la Comunidad Autónoma de Extremadura. Las convocatorias específicas se publicarán en el Diario Oficial de Extremadura y en los boletines oficiales de ambas provincias, además de un extracto de las mismas en el Boletín Oficial del Estado.
b) Realización de los trámites y aprobación de todos los actos materiales y jurídicos integrantes del procedimiento selectivo indicado, conforme a las bases específicas de la convocatoria y resto de normativa aplicables, entre los que se incluyen: publicación en el Diario Oficial de Extremadura de la convocatoria específica unificada y sus bases, recepción de solicitudes de las personas aspirantes y gestión de las solicitudes de participación, así como de la comprobación de la documentación acreditativa; cobro de tasas, que se corresponderán con las establecidas por la Administración Pública de la Comunidad Autónoma de Extremadura para el mismo grupo de titulación, ingresándolas en su Hacienda Pública; resoluciones de aprobación de listas de personas admitidas y excluidas, tanto provisionales, como definitivas y resolución de incidencias; notificaciones y publicaciones de los actos administrativos y resoluciones relacionadas con el proceso selectivo en los tablones de anuncios y portal web de la Academia de Seguridad Pública de Extremadura; nombramiento de los componentes del tribunal, así como de los asesores especialistas del mismo en el desarrollo de las pruebas teóricas, físicas, psicotécnicas y médicas, así como su gestión; tramitación de la propuesta de aprobados del tribunal para su nombramiento como personal funcionario en prácticas por cada Ayuntamiento, de acuerdo a la puntuación y preferencia ordenada de las personas solicitantes; apoyo al tribunal para la realización de las diferentes pruebas; tramitación y abono de las dietas que le correspondan a las personas componentes del tribunal, asesoras y de apoyo; las demás que resulten precisas y necesarias para el normal funcionamiento del proceso selectivo, incluida la resolución de las reclamaciones y recursos administrativos que se presenten, así como la remisión del expediente y defensa ante la jurisdicción contencioso-administrativa, cuando sea interpuesto recurso ante esta.
Cuarta. Compromisos del Ayuntamiento.
El Ayuntamiento se compromete a:
a) Delegar en la Administración Pública de la Comunidad Autónoma de Extremadura, mediante acuerdo del Pleno que se adjunta al presente, las competencias descritas en el apartado primero de la cláusula anterior para la selección, por oposición libre, del empleo de policía local (Escala de Administración Especial, subescala de Servicios Especiales, Clase de Policía Local, Escala Básica, Grupo C, Subgrupo C1), conforme con las vacantes de su plantilla de policía local que figuren en la Oferta de Empleo Público, ejercitándose dichas competencias delegadas a través de la Secretaria General de Interior, Emergencias y Protección Civil, adscrita a la Consejería competente en materia de coordinación de policía Local. Tal delegación debe incluir, en todo caso, la resolución de los recursos administrativos que puedan interponerse contra los actos administrativos dictados en el ejercicio de las competencias delegadas y comprenderá únicamente las plazas de oposición libre objeto de cobertura a través del proceso unificado.
b) Publicar en el Boletín Oficial de la Provincia que corresponda el Acuerdo del Pleno aprobatorio de dicha delegación, así como el presente convenio tras su firma.
c) Aprobar su Oferta de Empleo Público anualmente y comunicar fehacientemente a la Secretaria General de Interior, Emergencias y Protección Civil, en todo caso, como fecha límite antes del fin del mes de enero de cada año, las plazas vacantes en el empleo de Policía Local objeto de delegación, utilizando para ello el modelo de Anexo II aprobado en el Convenio de Colaboración entre la Consejería de Agricultura, Desarrollo Rural, Población y Territorio, y la Federación de Municipios y Provincias de Extremadura por el que se implementa la figura del Tribunal Único en los procesos de selección para la cobertura de plazas en las plantillas de Policía Local de Extremadura.
La duración de la delegación de competencias se mantendrá, en todo caso, mientras se desarrolle el proceso selectivo para el que se efectuó dicha comunicación estando vigente el presente convenio. Si el Ayuntamiento, mediante acuerdo del Pleno, revoca dicha delegación, deberá comunicarla fehacientemente a la Secretaría General de Interior, Emergencias y Protección Civil y publicarla en el Boletín Oficial de la Provincia. Los efectos del acuerdo de revocación de la delegación de competencias habrán de producirse tras la finalización del proceso selectivo anual convocado al amparo de la misma, es decir, hasta el nombramiento de las personas aspirantes propuestas por el Tribunal como personal funcionario de carrera, en su caso.
d) A participar, cuando así se acuerde en la Comisión de Seguimiento, con la cesión gratuita de sus espacios y locales, en la celebración de las pruebas selectivas.
e) A nombrar personal funcionario en prácticas de su plantilla de Policía Local a la/as persona/as propuestas por el Tribunal a la finalización de la fase de oposición, así como a nombrar personal funcionario de carrera de su plantilla de Policía Local a las personas que, habiendo superado la totalidad del proceso selectivo, sean propuestos para cubrir las plazas de policía local, conforme prevengan las bases de la convocatoria anual unificada.
Quinta. Compromiso económico.
El presente convenio carece de obligaciones y compromisos económicos o de aportaciones financieras para las partes firmantes. Las tasas recaudadas por los derechos de examen de las personas que se presenten a las pruebas selectivas serán las previstas por la Administración de la Comunidad Autónoma de Extremadura para las pruebas de selección de su personal funcionario de idéntico Grupo y Categoría, así como su régimen de exenciones, integrándose en su Hacienda Pública, conforme a lo dispuesto en la Orden por la que se apruebe cada convocatoria específica.
Los gastos generados por el desarrollo de los correspondientes procesos de selección en ejecución del presente convenio serán asumidos por la Junta de Extremadura, a través de la Consejería competente en materia de coordinación policía local, conforme a lo dispuesto en la Orden por la que se apruebe cada convocatoria específica.
Sexta. Publicidad.
El presente convenio estará sujeto al régimen de publicidad exigido por el artículo 10 de la Ley 4/2013, de 21 de mayo, de Gobierno Abierto de Extremadura (BOE núm. 136, de 7 de junio).
Séptima. Comisión Mixta.
Para todo lo relativo a la coordinación, control, modificación, seguimiento y evaluación de los procesos de selección derivados del presente convenio, así como para velar por el desarrollo y cumplimiento del mismo y, en su caso, poder resolver las dudas y posibles discrepancias que surjan en su interpretación, se constituirá la Comisión Mixta prevista en la Cláusula Sexta del Convenio de Colaboración entre la Consejería de Agricultura, Desarrollo Rural, Población y Territorio, y la Federación de Municipios y Provincias de Extremadura por el que se implementa la figura del Tribunal Único en los procesos de selección para la cobertura de plazas en las plantillas de Policía Local de Extremadura, con la composición y régimen de funcionamiento que se prevén en el mismo.
La Comisión de Seguimiento anualmente informará a la persona titular de la Alcaldía del Ayuntamiento de toda la información relativa al proceso de selección del año anterior, con evaluación del procedimiento, resultados y mejoras que han de considerarse en la siguiente convocatoria, proponiéndose, llegado el caso, la modificación mediante adenda de aquellos contenidos del convenio que puedan precisar ser mejorados para su mejor eficiencia y eficacia.
Octava. Vigencia y prórroga.
El presente convenio de colaboración tendrá efectos desde la firma por todos los intervinientes y una vigencia de cuatro años. Una vez firmado el convenio, y recibida la comunicación de plazas conforme al modelo referenciado anteriormente, surtirá efectos en la preparación de la convocatoria siguiente cuando ya se hubiera iniciado un proceso a través de la correspondiente convocatoria por la Consejería competente en materia de coordinación de Policía Local.
En cualquier momento anterior al de la finalización del plazo de duración inicial previsto anteriormente, los firmantes del convenio podrán acordar unánimemente su prórroga mediante adenda por un período de hasta cuatro años adicionales o su extinción.
La finalización de su vigencia o de su prórroga no conlleva el cese de los efectos de la delegación efectuada por el Ayuntamiento firmante hasta la finalización del proceso selectivo en curso.
Novena. Régimen de modificación.
Las partes podrán introducir modificaciones puntuales en el convenio durante su plazo de eficacia, a través de adendas de modificación, sin que puedan alterar sustancialmente el proceso selectivo convocado y en curso, en el momento de aprobarse.
Décima. Causas de resolución.
El presente convenio se resolverá por las siguientes causas:
a) El transcurso del plazo de vigencia del convenio sin haberse acordado la prórroga del mismo.
b) El acuerdo unánime de los firmantes.
c) El incumplimiento de las obligaciones y compromisos asumidos por parte de alguno de los firmantes.
En este caso, cualquiera de las partes podrá notificar a la parte incumplidora un requerimiento para que cumpla en un determinado plazo con las obligaciones o compromisos que se consideran incumplidos. Este requerimiento será comunicado al responsable del mecanismo de seguimiento, vigilancia y control de la ejecución del convenio y a la otra parte firmante. Si trascurrido el plazo indicado en el requerimiento persistiera el incumplimiento, la parte que lo dirigió notificará a la otra parte firmante la concurrencia de la causa de resolución y se entenderá resuelto el convenio.
El cumplimiento y la resolución del convenio darán lugar a su liquidación, para lo cual deberá suscribirse por ambas partes la correspondiente acta de liquidación, en la que se recojan los resultados de la ejecución del convenio y las posibles obligaciones y compromisos de las partes. Puesto que, de acuerdo con lo dispuesto en la Cláusula Quinta el presente convenio no conlleva aportaciones financieras, no será de aplicación el régimen previsto en el artículo 52.2 de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público.
Undécima. Protección de datos de carácter personal.
Las partes se comprometen, asimismo, al cumplimiento de las obligaciones derivadas de la normativa de protección de datos y, en particular, las contenidas en el compromiso de cumplimiento de las cláusulas relativas a seguridad de la información y protección de datos personales, que se incorpora como Anexo A al presente convenio y deberá ser suscrito por el ayuntamiento firmante del presente convenio.
Decimosegunda. Garantías.
Como garantía del adecuado funcionamiento del convenio, la Comisión de Seguimiento prevista en la Cláusula Séptima, al tomar conocimiento del contenido de la convocatoria unificada que se va a efectuar el año en curso, verificará que se han cumplido las previsiones de este convenio para cada Ayuntamiento firmante del mismo, en particular, respecto de la comunicación dentro de plazo de la oferta de empleo público y número de vacantes que han de incorporase a la convocatoria unificada anual.
La detección del incumplimiento de las cuestiones anteriores, conllevará que las vacantes que dicho municipio pretenda se incorporen a la convocatoria unificada queden en suspenso, salvo que se proceda a la subsanación, siempre antes de la aprobación por la Consejería competente en materia de coordinación policía local de la correspondiente convocatoria.
Decimotercera. Régimen jurídico.
El presente convenio de colaboración tiene naturaleza administrativa, no contractual, y en lo no dispuesto en el mismo se estará a lo previsto en el Capítulo VI del Título Preliminar de la Ley 40/2015, de 1 de octubre, de Régimen Jurídico del Sector Público. Las partes se comprometen a resolver de manera amistosa en el seno de la Comisión de Seguimiento prevista en la Cláusula Séptima las discrepancias que pudieran surgir sobre la interpretación, desarrollo, modificación, resolución y efectos que pudieran derivarse de la aplicación del presente convenio.
Decimocuarta. Jurisdicción.
La resolución de las controversias que pudieran plantearse sobre la interpretación, aplicación, modificación, resolución y efectos del presente convenio deberán de solventarse de mutuo acuerdo entre las partes, a través de los acuerdos que se adopten en la Comisión Mixta prevista en el mismo.
Agotada dicha vía y para el supuesto de que las referidas controversias no hubieran podido ser solucionadas, el conocimiento de las cuestiones litigiosas competerá a los órganos jurisdiccionales contencioso-administrativos, de conformidad con la Ley 29/1998, de 13 de julio, reguladora de la Jurisdicción Contencioso-administrativa, en su redacción actual.
Y para que así conste, y en prueba de conformidad y comprometiéndose a cumplir todas y cada una de sus partes, se firma electrónicamente este documento.
Por el Ayuntamiento de Siruela,
José Luis Camacho Mora
El Consejero de Presidencia, Interior y Diálogo Social
DOE núm. 194, de 9 de octubre),
David González Gil
ANEXO A
COMPROMISO DE CUMPLIMIENTO DE LAS CLÁUSULAS RELATIVAS A SEGURIDAD DE LA INFORMACIÓN Y PROTECCIÓN DE DATOS PERSONALES
Primero. Requisitos de seguridad de la información en los equipos informáticos.
La Consejería de Presidencia. Interior y Diálogo Social es la Responsable del tratamiento con las funciones, derechos y obligaciones que le son propias (en adelante Responsable).
El Ayuntamiento de Siruela como firmante del convenio y en la medida que acceda a datos de carácter personal que resulten necesarios para el cumplimiento del mismo, por cuenta del responsable del tratamiento, asume las responsabilidad establecidas en el Reglamento (UE) 2016/679, en la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de derechos digitales, y en sus normas de desarrollo, en su condición de Encargado del tratamiento (en adelante Encargado) (artículo 28 del RGPD).
Los equipos informáticos utilizados por el personal del encargado, y que serán proporcionados por ésta para el cumplimiento del objeto del convenio, deben estar actualizados y optimizados a las actividades del perfil correspondiente para la satisfacción del citado convenio.
Estos equipos informáticos estarán sometidos a las políticas y normativas establecidas en la Junta de Extremadura, por parte de la Secretaria General de Transformación Digital y Ciberseguridad y la Consejería de Presidencia, Interior y Diálogo Social, según corresponda.
Las licencias de software necesarias para la realización del convenio, serán propiedad del encargado, no permitiéndose la instalación de licencias nominales, propiedad de la Junta de Extremadura, en los equipos propiedad del encargado del tratamiento.
Por tanto, deben cumplirse las siguientes condiciones en los equipos informáticos aportados por el encargado del tratamiento.
— Sistema operativo: El Sistema Operativo tiene que estar licenciado y actualizado con los parches de seguridad. El sistema operativo será el necesario para poder realizar los trabajos que constituyen el objeto del convenio.
— Sistema de protección antivirus: el encargado debe proporcionar su propio software antivirus y debe mantenerse actualizado.
— Soporte y actualización de los equipos informáticos: será llevado a cabo por parte del encargado.
Cuando los equipos informáticos estén conectados a la red corporativa de la Junta de Extremadura:
— Dichos equipos contarán con las mismas medidas de seguridad establecidas para el resto de equipos de la Junta de Extremadura.
— Los equipos serán inventariados en el inventario de la Junta de Extremadura.
— Los usuarios no tendrán permisos de administrador en dichos equipos, salvo excepciones debidamente justificadas y registradas por parte de la Secretaria General de Transformación Digital y Ciberseguridad y autorizadas por el Responsable de Seguridad de la Información del Organismo Pagador.
— La Junta de Extremadura puede requerir la instalación de software en los equipos del encargado, como por ejemplo OCS Inventory.
Segundo. Confidencialidad de la información.
El encargado del tratamiento vendrá obligado a guardar la más estricta confidencialidad sobre el contenido del convenio, así como sobre los datos o información a la que pueda tener acceso como consecuencia de la ejecución del mismo, y a usar dicha información a los exclusivos fines de la ejecución del convenio y conforme a la Política de Seguridad del responsable en los términos en que resulte aplicable. Esta obligación se mantendrá incluso después de la finalización del convenio.
El deber de confidencialidad sobre la información del responsable será extensible a todo el personal del encargado o colaborador que participe en la ejecución del convenio.
Todo el personal del encargado protegerá, en la medida de sus posibilidades, la información propiedad del responsable y los sistemas de información a los que tenga acceso con el fin de evitar revelación, alteración o uso indebido de la información.
El acceso y posesión de información del responsable por parte del encargado es estrictamente temporal y vinculado a la ejecución del convenio, sin que ello confiera derecho alguno de posesión, de titularidad de copia o de transmisión sobre dicha información.
El encargado, una vez finalizadas las tareas que han originado el acceso a la información, deberá devolver los soportes y documentación que pudiera habérsele facilitado.
El encargado no puede transmitir, enviar, compartir o poner a disposición de otras entidades información propiedad del responsable, a no ser que de manera previa haya sido expresamente autorizado para hacerlo, independientemente del medio o formato de la información y de su contenido.
Tercero. Datos de carácter personal.
A) Base normativa.
Las partes que suscriben el convenio quedan obligadas al cumplimiento del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos) (En adelante RGPD) y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, así como su normativa de desarrollo.
B) Obligaciones derivadas del convenio.
B.1) Obligaciones derivadas del convenio.
El Encargado y todo el personal bajo su control se obliga a:
a) Utilizar los datos personales objeto de tratamiento, o los que recoja para su inclusión, sólo para la finalidad objeto del convenio En ningún caso podrá utilizar los datos para fines propios.
b) Tratar los datos de acuerdo con las instrucciones documentadas del Responsable. Inclusive con respecto a las transferencias internacionales de datos, si el Encargado debe transferir datos personales a un tercer país o a una organización internacional, en virtud del Derecho de la Unión o de los Estados miembros que le sea aplicable, informará al Responsable de esa exigencia legal de manera previa, salvo que tal Derecho lo prohíba por razones importantes de interés público.
c) Llevar, por escrito, salvo que pueda acogerse a alguna de las excepciones del artículo 30.5 del RGPD, un registro de todas las categorías de actividades de tratamiento efectuadas por cuenta del Responsable, que contenga, conforme al artículo 30.2 del RGPD:
1. El nombre y los datos de contacto del Encargado y de cada responsable por cuenta del cual actúe el Encargado.
2. Las categorías de tratamientos efectuados por cuenta de cada responsable.
3. Una descripción general de las medidas técnicas y organizativas de seguridad apropiadas que esté aplicando al tratamiento de los datos.
d) No comunicar los datos a terceras personas, salvo que cuente con la autorización expresa del Responsable, en los supuestos legalmente admisibles.
e) Mantener el deber de secreto respecto a los datos de carácter personal a los que haya tenido acceso en virtud del presente convenio, incluso después de que finalice el mismo.
f) Garantizar que las personas autorizadas para tratar datos personales se comprometan de forma expresa y por escrito, a respetar la confidencialidad y a cumplir las medidas de seguridad correspondientes, de las que el encargado les informará convenientemente. El Encargado mantendrá a disposición del Responsable la documentación acreditativa del cumplimiento de esta obligación.
g) Garantizar la formación necesaria en materia de protección de datos personales de las personas autorizadas para tratar datos personales.
h) Cuando las personas afectadas ejerzan los derechos de acceso, rectificación, supresión y oposición, limitación del tratamiento y portabilidad de datos ante el Encargado, éste debe comunicarlo por correo electrónico a la dirección que indique el Responsable. La comunicación debe hacerse de forma inmediata y en ningún caso más allá del día laborable siguiente al de la recepción de la solicitud, juntamente, en su caso, con otras informaciones que puedan ser relevantes para resolver la solicitud.
i) Notificación de violaciones de la seguridad de los datos. El encargado notificará al Responsable, sin dilación indebida y a través de la dirección de correo electrónico que le indique el Responsable, las violaciones de la seguridad de los datos personales a su cargo de las que tenga conocimiento, juntamente con toda la información relevante para la documentación y comunicación de la incidencia. Se facilitará, como mínimo, la información siguiente.
— Descripción de la naturaleza de la violación de la seguridad de los datos personales, inclusive, cuando sea posible, las categorías y el número aproximado de interesados afectados, y las categorías y el número aproximado de registros de datos personales afectados.
— Datos de la persona de contacto del Encargado para obtener más información.
— Descripción de las posibles consecuencias de la violación de la seguridad de los datos personales.
— Descripción de las medidas adoptadas o propuestas para poner remedio a la violación de la seguridad de los datos personales, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos. Si no es posible facilitar la información simultáneamente, y en la medida en que no lo sea, la información se facilitará de manera gradual sin dilación indebida.
j) El Encargado asistirá al Responsable con toda la información de la que disponga, a realizar la comunicación de las violaciones de la seguridad a los interesados, cuando sea probable que dicha violación suponga un alto riesgo para sus derechos y libertades.
k) El Encargado, a petición del Responsable, comunicará en el menor tiempo posible, con toda la información de la que disponga, la violación de la seguridad de los datos a los interesados, cuando sea probable que la violación suponga un alto riesgo para los derechos y las libertades de las personas físicas. La comunicación debe realizarse en un lenguaje claro y sencillo y deberá incluir los elementos que en cada caso señale el Responsable y, como mínimo:
— La naturaleza de la violación de datos.
— Indicación de contacto del Responsable o del Encargado donde se pueda obtener más información.
— Posibles consecuencias de la violación de la seguridad de los datos personales.
— Medidas adoptadas o propuestas por el Responsable para poner remedio a la violación de la seguridad, incluyendo, si procede, las medidas adoptadas para mitigar los posibles efectos negativos.
l) Poner a disposición del Responsable toda la información necesaria para demostrar el cumplimiento de sus obligaciones, así como para la realización de las auditorías o las inspecciones que realicen el Responsable u otro auditor autorizado por él.
m) Implantar las medidas de seguridad técnicas y organizativas necesarias para garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento. Las medidas de seguridad mínimas se recogen en el apartado Medidas de seguridad mínimas a aplicar por el Encargado.
B.2) Obligaciones del responsable.
Corresponde al Responsable:
— Proporcionar al Encargado los datos necesarios para que pueda cumplir el convenio.
— Velar, de forma previa y durante todo el tratamiento, por el cumplimiento del RGPD por parte del Encargado y de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
— Supervisar el tratamiento, incluida la realización de inspecciones y auditorías.
C) Medidas de seguridad mínimas a aplicar por el encargado.
C.1) Ámbito de aplicación.
Los ámbitos de aplicación de estas medidas serán:
— Los recursos bajo el control del Encargado (como sistemas informáticos y/o de archivo, centros de trabajo y trabajadores) y que éste destine al tratamiento de los datos.
— Los recursos bajo el control del Responsable cuanto éste haya encomendado al Encargado la seguridad de los mismos.
— Los sistemas de información que el Encargado desarrolle o implante por cuenta del Responsable.
C.2) Medidas organizativas.
Todo el personal al que el Encargado proporcione acceso a los datos personales deberá ser informado de las siguientes medidas organizativas:
1. Deber de confidencialidad y secreto, este deber persiste incluso cuando finalice la relación laboral o de prestación de servicios.
2. Se deberá evitar el acceso de personas no autorizadas a los datos personales, a tal fin se evitará: dejar los datos personales expuestos a terceros (pantallas electrónicas desatendidas, documentos en papel en zonas de acceso público, soportes con datos personales, etc.), esta consideración incluye las pantallas que se utilicen para la visualización de imágenes del sistema de videovigilancia si lo hubiera. Cuando la persona se ausente del puesto de trabajo, procederá al bloqueo de la pantalla o al cierre de la sesión.
3. Los documentos en papel y soportes electrónicos se almacenarán en lugar seguro (armarios o estancias de acceso restringido) durante las 24 horas del día, y serán custodiados cuando, con motivo de su tramitación, se encuentren fuera de los dispositivos o salas de archivo.
4. No se desecharán documentos (papel) o soportes electrónicos (cd, pendrives, discos duros, etc.) con datos personales sin garantizar su destrucción, de forma que la información no sea recuperable.
5. No se comunicarán datos personales o cualquier información personal a terceros, prestando atención especial en no divulgar datos personales protegidos durante las consultas telefónicas, correos electrónicos, etc.
6. Derechos de los titulares de los datos. Se informará a todo el personal del Encargado acerca del procedimiento, si procede, para atender los derechos de los interesados, definiendo de forma clara los mecanismos por los que pueden ejercerse los mismos y teniendo en cuenta lo siguiente:
6.1. Los interesados podrán ejercer, en los términos establecidos por la legislación vigente, los derechos de acceso, rectificación y supresión de datos, así como solicitar que se limite el tratamiento de sus datos personales, oponerse al mismo, o solicitar la portabilidad de sus datos dirigiendo una comunicación por escrito al Responsable, a través de direcciones especificadas.
6.2. Asimismo, podrán ponerse en contacto con los respectivos delegados de protección de datos en la dirección dpd@juntaex.es, o presentar una reclamación ante la Agencia Española de Protección de Datos u otra autoridad competente.
6.3. La obligación de atender estos derechos corresponde al Responsable.
6.4. Si la petición la recibe el Encargado, en relación a los tratamientos por cuenta del Responsable, éste tiene la obligación de comunicarle dicha solicitud en un periodo inferior a 24 horas, acompañándola de la información pertinente de la que disponga.
6.5. El Responsable identificará las acciones que deben realizarse en base a la petición de los interesados, que serán comunicadas al Encargado.
a. Para el derecho de acceso se procederá a facilitar al Responsable los datos de los interesados que obren en su poder.
b. Para el derecho de rectificación se procederá a modificar los datos de los interesados que fueran inexactos o incompletos atendiendo a los fines del tratamiento.
c. Para el derecho de supresión se suprimirán los datos de los interesados cuando estos manifiesten su negativa u oposición para el tratamiento de los mismos y no exista base legal que lo impida.
6.6. Violaciones de seguridad de datos de carácter personal. Cuando se produzcan violaciones de seguridad de datos de carácter personal, como, por ejemplo, el robo o acceso indebido a los mismos se notificará al Responsable de forma inmediata acerca de tal circunstancia, incluyendo toda la información necesaria para el esclarecimiento de los hechos. Asimismo, se apoyará al Responsable para realizar la notificación de la violación de la seguridad a la Agencia Española de Protección de Datos teniendo en cuenta la información a disposición del Encargado.
6.7. El ejercicio de derechos requerirá la previa presentación por parte del interesado de copia de su DNI o documento identificativo.
6.8. No obstante el Encargado tiene la obligación de informar a cualquier interesado de las siguientes circunstancias:
a) Lista de tipologías de datos personales tratados.
b) Finalidad para la que han sido recogidos.
c) Identidad de los destinatarios de los datos.
d) Plazo de conservación de los datos.
e) Identidad del Responsable ante el que pueden solicitar la rectificación, supresión y oposición al tratamiento.
f) Datos de contacto del Delegado de Protección de Datos.
C.3) Medidas de seguridad técnicas para la identificación.
El Encargado implantará como mínimo las siguientes medidas técnicas para garantizar la identificación y autenticación de los usuarios con acceso a los datos:
1. No se permitirá el uso para fines particulares de aquellos ordenadores y dispositivos destinados al tratamiento de los datos personales.
2. Se recomienda disponer de perfiles con derechos de administración para la instalación y configuración del sistema y usuarios sin privilegios o derechos de administración para el acceso a los datos personales. Esta medida evitará que en caso de ataque de ciberseguridad puedan obtenerse privilegios de acceso o modificar el sistema operativo.
3. Se garantizará la existencia de contraseñas (o mecanismos equivalentes) para el acceso a los datos personales almacenados en sistemas electrónicos. La contraseña tendrá los menos 8 caracteres, mezcla de números y letras, caracteres especiales, etc. y se renovarán periódicamente.
4. Cuando a los datos personales accedan distintas personas, para cada una de ellas, se dispondrá de un usuario y contraseña específicos (identificación inequívoca).
5. Se debe garantizar la confidencialidad de las contraseñas, evitando que queden expuestas a terceros. En ningún caso se compartirán las contraseñas ni se dejarán anotadas en lugar común y el acceso de personas distintas del usuario.
C.4) Medidas de seguridad técnicas para salvaguardar los datos.
A continuación, se exponen las medidas técnicas mínimas para garantizar la salvaguarda de los datos personales:
1. Actualización de ordenadores y dispositivos. Los dispositivos y ordenadores utilizados para el almacenamiento y el tratamiento de los datos personales deberán mantenerse actualizados.
2. Malware. En los ordenadores y dispositivos donde se realice el tratamiento de los datos personales se dispondrá de un sistema de antivirus que garantice en la medida de lo posible el robo y destrucción de la información y tales datos personales. El sistema de antivirus deberá estar actualizado permanentemente y gestionado de forma central.
3. Cortafuegos. Para evitar accesos remotos indebidos a los datos personales se velará para garantizar la existencia de un cortafuego activado en aquellos sistemas en los que se realice el almacenamiento y/o tratamiento de los mismos.
4. Cifrado de datos. Cuando se precise utilizar datos personales fuera del recinto donde se realiza su tratamiento, ya sea por medios físicos o por medios electrónicos, se deberá valorar la posibilidad de utilizar un método de cifrado para garantizar su confidencialidad.
5. Copia de seguridad. Periódicamente se realizará una copia de seguridad en un segundo soporte distinto del que se utiliza para el trabajo diario. La copia se almacenará en un lugar seguro, distinto de aquél en que esté ubicado el equipo con los ficheros originales, con el fin de permitir la recuperación de los datos personales en caso de pérdida de la información.
C.5) Verificación, evaluación y valoración periódica de las medidas de seguridad.
El Encargado implantará un procedimiento periódico que le permita verificar, evaluar y valorar, la eficacia de las medidas técnicas y organizativas implantadas en los sistemas de tratamiento, centros de trabajo y usuarios bajo su control.
De ese procedimiento periódico se derivarán la implantación de mecanismos adicionales para:
— Garantizar la confidencialidad, integridad, disponibilidad y resilencia permanentes de los sistemas y servicios de tratamiento.
— Restaurar la disponibilidad y el acceso a los datos personales de forma rápida, en caso de incidente físico o técnico.
— Seudonimizar y cifrar los datos personales, en su caso.
Las medidas de seguridad abarcarán la protección de los sistemas de información así como de los sistemas de tratamiento manual y el archivo de la documentación.
La revisión podrá realizarse por mecanismos automáticos (software o programas informáticos) o de forma manual.
C.6) Medidas de seguridad.
El Encargado dispondrá en todo momento de información actualizada sobre las medidas de seguridad aplicadas y deberá proporcionarlas al Responsable cuando éste las solicite y en todo caso siempre que haya cambios relevantes en su arquitectura de seguridad de la información.
D) Propiedad industrial e intelectual.
Sin perjuicio de lo dispuesto en la legislación vigente, el encargado del tratamiento acepta expresamente que la propiedad de la documentación y los trabajos realizados al amparo del presente convenio, y durante el período de garantía y mantenimiento, corresponde únicamente a la Junta de Extremadura, con exclusividad y sin más limitaciones que las impuestas por el ordenamiento jurídico.
Sin perjuicio de lo dispuesto por la legislación vigente en materia de propiedad intelectual y de protección jurídica de los programas de ordenador, el encargado acepta expresamente que los derechos de explotación y la propiedad del código fuente de las aplicaciones desarrolladas al amparo del presente convenio corresponden únicamente a la Junta de Extremadura, con exclusividad y a todos los efectos.
El encargado del tratamiento acepta expresamente que los derechos de propiedad sobre los soportes materiales a los que se incorporen los trabajos realizados, en cumplimiento de las obligaciones derivadas del convenio, corresponden a la Junta de Extremadura.
El encargado del tratamiento exonerará a la Junta de Extremadura de cualquier tipo de responsabilidad frente a terceros por reclamaciones de cualquier índole dimanante de los suministros, materiales, procedimientos y medios utilizados para la ejecución del convenio procedente de los titulares de derechos de propiedad industrial e intelectual sobre ellos.
Si fuera necesario, el encargado del tratamiento estará obligado, antes de la firma del convenio, a obtener las licencias y autorizaciones precisas que le legitimen para la ejecución del mismo.
En caso de acciones dirigidas contra la Junta de Extremadura por terceros titulares de derechos sobre los medios utilizados por el encargado del tratamiento para la ejecución del convenio, éste responderá ante la Junta de Extremadura del resultado de dichas acciones, estando obligado, además, a prestarle su plena ayuda en el ejercicio de las acciones que competan a la Junta de Extremadura.
El encargado del tratamiento no podrá hacer uso del nombre, marca o logotipo que le haya facilitado la Junta de Extremadura para el cumplimiento de sus obligaciones dimanantes del presente convenio, fuera de las circunstancias y para los fines expresamente pactados en éste, ni una vez terminada la vigencia del mismo.
E) Devolución de activos.
Para el supuesto de que el cumplimiento del convenio conlleve la entrega de activos, el Encargado del tratamiento se compromete a la devolución de todos los activos de que haya dispuesto para el cumplimiento del mismo, ya sean software, documentación corporativa, equipos y/o recursos materiales. Así mismo, si el personal del encargado dispone de permisos de acceso a instalaciones o sistemas, estos deben ser devueltos o comunicados para su anulación en el momento de finalización del convenio, respondiendo de su uso una vez finalizado.
El encargado del tratamiento se compromete a entregar a la Junta de Extremadura toda la información y documentación resultante de los trabajos objeto del presente convenio, viniendo obligado, además, a no mantener documentación o almacenar información en locales o equipos ajenos o no autorizados por la Junta de Extremadura, durante o una vez finalizado el plazo de ejecución del convenio.
En los casos en que la Junta de Extremadura lo estime necesario podrá exigir al encargado del tratamiento certificaciones de destrucción de documentos o eliminación de información de los equipos empleados para la realización de objeto del convenio, asimismo, podrá realizar revisiones de las instalaciones y procedimientos empleados por el encargado del tratamiento.
Sin perjuicio de lo dispuesto en la legislación vigente, el incumplimiento de estos compromisos y las consecuencias derivadas de ello serán responsabilidad exclusiva del encargado del tratamiento, que responderá frente a terceros y frente a la Administración de la Junta de Extremadura de los daños y perjuicios que pudieran generarse.
F) Auditoría.
La Junta de Extremadura podrá exigir al encargado del tratamiento cualquier evidencia de cumplimiento con la legislación aplicable, conforme a lo marcado en los acuerdos firmados por ambas partes, así como con los requisitos de seguridad impuestos por parte de la Junta de Extremadura. Para ello la Junta de Extremadura se reserva el ejercicio de los siguientes derechos:
— Revisar o auditar los mecanismos de salvaguarda de la Seguridad de la Información que tenga implementados el encargado del tratamiento y que estén relacionados o implicados con los sistemas utilizados en el convenio.
— Revisar o auditar el cumplimiento por parte del encargado del tratamiento con la legislación aplicable.
— Requerir al encargado del tratamiento los documentos derivados de los procesos de auditoría llevados a cabo por éste, así como cualquier otra evidencia sobre el cumplimiento con el marco legal aplicable y con los requisitos impuestos en el convenio.
— Solicitar la implementación de cualquier mecanismo organizativo, técnico o jurídico que considere adecuado para garantizar la Seguridad de la Información.
Para facilitar el ejercicio de los anteriores derechos por parte de la Junta de Extremadura, el encargado del tratamiento se compromete a facilitar y participar activamente en el desarrollo de las actividades anteriormente descritas.
G) Cumplimiento con la política de seguridad de la información de la consejería de presidencia, interior y diálogo social.
El Responsable del tratamiento dispone de una Política de Seguridad de la Información, así como de un Marco Normativo para su desarrollo, los cuales establecen los controles de seguridad que se deben aplicar con objeto de garantizar la confidencialidad, disponibilidad, integridad, autenticidad y trazabilidad de la información. Es obligación del encargado del tratamiento el conocimiento, cumplimiento e implantación de aquellas medidas de seguridad establecidas en el Marco Normativo que, con base en la naturaleza de los servicios prestados, sea de aplicación. El responsable se reserva el derecho de exigir al encargado la aplicación de las medidas de seguridad adicionales cuando los requisitos de seguridad de la información aplicables al servicio así lo requieran.
El encargado del tratamiento deberá concienciar y formar a su personal en materia de seguridad de la información, y en particular aquellos aspectos de la Política de Seguridad de la Consejería de Presidencia, Interior y Diálogo Social y su Marco Normativo de desarrollo que sean de aplicación en base a la naturaleza de los servicios prestados.
Los trabajadores del encargado, por su parte, deben tener siempre presentes durante el desempeño de sus funciones los principios de la ética, la profesionalidad, la confidencialidad y la responsabilidad.
De forma general, todo el personal del encargado que acceda a información de la Consejería de Presidencia, Interior y Diálogo Social, deberá cumplir con las siguientes normas:
— Acceder exclusivamente a los sistemas de información mediante el acceso y los medios autorizados.
— Proteger la confidencialidad de la información de toda revelación no autorizada.
— Proteger la integridad de la información del responsable del tratamiento a la que tenga acceso.
— Proteger la información y los sistemas de información de cualquier alteración no autorizada.
— Todos los empleados del encargado deben hacerse responsables de la custodia personal de las credenciales que tienen asignadas para el acceso a los recursos de los sistemas de información del responsable. Estas credenciales nunca pueden ser facilitadas a terceras personas, sean o no empleados del encargado, y los propietarios de las mismas deben ser únicos responsables del uso que se haga de ellas.
Además, el encargado debe poner en marcha medidas de control para garantizar la supervisión de las actuaciones para sus trabajadores.
H) Prestación de los servicios en las instalaciones de la consejería de presidencia, interior y diálogo social.
El personal del encargado del tratamiento que desempeñe sus funciones en las instalaciones del responsable, deberá conocer y cumplir las medidas de seguridad establecidas en el Manual de responsabilidades de Seguridad de la Información para usuarios . Es responsabilidad del encargado del tratamiento la distribución, cuando sea necesario, de este manual entre sus trabajadores.
I) Transmisión de información por parte del encargado a otras entidades.
El encargado del tratamiento no puede transmitir, enviar, compartir o poner a disposición de otras entidades información propiedad del responsable, a no ser que de manera previa haya sido expresamente autorizado para hacerlo, independientemente del medio o formato de la información y de su contenido. En el caso de existir dicha autorización se deberá velar por el cumplimiento de las siguientes normas:
— Deben extenderse al receptor de la información todas las obligaciones del encargado del tratamiento en materia de Seguridad de la Información impuestas por el responsable.
— El encargado del tratamiento será responsable del uso y protección de la información del responsable que le haya sido proporcionada, así como de los perjuicios ocasionados al responsable en los casos en los que la seguridad de la información hubiera sido comprometida.
— Se podrá transmitir única y exclusivamente la información estrictamente necesaria para que el encargado del tratamiento autorizado pueda llevar a cabo su cometido.
— La información sólo podrá ser transmitida a los destinatarios autorizados, que han de estar unívocamente identificados, y por medios que garanticen la identidad del destinatario.
— En la transmisión de la información se deben aplicar mecanismos que imposibiliten el acceso a ella por parte de otras entidades no autorizadas. Igualmente en el almacenamiento de la información en dispositivos portátiles o extraíbles se deben aplicar mecanismos que imposibiliten dichos accesos.
J) Protección del equipamiento informático.
En todo aquel equipamiento informático propiedad del encargado en el cual se almacene, procese o desde el que se acceda a información del responsable, el encargado deberá aplicar las medidas de seguridad necesarias para garantizar la confidencialidad, integridad y disponibilidad de dicha información. Al menos, el encargado debe aplicar las siguientes medidas de seguridad:
— Protección contra código malicioso: todos los equipos deben contar con programas antivirus y de protección ante software malicioso (malware) actualizados de forma automática y permanente.
— Control de acceso: todos los equipos deben disponer de medidas que aseguren el acceso sólo por parte del personal autorizado.
— Bloqueo de terminales: no deben dejarse los terminales desatendidos sin antes haber bloqueado la sesión de usuario con el fin de evitar accesos no autorizados. El bloqueo automático tras un periodo de inactividad también debe estar activado.
— Actualización de sistemas: todo el equipamiento informático debe estar al día con las últimas actualizaciones y parches de seguridad disponibles.
— Salvaguarda de la información: se han de implementar mecanismos de copia de seguridad y recuperación en aquella información del responsable.
— Privilegios: los usuarios no deben poder deshabilitar o desinstalar las protecciones de seguridad implantadas en los equipos.
El responsable se reserva el derecho de exigir la implantación de las medidas de seguridad adicionales que considere oportunas en el equipamiento informático del encargado.
K) Seguridad en las instalaciones del encargado.
En aquellas instalaciones, donde se almacene o procese información del responsable, el encargado del tratamiento deberá implementar medidas de seguridad física, ambiental y de control de acceso, y todo su personal deberá participar activamente en la implantación y cumplimiento de estas medidas.
Por el Ayuntamiento de Siruela,
José Luis Camacho Mora
El Consejero de Presidencia, Interior y Diálogo Social
DOE núm. 194, de 9 de octubre),
David González Gil