AVISO IMPORTANTE: La persona usuaria acepta que la utilización de la Aplicación NO CONSTITUYE EN NINGÚN CASO UN SERVICIO DE DIAGNÓSTICO MÉDICO, DE ATENCIÓN SANITARIA O DE PRESCRIPCIÓN DE TRATAMIENTOS FARMACOLÓGICOS. Se advierte y pone en conocimiento de la persona usuaria, que la utilización de la Aplicación no puede en ningún caso sustituir la consulta personal frente a un profesional médico debidamente cualificado o quien la autoridad sanitaria determine.

1.Responsable del tratamiento de los datos de las personas usuarias de PassCOVID.gal y encargado del tratamiento.

El responsable del tratamiento:

Consellería de Sanidade/Servicio Gallego de Salud (Sergas). Complejo administrativo de San Lázaro, s/n.15781 Santiago de Compostela. CIF:Q6550006H.

Encargado del tratamiento: Axencia para a modernización tecnolóxica de Galicia ( Amtega) para el desarrollo, mantenimiento, alojamiento y gestión del sistema y de la aplicación a través de la que se dará acceso a las personas usuarias.

Contacto delegado de Protección de Datos: https://www.xunta.gal/delegados-de-proteccion-de-datos

2.Categorías de datos objeto de tratamiento

Para facilitar las distintas funcionalidades de la Aplicación, se tratarán datos identificativos facilitados por la persona usuaria, o extraídos del sistema de identificación Chave365 en el caso de que la persona se identifique en el sistema con este mecanismo.

Exclusivamente en el caso de personas identificadas con Chave365, se tratarán datos de salud de las personas usuarias recabados del sistema sanitario público relativos a la situación de la persona usuaria respecto a la COVID-19.

Se tratarán datos facilitados por la propia persona usuaria relativos a preferencias personales, lugar de residencia, posibles contactos estrechos, o establecimientos en los que ha estado. La información de los contactos estrechos y las estancias en establecimientos se almacenará localmente en el dispositivo de la persona usuaria, salvo que esta decida voluntariamente transmitir alguna de esta información a la autoridad sanitaria.

Los datos personales que se utilizarán en caso de que el usuario decida registrarse en la aplicación serán los siguientes:

• Nombre y apellidos, para confirmar la identidad.
• DNI / NIE, para identificarse en PassCOVID y poder obtener información sanitaria personalizada relacionada con la Covid-19.
• Número de teléfono móvil, para el envío de notificaciones SMS.
• Datos de salud personales relacionados con la situación con respecto a la Covid-19, para habilitar la declaración y envío a la autoridad sanitaria de contactos estrechos, acceder al código de Radar COVID, acceder a los certificados de vacunación, poder enviar a la autoridad sanitaria las estancias en establecimientos y recibir mensajes y recomendaciones personalizadas.
• Datos de las personas con las que se declara en la aplicación haber mantenido contacto estrecho (nombre y apellidos, teléfono de contacto y tipo de vínculo).

Además de con los usuarios registrados, en el caso de usuarios anónimos, también se utilizarán los siguientes datos:

• Lugar de residencia, para obtener información personalizada sobre dicho lugar.
• Datos de las estancias en los establecimientos que se declaren en la aplicación: nombre del establecimiento, fecha y hora.
• Preferencias de idioma, para poder utilizar la aplicación en el idioma preferido.
• Datos de personas que autodeclaran en la aplicación que han mantenido un contacto estrecho con un caso confirmado de Covid-19 (nombre y apellidos, teléfono de contacto, fecha de nacimiento y tipo y número de documento de identidad).

PassCOVID podrá comprobar la existencia de aplicaciones ya instaladas en tu dispositivo y/o acceder a la información de las mismas en los siguientes casos:

• Acceso a la aplicación de la cámara del dispositivo, con el fin de capturar los QR de los establecimientos visitados a los QR de los certificados de vacunación, pruebas o recuperación, con el fin de disponer de ellos dentro de la App PassCOVID o para verificar que los datos de los certificados so correctos.
• Acceso a la aplicación de la agenda de contactos, en el caso de que se quiera utilizar para cargar los datos de los contactos en la aplicación de manera automática.
• Acceso a la aplicación de teléfono, para realizar llamadas a los números de teléfono de contacto presentados en la aplicación
• Acceso a enlaces de contenidos y aplicaciones de terceros en internet para proporcionar información y servicios relacionados con la COVID-19.
• Acceso de lectura y escritura al almacenamiento en el dispositivo para leer y escribir archivos, fotos, vídeos y audio. Dichos permisos son necesarios para poder descargar, abrir y visualizar el certificado de vacunación.

Más información en https://www.xunta.gal/rexistro-de-actividades

3.Origen de los datos

• Datos facilitados por la persona usuaria de la Aplicación.
• Datos recabados de entre los que la Administración autonómica ya posee, especialmente del sistema sanitario público gallego.
• Datos obtenidos del dispositivo móvil.

4.Finalidades del tratamiento de datos y funcionalidades de la Aplicación

Los datos serán utilizados para fines relacionados con el seguimiento y contención de la enfermedad Covid-19 especialmente de cara a apoyar a los protocolos de actuación frente a la crisis, vigentes en cada momento.

a) Recepción de información o alertas relativas a consejos prácticos y orientaciones de carácter general relativas a la crisis sanitaria ocasionada por la COVID-19, así como recomendaciones de las acciones y medidas adecuadas a seguir.

b) Ofrecer información sobre recursos de interés para el seguimiento de las pautas de salud, de confinamiento o de movilidad.

c) Facilitar información personalizada sobre el nivel de riesgo transmisor que cada persona usuaria supone para los demás en base a la información que de ella dispone el Sistema público de salud de Galicia. La determinación, con carácter orientativo para la persona usuaria, del nivel individual de riesgo transmisor se llevará a cabo en base a la información de la que disponga el responsable del tratamiento como autoridad sanitaria y en función de si se trata de un caso COVID confirmado con infección activa, de un contacto estrecho de un caso COVID, Situación normal (incluyendo el caso COVID confirmado con infección superada)

Dicha información tendrá una finalidad meramente orientativa para las personas usuarias sin consecuencias jurídicas para éstas, por lo deberá ser contrastada con los servicios sanitarios para su confirmación. En cualquier caso, la persona usuaria podrá comunicarse con el responsable del tratamiento

d) Facilitar la identificación de los contactos estrechos y recientes de la persona usuaria en caso de que esta fuese declarada como caso COVID-19 confirmado o probable que contribuyan al rastreo de la expansión del virus y a la interrupción de las cadenas de transmisión.

e) Servir como soporte digital para el almacenamiento de documentación individual que pueda ser de utilidad para facilitar la aplicación de las medidas que adopten las autoridades competentes en la gestión de la crisis.

f) Facilitar el registro automático de los accesos con fecha y hora de las personas usuarias a locales de ocio y eventos, de forma que, en el supuesto de que se detectase un caso COVID-19 en uno de estos espacios, sirva de apoyo para el rastreo manual de personas que pudieron estar en contacto con dicho positivo.

f) Obtener información relevante por su valor científico o epidemiológico con las debidas garantías de anonimización.

5.Legitimación para el tratamiento de datos personales

Se tratarán los datos necesarios para el buen funcionamiento de la aplicación y la operatividad de sus funcionalidades. El uso de la aplicación y la configuración de cada una de sus diferentes funcionalidades se basará en la voluntariedad de la ciudadanía, de forma que la persona usuaria podrá activar y desactivar de forma específica cada una de ellas de forma independiente en todo momento, así como decidir desinstalar la aplicación. Todo ello, sin que se derive consecuencia negativa alguna para quien no pueda o decida no descargar o no usar la aplicación. Los tratamientos de datos personales, derivados de la operativa de la App tanto de categorías generales como de categorías especiales, se realizarán por razones de interés público general. En particular, por razones de interés público esencial para la determinación de la información de nivel de riesgo como posible transmisor, y por razones de interés público en el ámbito de la salud pública respecto a la declaración por parte de la persona usuaria de contactos estrechos tras la declaración de la persona usuaria como caso COVID-19. Más información en https://www.xunta.gal/rexistro-de-actividades

6.Plazo de conservación de los datos

Los datos se conservarán durante el tiempo necesario para cada una de las funcionalidades de la App y se procederá a su supresión, anonimización y/o bloqueo conforme a lo previsto en la normativa vigente.

El sistema de información Passcovid.gal estará vinculado a las disposiciones y a los protocolos de gestión de la crisis sanitaria derivada del coronavirus COVID-19, por lo que su vigencia queda restringida al periodo temporal en que tales disposiciones y protocolos sean de aplicación. La finalización de dicha vigencia será en el momento de la declaración por el gobierno estatal, en aplicación de lo dispuesto en el artículo 2.3 del Real decreto ley 21/2020, de 9 de junio, de medidas urgentes de prevención, contención y coordinación para hacer frente a la crisis sanitaria ocasionada por el COVID-19, de la finalización de la situación de crisis sanitaria ocasionada por el COVID-19 o, de ser posterior, en el momento de la declaración, por el Gobierno autonómico, de la finalización de la situación de emergencia sanitaria declarada por Acuerdo del Consello de la Xunta de Galicia de 13 de marzo de 2020, por el que se declara la situación de emergencia sanitaria en el territorio de la Comunidad Autónoma de Galicia y se activa el Plan territorial de emergencias de Galicia (Platerga) en su nivel IG (emergencia de interés gallego), como consecuencia de la evolución de la epidemia del coronavirus COVID-19. Mediante resolución de la persona titular de la onsellería competente en materia de sanidad publicada en el Diario Oficial de Galicia, se hará público el momento del fin de la vigencia del sistema, lo que supondrá la inmediata desactivación de la aplicación y la supresión de los datos personales tratados para tales fines.

Todo ello, sin perjuicio de la posible conservación de aquella información que sea relevante por su valor científico o epidemiológico al servicio del interés público durante periodos más largos, conservándose en formato anonimizado y con las garantías necesarias para imposibilitar la reidentificación de las personas afectadas.

7.Categorías de destinatarios de los datos personales

El responsable del tratamiento, Consellería de Sanidade/Servicio Gallego de Salud (Sergas), para las finalidades descritas en el apartado 3, permitirá el acceso a los datos personales a la Agencia para la modernización tecnológica de Galicia (Amtega) en su condición de encargado del tratamiento. La relación entre ambas entidades se regula en la ORDEN de 18 de agosto de 2020 por la que se regula el sistema de información Passcovid.gal como medida complementaria en la gestión de la crisis sanitaria ocasionada por el COVID-19. Asimismo, los datos podrían ser comunicados Se adoptarán en todo caso las medidas necesarias para garantizar la confidencialidad y seguridad de los datos y la protección de los derechos de las personas interesadas, así como la suscripción de los compromisos de confidencialidad correspondientes. Asimismo, se ha establecido un proceso de verificación, evaluación y revisión periódica de la eficacia de las medidas implantadas.

8.Derechos de las personas interesadas respecto de sus datos personales y cómo solicitarlos

El responsable del tratamiento garantizará y facilitará en todo momento a la ciudadanía el ejercicio de sus derechos en materia de protección de datos personales. Estos derechos son:

• Derecho de acceso: derecho a obtener confirmación sobre si se están tratando los datos e información, en su caso, sobre dicho tratamiento.
• Derecho de rectificación: derecho a solicitar la rectificación de los datos cuando sean inexactos.
• Derecho de supresión u olvido: derecho a obtener la supresión de los datos en los términos previstos en la normativa vigente.
• Derecho de oposición: derecho a oponerse, en cualquier momento, a que los datos personales sean objeto de tratamiento.
• Derecho a la limitación del tratamiento: derecho a que el responsable limite el tratamiento de los datos de la persona interesada en los supuestos recogidos en la normativa vigente.
• Derecho a la portabilidad de los datos: derecho a recibir los datos que proporcionó en un formato estructurado, de uso común y lectura mecánica, o a que sean transmitidos directamente a un tercero en los supuestos establecidos en la normativa vigente.
• Derecho a no ser objeto de decisiones individuales automatizadas: derecho a no ser objeto de una decisión basada únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, que produzca efectos jurídicos en el interesado o le afecte significativamente de modo similar.
• Derecho a retirar el consentimiento: cuando el tratamiento de los datos esté basado en el consentimiento de las personas interesadas, estas podrán retirar el consentimiento otorgado en cualquier momento, sin que eso afecte a la licitud del tratamiento previo a su retirada.

Las personas interesadas podrán solicitar el derecho de acceso, rectificación, supresión, limitación, oposición y portabilidad de los datos personales tratados. Además, podrán retirar cada consentimiento otorgado en cualquier momento, aunque ello no afectará a la licitud del tratamiento basado en el consentimiento previo a su retirada. Todo ello a través de la sede electrónica de la Xunta de Galicia a través del procedimiento denominado PR004A o en los lugares y registros establecidos en la normativa reguladora del procedimiento administrativo común, según se recoge en https://www.xunta.gal/exercicio-de-dereitos

A las personas interesadas les asiste en todo momento el derecho para presentar una reclamación ante la Agencia Española de Protección de Datos – AEPD.

9.Otras garantías en el tratamiento de los datos

Otras garantías en el tratamiento de los datos quedan recogidas en la orden de regulación de la Aplicación: ORDEN de 18 de agosto de 2020 por la que se regula el sistema de información Passcovid.gal como medida complementaria en la gestión de la crisis sanitaria ocasionada por el COVID-19.

Tanto en el desarrollo como en la puesta en marcha y funcionamiento del sistema y de la aplicación que da acceso a este, y posteriormente en su desactivación, se establecerán las garantías necesarias para las personas usuarias y demás personas afectadas respecto al tratamiento de sus datos personales, según lo dispuesto en la normativa vigente en materia de protección de datos y confidencialidad de las comunicaciones, en especial la Directiva 2002/58/CE del Parlamento Europeo y del Consejo, de 12 de julio de 2002, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas (Directiva sobre la privacidad y las comunicaciones electrónicas), así como sus normas de transposición, el Reglamento General de Protección de Datos y la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.

Estas garantías respetarán los principios recogidos en dicha normativa. En particular, la recogida de los datos personales se regirá por los principios generales de efectividad, necesidad y proporcionalidad, respetándose en todo caso el principio de minimización de los datos.

Se tomarán medidas para garantizar que cualquier persona que actúe bajo la autoridad del responsable o del encargado y tenga acceso a datos personales solamente pueda tratar dichos datos siguiendo instrucciones del responsable, salvo que esté obligada a ello en virtud del Derecho de la Unión o de los Estados miembros. Entre otras medidas, se solicitarán los compromisos de confidencialidad personales necesarios, en los que se hará mención expresa al deber de secreto profesional conforme a lo exigido en el Reglamento General de Protección de Datos.

En cumplimiento del principio de limitación de la finalidad, los datos personales serán tratados únicamente para las finalidades indicadas y para ninguna otra, y no serán utilizados posteriormente de manera incompatible con dichos fines. Los posibles tratamientos que puedan resultar necesarios con fines de archivo en interés público, investigación científica o histórica o estadísticos estarán sujetos a las garantías previstas en el artículo 89 del RGPD y se regirán por la legislación aplicable a cada caso. Asimismo, de acuerdo con el principio de minimización de datos, únicamente serán objeto de tratamiento los datos que sean adecuados, pertinentes y estrictamente necesarios para las distintas funcionalidades del sistema, después de valorar la necesidad de su tratamiento y su pertinencia, además de no existir otra medida menos invasiva que pueda ofrecer los mismos resultados.

El cumplimiento del principio de responsabilidad proactiva y de la obligación de implementar la privacidad desde el diseño y por defecto se documentó en una evaluación de impacto en la protección de datos.

Dicha evaluación de impacto será objeto de las actualizaciones necesarias en la medida en que el sistema y la aplicación que da acceso a este puedan evolucionar, incorporando progresivamente nuevos servicios para las personas usuarias a los que inicialmente se pongan a su disposición, siempre dentro de las finalidades y funcionalidades previstas en la orden de regulación de la Aplicación.

Se aplicarán las medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, incluyendo: la seudonimización y el cifrado de datos personales; la capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento; la capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidencia física o técnica y un procedimiento permanente de verificación, evaluación y valoración de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento. En concreto, se aplicarán a los tratamientos de datos personales derivados de las distintas funcionalidades del sistema las medidas que correspondan según lo previsto en el Esquema nacional de seguridad, protegiendo así la seguridad de los datos. Dichas medidas se documentarán adecuadamente. Se implementarán además las medidas necesarias para garantizar la exactitud y actualización de los datos personales tratados.

10.Política de cookies

‍Utilizamos solamente cookies técnicas que permiten al usuario la navegación y la utilización de las diferentes opciones o servicios que se ofrecen en la Aplicación como, por ejemplo, identificar la sesión e identificarte como usuario registrado cada vez que accedas a la Aplicación, acceder a partes de acceso restringido o utilizar elementos de seguridad durante la navegación.

11.Normativa básica aplicable

• ORDEN de 18 de agosto de 2020 por la que se regula el sistema de información Passcovid.gal como medida complementaria en la gestión de la crisis sanitaria ocasionada por el COVID-19.
• Reglamento (UE) 2016/679, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento General de Protección de Datos).
• Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales.
• Ley 14/1986, de 25 de abril, General de Sanidad
• Ley Orgánica 3/1986, de 14 de abril, de Medidas Especiales en Materia de Salud Pública
• Ley 33/2011, de 4 de octubre, General de Salud Pública
• Ley 8/2008, de 10 de julio, de salud de Galicia.
• Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
• Ley 3/2001, de 28 de mayo, reguladora del consentimiento informado y de la historia clínica de los pacientes.
• Decreto 29/2009, de 5 de febrero, por el que se regula el uso y acceso a la historia clínica electrónica.
• Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración electrónica (ENS)