Política de privacidad de la aplicación Sergas Móbil

Política de privacidad de la aplicación Sergas Móbil

Al descargar y usar la aplicación móvil Sergas Móbil manifiestas que leíste y aceptas la Política de privacidad.

Lee detenidamente esta política de privacidad para personas usuarias de la aplicación móvil Sergas Móbil (en adelante la “aplicación”) como instrumento de punto de acceso centralizado a recursos móviles de la Consellería de Sanidad y del Servicio Gallego de Salud. Esta política de privacidad, así como las condiciones de uso de la aplicación podrán complementarse con la información sobre el funcionamento de la aplicación publicada en https://www.sergas.gal/A-nosa-organizacion/Aplicacion-mobil-Sergas-Mobil, con la política general de privacidad de la Xunta de Galicia y la información general sobre tratamiento de datos personales en la Consellería de Sanidad y en el Servicio Gallego de Salud.

1.Responsable del tratamiento de los datos de las personas usuarias de Sergas Móbil

Consellería de Sanidad/Servicio Gallego de Salud (Sergas). Complejo administrativo de San Lázaro, s/n.15781 Santiago de Compostela. CIF: Q6550006 H

Contacto delegado de Protección de Datos: https://www.xunta.gal/delegados-de-proteccion-de-datos

2. Métodos de autenticación en el sistema

La aplicación permite 3 métodos de identificación en el sistema:

  1. Identificación básica por medio del CIP del registro de población de la tarjeta sanitaria
  2. Identificación media mediante envío de un código numérico al telefono móvil de la persona usuaria
  3. Identificación alta mediante acceso por chave 365 o con certificado digital

El detalle de la limitación de acceso a los servicios que permite cada nivel de identificación está publicado en https://www.sergas.gal/A-nosa-organizacion/Aplicacion-mobil-Sergas-Mobil.

3. Los datos personales que se utilizarán en el caso de que la persona usuaria decida registrarse en la aplicación serán los siguientes

Datos identificativos de la persona usuaria registrados en el tratamiento de Identificación de usuarios y profesionales del sistema público sanitario:

  • ​Nombre y apellidos, fecha de nacimiento y lugar de residencia, para confirmar la identidad
  • DNI / NIE, para identificarse y poder obtener información sanitaria personalizada
  • CIP (Código de Identificación Personal en el Sistema de Información de Tarjeta Sanitaria) y código del sistema nacional de salud o número de la Seguridad Social, para identificarse y poder obtener información sanitaria personalizada
  • Número de teléfono móvil, para el envío de notificaciones SMS

Datos de salud de la persona usuaria contenidos en el tratamiento de Gestión de Historia Clínica y Actividad asistencial:

  • Datos de citas médicas
  • Datos derivados de videoconsultas
​4.Origen de los datos
  • Datos facilitados por la persona usuaria de la aplicación
  • Datos solicitados de entre los que la Administración autonómica ya posee, especialmente del sistema sanitario público gallego
  • Datos obtenidos del dispositivo móvil
5.Finalidades del tratamiento de datos y funcionalidades de la aplicación

La aplicación tiene como objetivo ofrecer a toda la ciudadanía el catálogo de apps y servicios del Sergas, de forma transversal, inclusivo y eficaz de cara a:

  1. Potenciar el acceso de los e-servicios de mayor demanda por la ciudadanía
  2. Incorporar nuevos e-servicios (tarjeta sanitaria virtual, videoconsulta)
  3. Mejorar el acceso entre las diferentes aplicaciones
​​6.Legitimación para el tratamiento de datos personales

Se tratarán los datos necesarios para el buen funcionamiento de la aplicación y la operatividad de sus funcionalidades. El uso de la aplicación y la configuración de cada una de sus diferentes funcionalidades se basará en la voluntariedad de la ciudadanía, de forma que la persona usuaria podrá activar y desactivar cada una de ellas de forma independiente en todo momento, así como decidir desinstalar la aplicación. Todo eso, sin que se derive consecuencia negativa alguna para quien no pueda o decida no descargar o no usar la aplicación. Los tratamientos de datos personales, derivados de la operativa de la aplicación tanto de categorías generales como de categorías especiales, se realizarán por razones de interés público general.

7.Plazo de conservación de los datos

Los datos se conservarán durante el tiempo necesario para cada una de las funcionalidades de la aplicación y se procederá a su supresión, anonimización y/o bloqueo conforme a lo previsto en la normativa vigente.

8.Categorías de destinatarios de los datos personales

No están previstas comunicaciones y/o cesiones de datos.

9.Derechos de las personas interesadas respecto de sus datos personales y como solicitarlos

El responsable del tratamiento garantizará y facilitará en todo momento a la ciudadanía el ejercicio de sus derechos en materia de protección de datos personales. Estos derechos son:

  • Derecho de acceso: derecho a obtener confirmación sobre si se están tratando los datos e información, en su caso, sobre dicho tratamiento
  • Derecho de rectificación: derecho a solicitar la rectificación de los datos cuando sean inexactos
  • Derecho de supresión u olvido: derecho a obtener la supresión de los datos en los términos previstos en la normativa vigente
  • Derecho de oposición: derecho a oponerse, en cualquier momento, a que los datos personales sean objecto de tratamiento
  • Derecho a la limitación del tratamiento: derecho a que el responsable limite el tratamiento de los datos de la persona interesada en los supuestos recogidos en la normativa vigente
  • Derecho a la portabilidad de los datos: derecho a recibir los datos que proporcionó en un formato estructurado, de uso común y lectura mecánica, o a que sean transmitidos directamente a un tercero en los supuestos establecidos en la normativa vigente
  • Derecho a no ser objeto de decisiones individuales automatizadas: derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en el interesado o le afecte significativamente de modo similar
  • Derecho a retirar el consentimiento: cuando el tratamiento de los datos se base en el consentimiento de las personas interesadas, estas podrán retirar el consentimiento otorgado en cualquier momento, sin que eso afecte a la licitud del tratamiento previo a su retirada

Las personas interesadas podrán solicitar el derecho de acceso, rectificación, supresión, limitación, oposición y portabilidad de los datos personales tratados. Además, podrán retirar cada consentimiento otorgado en cualquier momento, aunque eso no afectará a la licitud del tratamiento basado en el consentimiento previo a su retirada. Todo eso a través de la sede electrónica de la Xunta de Galicia a través del procedimiento denominado PR004A o en los lugares y registros establecidos en la normativa reguladora del procedimiento administrativo común, según se recoge en https://www.xunta.gal/exercicio-de-dereitos​.

A las personas interesadas les asiste en todo momento el derecho para presentar una reclamación frente a la Agencia Española de Protección de Datos – AEPD.

10.Otras garantías en el tratamiento de los datos

Tanto en el desarrollo como en la puesta en marcha y funcionamiento del sistema y de la aplicación que da acceso a este, y posteriormente en su desactivación, se establecerán las garantías necesarias para las personas usuarias y demás personas afectadas respecto al tratamiento de sus datos personales, según lo dispuesto en la normativa vigente en materia de protección de datos y confidencialidad de las comunicaciones, en especial la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, del 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), así como sus normas de transposición, el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018, del 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Estas garantías respetarán los principios recogidos en dicha normativa. En particular, la recogida de los datos personales se regirá por los principios generales de efectividad, necesidad y proporcionalidad, respetándose en todo caso el principio de minimización de los datos.

Se tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable y tenga acceso a datos personales solamente pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a eso en virtud del Derecho de la Unión o de los Estados miembros. Entre otras medidas, se solicitarán los compromisos de confidencialidad personales necesarios, en los que se hará mención expresa al deber de secreto profesional conforme a lo exigido en el Reglamento General de Protección de Datos.

En cumplimento del principio de limitación de la finalidad, los datos personales serán tratados únicamente para las finalidades indicadas y para ninguna otra, y no serán utilizados posteriormente de manera incompatible con dicho fin. Los posibles tratamientos que puedan resultar necesarios con fines de archivo en interés público, investigación científica o histórica o estadísticos estarán sujetos a las garantías previstas en el artículo 89 del RGPD y se regirán por la legislación aplicable a cada caso. Así mismo, de acuerdo con el principio de minimización de datos, únicamente serán objeto de tratamiento los datos que sean adecuados, pertinentes y estrictamente necesarios para las distintas funcionalidades del sistema, después de valorar la necesidad de su tratamiento y su pertinencia, además de no existir otra medida menos invasiva que pueda ofrecer los mismos resultados.

El cumplimento del principio de responsabilidad proactiva y de la obligación de implementar la privacidad desde el diseño y por defecto se documentó en una evaluación de impacto en la protección de datos.

Dicha evaluación de impacto será objeto de las actualizaciones necesarias en la medida en que el sistema y la aplicación que da acceso a este puedan evolucionar, incorporando progresivamente nuevos servicios para las personas usuarias a las que inicialmente se pongan a su disposición, siempre dentro de las finalidades y funcionalidades previstas en la orden de regulación de la aplicación.

Se aplicarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo: el uso de seudónimos y el cifrado de datos personales; la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidencia física o técnica y un procedimiento permanente de verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. En concreto, se aplicarán a los tratamientos de datos personales derivados de las distintas funcionalidades del sistema las medidas que correspondan según lo previsto en el Esquema Nacional de Seguridad, protegiendo así la seguridad de los datos. Dichas medidas se documentarán adecuadamente. Se implementarán además las medidas necesarias para garantizar la exactitud y actualización de los datos personales tratados.

11.Política de cookiesUtilizamos solamente cookies técnicas que permiten a la persona usuaria la navegación y la utilización de las diferentes opciones o servicios que se ofrecen en la aplicación como, por ejemplo, identificar la sesión e identificarse como usuaria registrada cada vez que acceda a la aplicación, acceder a partes de acceso restringido o utilizar elementos de seguridad durante la navegación.12.Normativa básica aplicable
  • Reglamento (UE) 2016/679, del 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y  por lo que se deroga la Lei Orgánica 3/2018, del 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales
  • Ley 8/2008, del 10 de julio, de salud de Galicia
  • Real Decreto 3/2010, del 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración electrónica (ENS)