Lee detenidamente esta política de privacidad para personas usuarias de la aplicación móvil Sergas Móbil (en adelante la “aplicación”) como instrumento de punto de acceso centralizado a recursos móviles de la Consellería de Sanidad y del Servicio Gallego de Salud. Esta política de privacidad, así como las condiciones de uso de la aplicación podrán complementarse con la información sobre el funcionamento de la aplicación publicada en https://www.sergas.gal/A-nosa-organizacion/Aplicacion-mobil-Sergas-Mobil, con la política general de privacidad de la Xunta de Galicia y la información general sobre tratamiento de datos personales en la Consellería de Sanidad y en el Servicio Gallego de Salud.

Consellería de Sanidad/Servicio Gallego de Salud (Sergas). Complejo administrativo de San Lázaro, s/n.15781 Santiago de Compostela. CIF: Q6550006 H

Contacto delegado de Protección de Datos: https://www.xunta.gal/delegados-de-proteccion-de-datos

La aplicación permite 3 métodos de identificación en el sistema:

1. Identificación básica por medio del CIP del registro de población de la tarjeta sanitaria
2. Identificación media mediante envío de un código numérico al telefono móvil de la persona usuaria
3. Identificación alta mediante acceso por chave 365 o con certificado digital

El detalle de la limitación de acceso a los servicios que permite cada nivel de identificación está publicado en https://www.sergas.gal/A-nosa-organizacion/Aplicacion-mobil-Sergas-Mobil.

Datos identificativos de la persona usuaria registrados en el tratamiento de Identificación de usuarios y profesionales del sistema público sanitario:

• ​Nombre y apellidos, fecha de nacimiento y lugar de residencia, para confirmar la identidad
• DNI / NIE, para identificarse y poder obtener información sanitaria personalizada
• CIP (Código de Identificación Personal en el Sistema de Información de Tarjeta Sanitaria) y código del sistema nacional de salud o número de la Seguridad Social, para identificarse y poder obtener información sanitaria personalizada
• Número de teléfono móvil, para el envío de notificaciones SMS

Datos de salud de la persona usuaria contenidos en el tratamiento de Gestión de Historia Clínica y Actividad asistencial:

• Datos de citas médicas
• Datos derivados de videoconsultas
• Acceso a la carpeta de salud del paciente
• Acceso a la herramienta de Teleasistencia
  
• Acceso al Certificado Digital COVID de la Unión Europea (de vacunación, de recuperación y de pruebas) conforme a las normas de la Comisión Europea recopiladas en la página https://ec.europa.eu/info/live-work-travel-eu/coronavirus-response/safe-covid-19-vaccines-europeans/eu-digital-covid-certificate_es
  
  La aplicación no recopila datos relativos a COVID-19, solo facilita el acceso al Certificado Digital COVID que se genera a partir de los datos que el Servicio Gallego Salud ya posee como proveedor de la sanidad pública gallega, responsable de la vacunación contra la COVID-19 de todos los ciudadanos de la comunidad autónoma de Galicia, así como de la gestión de la sanidad gallega, incluida la COVID-19

• Datos facilitados por la persona usuaria de la aplicación
• Datos solicitados de entre los que la Administración autonómica ya posee, especialmente del sistema sanitario público gallego
• Datos obtenidos del dispositivo móvil

La aplicación tiene como objetivo ofrecer a toda la ciudadanía el catálogo de apps y servicios del Sergas, de forma transversal, inclusivo y eficaz de cara a:

1. Potenciar el acceso de los e-servicios de mayor demanda por la ciudadanía
2. Incorporar nuevos e-servicios (tarjeta sanitaria virtual, videoconsulta)
3. Mejorar el acceso entre las diferentes aplicaciones

La aplicación solicita específicamente permisos necesarios para poder proporcionar el conjunto de funcionalidades de las que consta. Se solicitan una única vez -se recomienda seleccionar la opción "Solo cuando la aplicación está en uso"- y luego pueden modificarse e incluso revocarse como se indica a continuación, aunque esto puede afectar al correcto funcionamiento de la app.

• Aplicación Android: En este caso se puede consultar el enlace "Cómo cambiar los permisos de una app en un teléfono Android"
• Aplicación iOS: En la opción Privacidad de los ajustes del dispositivo se encuentran las categorías para ver que aplicaciones tienen acceso a qué, pudiendo modificarlos

Los permisos necesarios son los siguientes, en función del sistema operativo del dispositivo donde se instale la aplicación:

• Aplicación Android:
  • Geolocalización (ACCESS_COARSE_LOCATION, ACCESS_FINE_LOCATION): La aplicación utiliza servicios de ubicación para permitirte obtener el turno de una cita cuando llegues al centro, para la opción de realidad aumentada para posicionarte en el interior de los centros y para enviar tu ubicación al servicio de emergencias cuando realices una llamada desde la sección "Lllamar al 061"
  • Redes Wi-Fi (ACCESS_WIFI_STATE, CHANGE_WIFI_STATE): La aplicación utiliza Wi-Fi para localizarte en el interior de los centros y así poder guiarte por ellos
  • Bluetooth (BLUETOOTH/BLUETOOTH_ADMIN): La aplicación utiliza el bluetooth para localizarte en el interior de los centros y así poder guiarte por ellos
  • Micrófono (RECORD_AUDIO): La aplicación necesita permiso de uso de micrófono para realizar videoconsultas con tu médico
  • Almacenamiento (READ_EXTERNAL_STORAGE, WRITE_EXTERNAL_STORAGE): La aplicación requiere acceder a la galería para que se puedan seleccionar fotos para asociar a los pacientes. También requiere el permiso de escritura para la descarga o subida de documentos
  • Calendario (READ_CALENDAR, WRITE_CALENDAR): La aplicación necesita utilizar el calendario para añadir citas a tu calendario
  • Cámara (CAMERA): La aplicación necesita permiso de cámara para realizar videoconsultas con tu médico y para registrar pacientes mediante el escaneo de la tarjeta sanitaria
  • Teléfono (CALL_PHONE): La aplicación necesita este permiso para llamar directamente al 061. Si no se activa este permiso, en vez de llamar automáticamente, solo se marcará en el dial del teléfono el número y tendrás que efectuar la llamada
  • NFC (NFC): La aplicación necesita este permiso para poder leer los certificados del DNIe para acceder con seguridad alta
  • Notificaciones push (POST_NOTIFICATIONS): La aplicación necesita este permiso, en los dispositivos con Android 13 o superior, para mostrar notificaciones push (como pueden ser las llamadas entrantes de videoconsultas, notificación de que es tu turno en una cita para que te atienda el profesional o recibir información sobre estado de la tarjeta o tarjetas sanitarias virtuales descargadas)
• Aplicación iOS:
  • Geolocalización (Privacy - Location When In Use Usage Description): La aplicación utiliza servicios de ubicación para permitirte obtener el turno de una cita cuando llegues al centro y para la opción de realidad aumentada para posicionarte en el interior de los centros
  • Bluetooth (Privacy - Bluetooth Always Usage Description): La aplicación utiliza el bluetooth para localizarte en el interior de los centros y así poder guiarte por ellos
  • Micrófono (Microphone usage Description): La aplicación necesita permiso de uso de micrófono para realizar videoconsultas con tu médico
  • Almacenamiento (Privacy - Photo Library Usage Description, Privacy - Photo Library Additions Usage Description): La aplicación requiere acceder a la galería para que se puedan seleccionar fotos para asociar a los pacientes y para guardar imágenes
  • Calendario (Privacy - Calendars Usage Description): La aplicación necesita utilizar el calendario para añadir citas a tu calendario
  • Cámara (Camera Usage Description): La aplicación necesita permisos de cámara para realizar videoconsultas con tu médico y para registrar pacientes mediante el escaneo de la tarjeta sanitaria
  • Navegación (Privacy - Tracking Usage Description): La aplicación necesita permisos para guardar información sobre hábitos de navegación con fines de generación de estadísticas

Se tratarán los datos necesarios para el buen funcionamiento de la aplicación y la operatividad de sus funcionalidades. El uso de la aplicación y la configuración de cada una de sus diferentes funcionalidades se basará en la voluntariedad de la ciudadanía, de forma que la persona usuaria podrá activar y desactivar cada una de ellas de forma independiente en todo momento, así como decidir desinstalar la aplicación. Todo eso, sin que se derive consecuencia negativa alguna para quien no pueda o decida no descargar o no usar la aplicación. Los tratamientos de datos personales, derivados de la operativa de la aplicación tanto de categorías generales como de categorías especiales, se realizarán por razones de interés público general.

Los datos se conservarán durante el tiempo necesario para cada una de las funcionalidades de la aplicación y se procederá a su supresión, anonimización y/o bloqueo conforme a lo previsto en la normativa vigente.

No están previstas comunicaciones y/o cesiones de datos.

El responsable del tratamiento garantizará y facilitará en todo momento a la ciudadanía el ejercicio de sus derechos en materia de protección de datos personales. Estos derechos son:

• Derecho de acceso: derecho a obtener confirmación sobre si se están tratando los datos e información, en su caso, sobre dicho tratamiento
• Derecho de rectificación: derecho a solicitar la rectificación de los datos cuando sean inexactos
• Derecho de supresión u olvido: derecho a obtener la supresión de los datos en los términos previstos en la normativa vigente
• Derecho de oposición: derecho a oponerse, en cualquier momento, a que los datos personales sean objecto de tratamiento
• Derecho a la limitación del tratamiento: derecho a que el responsable limite el tratamiento de los datos de la persona interesada en los supuestos recogidos en la normativa vigente
• Derecho a la portabilidad de los datos: derecho a recibir los datos que proporcionó en un formato estructurado, de uso común y lectura mecánica, o a que sean transmitidos directamente a un tercero en los supuestos establecidos en la normativa vigente
• Derecho a no ser objeto de decisiones individuales automatizadas: derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en el interesado o le afecte significativamente de modo similar
• Derecho a retirar el consentimiento: cuando el tratamiento de los datos se base en el consentimiento de las personas interesadas, estas podrán retirar el consentimiento otorgado en cualquier momento, sin que eso afecte a la licitud del tratamiento previo a su retirada

Las personas interesadas podrán solicitar el derecho de acceso, rectificación, supresión, limitación, oposición y portabilidad de los datos personales tratados. Además, podrán retirar cada consentimiento otorgado en cualquier momento, aunque eso no afectará a la licitud del tratamiento basado en el consentimiento previo a su retirada. Todo eso a través de la sede electrónica de la Xunta de Galicia a través del procedimiento denominado PR004A o en los lugares y registros establecidos en la normativa reguladora del procedimiento administrativo común, según se recoge en https://www.xunta.gal/exercicio-de-dereitos​.

A las personas interesadas les asiste en todo momento el derecho para presentar una reclamación frente a la Agencia Española de Protección de Datos – AEPD.

Tanto en el desarrollo como en la puesta en marcha y funcionamiento del sistema y de la aplicación que da acceso a este, y posteriormente en su desactivación, se establecerán las garantías necesarias para las personas usuarias y demás personas afectadas respecto al tratamiento de sus datos personales, según lo dispuesto en la normativa vigente en materia de protección de datos y confidencialidad de las comunicaciones, en especial la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, del 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), así como sus normas de transposición, el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018, del 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Estas garantías respetarán los principios recogidos en dicha normativa. En particular, la recogida de los datos personales se regirá por los principios generales de efectividad, necesidad y proporcionalidad, respetándose en todo caso el principio de minimización de los datos.

Se tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable y tenga acceso a datos personales solamente pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a eso en virtud del Derecho de la Unión o de los Estados miembros. Entre otras medidas, se solicitarán los compromisos de confidencialidad personales necesarios, en los que se hará mención expresa al deber de secreto profesional conforme a lo exigido en el Reglamento General de Protección de Datos.

En cumplimento del principio de limitación de la finalidad, los datos personales serán tratados únicamente para las finalidades indicadas y para ninguna otra, y no serán utilizados posteriormente de manera incompatible con dicho fin. Los posibles tratamientos que puedan resultar necesarios con fines de archivo en interés público, investigación científica o histórica o estadísticos estarán sujetos a las garantías previstas en el artículo 89 del RGPD y se regirán por la legislación aplicable a cada caso. Así mismo, de acuerdo con el principio de minimización de datos, únicamente serán objeto de tratamiento los datos que sean adecuados, pertinentes y estrictamente necesarios para las distintas funcionalidades del sistema, después de valorar la necesidad de su tratamiento y su pertinencia, además de no existir otra medida menos invasiva que pueda ofrecer los mismos resultados.

El cumplimento del principio de responsabilidad proactiva y de la obligación de implementar la privacidad desde el diseño y por defecto se documentó en una evaluación de impacto en la protección de datos.

Dicha evaluación de impacto será objeto de las actualizaciones necesarias en la medida en que el sistema y la aplicación que da acceso a este puedan evolucionar, incorporando progresivamente nuevos servicios para las personas usuarias a las que inicialmente se pongan a su disposición, siempre dentro de las finalidades y funcionalidades previstas en la orden de regulación de la aplicación.

Se aplicarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo: el uso de seudónimos y el cifrado de datos personales; la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidencia física o técnica y un procedimiento permanente de verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. En concreto, se aplicarán a los tratamientos de datos personales derivados de las distintas funcionalidades del sistema las medidas que correspondan según lo previsto en el Esquema Nacional de Seguridad, protegiendo así la seguridad de los datos. Dichas medidas se documentarán adecuadamente. Se implementarán además las medidas necesarias para garantizar la exactitud y actualización de los datos personales tratados.

• Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por lo que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos)
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
• Ley 8/2008, del 10 de julio, de salud de Galicia
• Real Decreto 3/2010, del 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración electrónica (ENS)