La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, regula el tratamiento de datos personales a efectos de proteger y garantizar las libertades públicas y los derechos fundamentales de las personas físicas, especialmente, de su honor, intimidad personal y familiar. Su artículo 2 prevé que será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.

El artículo 3 de la Ley Orgánica 15/1999, de 13 de diciembre, considera dato de carácter personal cualquier información concerniente a personas físicas identificadas o identificables y el artículo 5.1.f) del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal, aprobado por Real Decreto 1720/2007, de 21 de diciembre, precisa que son datos de carácter personal las informaciones numéricas, alfabéticas, gráficas, fotográficas, acústicas o de cualquier tipo concerniente a personas físicas identificadas o identificables.

Con ese objetivo, los artículos 20 de la Ley Orgánica 15/1999, de 13 de diciembre, y 54 del citado Reglamento de desarrollo aluden a la creación, modificación, supresión y al contenido de los ficheros por las Administraciones Públicas, que sólo podrá efectuarse por medio de disposición general publicada en el "Boletín Oficial del Estado", o Diario Oficial correspondiente.

Por su parte, el Estatuto de Autonomía de Aragón, en su artículo 16.3, establece que: "todas las personas tienen derecho a la protección de sus datos personales contenidos en las bases de datos de las Administraciones Públicas y empresas públicas aragonesas y las empresas privadas que trabajen o colaboren con ellas. Igualmente, tendrán derecho a acceder a los mismos, a su examen y a obtener su corrección y cancelación"; y en su artículo 75.5.ª se atribuye a la Comunidad Autónoma de Aragón la competencia compartida con el Estado en materia de protección de datos de carácter personal que, en todo caso, incluye la regulación, inscripción y el tratamiento de los mismos, y el control de los ficheros creados o gestionados por las instituciones públicas de Aragón.

Por su parte, el Decreto 98/2003, de 29 de abril, del Gobierno de Aragón, por el que se regulan los ficheros de datos de carácter personal gestionados por la Administración de la Comunidad Autónoma de Aragón, en su artículo 1, indica que "la creación, modificación y supresión de ficheros de datos de carácter personal en el ámbito de la Administración de Comunidad Autónoma de Aragón, se efectuará a iniciativa del Departamento competente por razón de su contenido, mediante decreto del Gobierno de Aragón aprobado a propuesta del Consejero de Presidencia y Relaciones Institucionales".

La atribución al Consejero de Presidencia y Relaciones Institucionales que consta en el decreto citado hay que entenderla referida al titular del Departamento de Innovación, Investigación y Universidad, en virtud del Decreto de 5 de julio de 2015, de la Presidencia del Gobierno de Aragón, por el que se asignan las competencias a los Departamentos de la Administración de la Comunidad Autónoma y se les adscriben sus organismos.

El Decreto 319/2015, de 15 de diciembre, del Gobierno de Aragón, por el que se establece la estructura orgánica del Departamento de Innovación, Investigación y Universidad, parcialmente modificado por Decreto 157/2017, de 17 de octubre, en su artículo 1.2,c), atribuye a dicho Departamento las funciones correspondientes al ejercicio de la competencia compartida en materia de protección de datos de carácter personal, establecida en el artículo 75.5.ª de la Ley Orgánica 5/2007, de 20 de abril, de reforma del Estatuto de Autonomía de Aragón, y en su artículo 10 establece que corresponde a la Dirección General de Administración Electrónica y Sociedad de la Información el "ejercicio de las competencias en materia de protección de datos de carácter personal, incluida la regulación, inscripción y control de los ficheros creados o gestionados por las instituciones públicas de Aragón, y la relación con la Agencia Española de protección de datos, así como en su caso, con la Agencia de protección de datos de Aragón".

El Decreto 23/2016, de 9 de febrero, del Gobierno de Aragón, aprueba la estructura orgánica del Departamento de Sanidad y del Servicio Aragonés de Salud y, en virtud de lo previsto en el artículo 21, atribuye a la Dirección General de Derechos, y Garantías de los Usuarios la competencia para la gestión y mantenimiento de la Base de Datos de Usuarios del Sistema Nacional de Salud en Aragón y la regulación y tramitación de las quejas de los mismos, así como la gestión y mantenimiento de la plataforma SaludInforma como herramienta de gestión telemática de la información y de trámites no presenciales.

De este modo, atendiendo a la naturaleza pública de los ficheros, procede la aprobación del presente decreto relativo a la creación de los ficheros de datos de carácter personal "Base de datos de quejas, sugerencias y gestorías en el ámbito sanitario" y "Base de datos de SaludInforma" y a la modificación de los ficheros correspondientes al "Registro Autonómico de Voluntades Anticipadas", regulado en el Decreto 100/2003, de 6 de mayo, del Gobierno de Aragón, y al "Registro de Usuarios del Sistema de Salud de Aragón", previsto en la Orden de 8 de abril de 2003, del Departamento de Salud, Consumo y Servicios Sociales, conforme a lo establecido en el artículo 2.1 del Decreto 98/2003, de 29 de abril, del Gobierno de Aragón.

Por todo ello, con el presente decreto se pretende dar cumplimiento a lo establecido en el Decreto 98/2003, de 29 de abril, del Gobierno de Aragón y en la Ley Orgánica 15/1999, de 13 de diciembre.

En su tramitación, este decreto ha sido informado por la Dirección General de Administración Electrónica y Sociedad de la Información del Departamento de Innovación, Investigación y Universidad, por la Secretaría General Técnica del Departamento de Sanidad y por la Dirección General de Servicios Jurídicos del Departamento de Presidencia.

En su virtud, a iniciativa del Consejero de Sanidad, y a propuesta de la Consejera de Innovación, Investigación y Universidad, previa deliberación del Gobierno de Aragón en su reunión celebrada el día 6 de febrero de 2018,

DISPONGO:

Artículo 1. Objeto.

1. El presente decreto tiene por objeto la creación de los ficheros de datos de carácter personal "Base de datos de quejas, sugerencias y gestorías en el ámbito sanitario" y "Base de datos de SaludInforma" y la modificación de los ficheros "Registro Autonómico de Voluntades Anticipadas", regulado en el Decreto 100/2003, de 6 de mayo, del Gobierno de Aragón, y "Registro de Usuarios del Sistema de Salud de Aragón", previsto en la Orden de 8 de abril de 2003, del Departamento de Salud, Consumo y Servicios Sociales.

2. En los ficheros creados y modificados se recogen las indicaciones señaladas en el artículo 20.2 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, artículo 54 del Reglamento aprobado por el Real Decreto 1720/2007, de 21 de diciembre, y en el artículo 2.1 del Decreto 98/2003, de 29 de abril, del Gobierno de Aragón, por el que se regulan los ficheros de datos de carácter personal gestionados por la Administración de la Comunidad Autónoma de Aragón.

Artículo 2. Adscripción de los ficheros.

Los ficheros públicos de datos de carácter personal estarán adscritos al Departamento competente en materia de Sanidad.

Artículo 3. Responsabilidad sobre los ficheros.

1. El órgano responsable de estos ficheros será la Dirección General competente en materia de derechos y garantías de los usuarios.

2. Corresponde a los titulares de los órganos administrativos responsables de los ficheros de datos de carácter personal la adopción de las medidas necesarias para garantizar la confidencialidad, seguridad e integridad de los datos y hacer efectivo el ejercicio de los derechos de acceso, rectificación, cancelación y oposición por parte de los afectados.

Artículo 4. Deber de información.

Los afectados respecto de los cuales se soliciten datos de carácter personal serán previamente informados de modo expreso, preciso e inequívoco de la existencia del fichero que recoja sus datos personales, en los términos previstos en el artículo 5 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, salvo en los supuestos exceptuados en la Ley.

Artículo 5. Régimen de Protección de Datos.

1. Los ficheros a que se refiere este decreto quedan sometidos a las disposiciones de la Ley Orgánica 15/1999, de 13 de diciembre, así como a sus disposiciones de desarrollo, al Decreto 98/2003, de 29 de abril, del Gobierno de Aragón, y al resto de disposiciones aplicables a la materia.

2. Los ficheros regulados en este decreto se ajustarán, en todo caso, a los niveles de seguridad determinados para los nuevos ficheros que se desarrollan en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre.

3. Los datos registrados en los ficheros regulados en este decreto se usarán exclusivamente para la finalidad y usos para los que fueron creados, y serán objeto de cesión únicamente con las previsiones contempladas en el anexo.

Artículo 6. Inscripción en el Registro General de Protección de Datos.

La creación y modificación de los ficheros de datos de carácter personal a que se refiere el presente decreto y que figuran en los anexos I y II se notificarán a la Agencia Española de Protección de Datos, para su inscripción o anotación en el Registro General de Protección de Datos, de conformidad con lo previsto en el artículo 39.2.a) de la Ley Orgánica 15/1999, de 13 diciembre, y los artículos 55 y 58 del Real Decreto 1720/2007, de 21 de diciembre, siendo inscritos igualmente en el Registro General de ficheros de datos de carácter personal de la Administración de la Comunidad Autónoma de Aragón, de acuerdo con el artículo 3.2 del Decreto 98/2003, de 29 de abril, del Gobierno de Aragón.

Disposición final primera. Modificación del fichero "Registro de Usuarios del Sistema de Salud de Aragón".

1. Se modifica el artículo 4 de la Orden de 8 de abril de 2003, del Departamento de Salud, Consumo y Servicios Sociales, por el que se crea el Registro de Usuarios del Sistema de Salud de Aragón, que queda redactado en los términos siguientes:

"Artículo 4. Fichero de datos personales.

Se crea el fichero automatizado de datos de carácter personal del Registro de Usuarios del Sistema de Salud de Aragón, descrito en el anexo I de la presente orden y adscrito a la Dirección General competente en materia de derechos y garantías de los usuarios"

2. El anexo I de la Orden de 8 de abril de 2003, del Departamento de Salud, Consumo y Servicios Sociales, en el que se describe el fichero de datos de carácter personal del Registro de Usuarios del Sistema de Salud de Aragón, queda modificado por el anexo II que incorpora, en relación al mismo, este decreto.

Disposición final segunda. Modificación del fichero "Registro Autonómico de Voluntades Anticipadas".

1. Se modifica el párrafo segundo del artículo 11 del Decreto 100/2003, de 6 de mayo, del Gobierno de Aragón, por el que se aprueba el Reglamento de Organización y funcionamiento del Registro de Voluntades Anticipadas, que queda redactado en los términos siguientes:

"La Dirección General competente en materia de derechos y garantías de los usuarios, como órgano responsable del fichero, garantizará la confidencialidad y seguridad de los datos, así como las medidas encaminadas a garantizar los derechos de las personas afectadas regulados en la Ley Orgánica de Protección de Datos de Carácter Personal"

2. El anexo II del Decreto 100/2003, de 6 de mayo, del Gobierno de Aragón, en el que se describe el fichero de datos de carácter personal del Registro de Voluntades Anticipadas, queda modificado por el anexo II que incorpora, en relación al mismo, este decreto.

Disposición final tercera. Habilitación normativa

Se faculta al Consejero competente en materia de Sanidad para dictar las disposiciones necesarias para el desarrollo y ejecución del presente decreto.

Disposición final cuarta. Entrada en vigor.

El presente decreto entrará en vigor el día siguiente al de su publicación en el "Boletín Oficial de Aragón".

Zaragoza, 6 de febrero de 2018.

El Presidente del Gobierno de Aragón

JAVIER LAMBÁN MONTAÑÉS

La Consejera de Innovación, Investigación y Universidad

PILAR ALEGRÍA CONTINENTE

El Consejero de Sanidad

SEBASTIÁN CELAYA PÉREZ

I

FICHEROS QUE SE CREAN

Base de datos de quejas, sugerencias y gestorías en el ámbito sanitario

1. Denominación del fichero:

"Base de datos de quejas, sugerencias y gestorías en el ámbito sanitario"

2. Descripción de la finalidad del fichero y de los usos previstos del mismo.

Protección de los datos personales de identificación para la tramitación de quejas, sugerencias, así como las gestiones necesarias para contribuir al funcionamiento de los servicios públicos gestionados por la Administración de la Comunidad Autónoma de Aragón en el ámbito sanitario.

3. Personas o colectivos sobre los que se pretende obtener datos de carácter personal o que resulten obligados a suministrarlos.

Todos los usuarios del Sistema de Salud de Aragón que realicen quejas, sugerencias, agradecimientos y soliciten gestiones específicas en los Servicios de Información y Atención al Usuario.

4. Procedimiento de recogida de datos de carácter personal.

Por los escritos de quejas, sugerencias, agradecimientos y la solicitud de realización de gestiones que formulen los usuarios de los Sistemas de Salud y los datos de los Centros sanitarios, a partir de la Historia Clínica.

5. Estructura básica del fichero y descripción de los tipos de datos de carácter personal incluidos en el mismo y sistema de tratamiento.

a) El fichero de datos de carácter personal contará con los siguientes campos:

1.º Datos de carácter identificativos del usuario:

-Nombre y apellidos

-Dirección

-Teléfono

-Correo electrónico

-NIF/pasaporte/tarjeta de residente comunitario

-Tarjeta sanitaria

-Nacionalidad.

-Sexo.

2.º Datos de carácter identificativos del solicitante:

-Nombre y apellidos

-Dirección

-Teléfono

-Documento Nacional de Identidad/pasaporte/tarjeta de residente comunitario/Número de Identidad de Extranjero

-Vinculación entre el usuario y el solicitante

3.º Otros tipos de datos:

-Datos de carácter sanitario.

b) El sistema de tratamiento será automatizado.

6. Cesiones de datos de carácter personal, y si procede, las posibles transferencias de datos que se prevean a países terceros.

7. Órgano responsable del fichero.

Dirección General de Derechos y Garantías de los Usuarios.

8. Servicios o unidades ante los que pueden ejercitarse los derechos de acceso, rectificación, cancelación y oposición.

Dirección General de Derechos y Garantías de los Usuarios.

Avda. Universitas, 36. 50017 Zaragoza.

9. Medidas de Seguridad.

Nivel alto.

Base de datos de saludinforma

1. Denominación del fichero:

"Base de datos de SaludInforma"

2. Descripción de la finalidad del fichero y de los usos previstos del mismo.

La finalidad del fichero es el almacenamiento de los datos sobre las transacciones realizadas y las configuraciones preferentes que manifiestan los usuarios, al acceder a la aplicación "SaludInforma" del Gobierno de Aragón que presta los servicios comunes de administración electrónica, con objeto que sean reutilizadas en los sucesivos accesos a las mismas, mejorando las posibilidades de uso por parte del Departamento competente en materia de Sanidad.

3. Personas o colectivos sobre los que se pretende obtener datos de carácter personal o que resulten obligados a suministrarlos.

Todos los usuarios del Sistema de Salud de Aragón que realicen tramitación, por medios telemáticos, de determinados procedimientos en materia de sanidad del Departamento de Sanidad.

4. Procedimiento de recogida de datos de carácter personal.

A través de formulario/plantilla electrónica en la se recaben los datos propios.

5. Estructura básica del fichero y descripción de los tipos de datos de carácter personal incluidos en el mismo y sistema de tratamiento.

Fichero informático de solicitud de cita para voluntades anticipada, fichero informático de solicitud de cita para donación de sangre y médula, fichero informático de carné de donante, fichero informático plataforma de formación de la Escuela de Salud y Fichero y archivo de autorizaciones para el envío de SMS con información sobre citas para consulta médica y descripción de los tipos de datos de carácter personal incluidos en los mismos y sistema de tratamiento.

a) Estructura básica:

- Datos de carácter identificativos: DNI, NIE, Tarjeta sanitaria.

- Número de carné de donante de sangre

- Nombre y apellidos

- Fecha de nacimiento/ Edad

- Sexo

- Dirección: postal y electrónica

- Teléfono

- Firma electrónica

b) El sistema de tratamiento del fichero será automatizado.

6. Cesiones de datos de carácter personal, y si procede, las posibles transferencias de datos que se prevean a países terceros.

7. Órgano responsable del fichero.

Dirección General de Derechos y Garantías de los Usuarios.

8. Servicios o unidades ante los que pueden ejercitarse los derechos de acceso, rectificación, cancelación y oposición.

Dirección General de Derechos y Garantías de los Usuarios.

Avda. Universitas, 36. 50017 Zaragoza.

9. Medidas de Seguridad.

Nivel básico.

II

FICHEROS QUE SE MODIFICAN

Registro de usuarios del sistema de salud de aragón

1. Denominación del fichero:

"Registro de usuarios del Sistema de Salud de Aragón".

2. Descripción de la finalidad del fichero y de los usos previstos del mismo.

Registro administrativo que reúne los datos de identificación, localización, acreditación de prestaciones sanitarias y de relación de los usuarios con el Sistema de Salud de Aragón.

3. Personas o colectivos sobre los que se pretende obtener datos de carácter personal o que resulten obligados a suministrarlos.

Todos los ciudadanos residentes en la Comunidad Autónoma de Aragón con acceso a servicios y prestaciones del Sistema de Salud de Aragón.

4. Procedimiento de recogida de datos de carácter personal.

Mediante transferencia de los datos existentes en la Base de Datos de Usuarios del Sistema Nacional de Salud o por comunicación por parte de los afectados y actualización posterior.

5. Estructura básica del fichero y descripción de los tipos de datos de carácter personal incluidos en el mismo y sistema de tratamiento.

a) Datos de carácter identificativos:

- DNI/NIE

- Número SS/Mutualidad

- Nombre y apellidos.

- Tarjeta sanitaria

- Dirección

- Teléfono

- Dirección de correo electrónico

- Firma/Huella

b) Datos especialmente protegidos:

- Salud

c) Otros tipos de datos:

- Datos de localización, datos de acreditación de derecho a prestaciones sanitarias, datos de relación con el Sistema de Salud de Aragón.

- Datos sobre capacidad económica

d) El sistema de tratamiento del fichero será automatizado.

6. Cesiones de datos de carácter personal, y si procede, las posibles transferencias de datos que se prevean a países terceros.

Cesión de datos a otros órganos de la Administración del Estado y comunicaciones a órganos de la Administración de la Comunidad Autónoma de Aragón, así como a centros sanitarios.

7. Órgano responsable del fichero.

Dirección General de Derechos y Garantías de los Usuarios

8. Servicios o unidades ante los que pueden ejercitarse los derechos de acceso, rectificación, cancelación y oposición.

Dirección General de Derechos y Garantías de los Usuarios

Avda. Universitas, 36. 50017 Zaragoza.

9. Medidas de Seguridad.

Nivel alto.

Registro autonómico de voluntades anticipadas

1. Denominación del fichero:

"Registro autonómico de voluntades anticipadas".

2. Descripción de la finalidad del fichero y de los usos previstos del mismo.

Facilitar el acceso de los profesionales sanitarios responsables de la asistencia de un enfermo al documento de voluntades anticipadas, en el caso de haber sido otorgado e inscrito en el registro, para conocer su existencia y contenido.

3. Personas o colectivos sobre los que se pretende obtener datos de carácter personal o que resulten obligados a suministrarlos.

Todos los intervinientes en el documento de voluntades anticipadas (otorgante, testigos, representantes en su caso)

4. Procedimiento de recogida de datos de carácter personal.

Por solicitud de la persona otorgante del documento de voluntades anticipadas o declaración ante notario presentada por el mismo.

5. Estructura básica del fichero y descripción de los tipos de datos de carácter personal incluidos en el mismo y sistema de tratamiento.

a) Datos de otorgante:

- Nombre y apellidos

- Dirección

- Teléfono

- DNI/pasaporte/tarjeta de residente comunitario/NIE

- Tarjeta sanitaria

- Código identificación personal

- Fecha de nacimiento

- País de origen

b) Datos incluidos en documento de voluntades anticipadas:

- Localización del documento original

- Literales de las voluntades expresadas que incluyen datos identificativos de los testigos y representantes en su caso.

6. Cesiones de datos de carácter personal, y si procede, las posibles transferencias de datos que se prevean a países terceros.

Los contemplados en la finalidad del registro y transferencias de información al Registro Nacional de Instrucciones Previas y a otros Registros autonómicos de voluntades anticipadas.

7. Órgano responsable del fichero.

Dirección General de Derechos y Garantías de los Usuarios.

8. Servicios o unidades ante los que pueden ejercitarse los derechos de acceso, rectificación, cancelación y oposición.

Dirección General de Derechos y Garantías de los Usuarios

Avda. Universitas, 36. 50017 Zaragoza.

9. Medidas de Seguridad.

Nivel alto.