LA PIRENAICA DIGITAL

PAGINA DE LA CLASE OBRERA


RESOLUCIÓN DE 14-9-2018


SUBCRÍBETE AL BOLETÍN DE NOTICIAS DE LA PIRENAICA, ENVIANDO TU DIRECCIÓN DE CORREO -->

Seguir a @PIRENAICADIGITA


RESOLUCIÓN DE 14-9-2018, DEL INSTITUTO NACIONAL DE LA SEGURIDAD SOCIAL, POR LA QUE SE ESTABLECEN LAS PRESCRIPCIONES TÉCNICAS NECESARIAS PARA EL DESARROLLO Y APLICACIÓN DE LA "TARJETA SOCIAL UNIVERSAL" (BOE 20-9)

TEXTO

La Tarjeta Social Universal es un sistema de información creado por la disposición adicional 141ª de la Ley 6/2018, de 3-7, de Presupuestos Generales del Estado para el año 2018, destinado a mejorar y coordinar las políticas de protección social impulsadas por las diferentes administraciones públicas.

Disposición Adicional 141ª. Creación de la Tarjeta Social Universal.

Uno. Se crea la Tarjeta Social Universal como sistema de información, al objeto de mejorar y coordinar las políticas de protección social impulsadas por las diferentes administraciones públicas.

La participación de las Administraciones Públicas en el citado sistema será voluntaria sin perjuicio de que en todo caso deba transmitirse la información que actualmente conforma el RPSP.

El sistema de Tarjeta Social Universal se destinará a los siguientes usos:

- La gestión de los datos identificativos de las prestaciones sociales públicas de contenido económico y situaciones subjetivas incluidas en su ámbito de aplicación y de sus beneficiarios, mediante la formación de un banco de datos automatizado.

- El conocimiento coordinado y la cesión de datos entre las entidades y organismos afectados, con el fin de facilitar el reconocimiento y supervisión de las prestaciones sociales públicas por ellos gestionadas.

- El acceso y la consulta de las administraciones públicas y otras entidades del sector público integradas en el sistema que gestionen prestaciones sociales públicas de contenido económico.

- La explotación estadística con la finalidad de elaborar estudios económicos encaminados a la mejora de las políticas sociales públicas.

Dos. La Tarjeta Social Universal incluirá la información actualizada correspondiente a todas las prestaciones sociales contributivas, no contributivas y asistenciales, de contenido económico, financiadas con cargo a recursos de carácter público, y además recogerá una información paramétrica y actualizada sobre las situaciones subjetivas previstas en el apartado 4 de esta disposición adicional, y ofrecerá, en base a dicha información, funcionalidades y utilidades a las distintas administraciones públicas y a los ciudadanos.

Reglamentariamente se regulará el procedimiento para que los ciudadanos puedan utilizar las funcionalidades y utilidades del sistema con el objetivo de beneficiarse de servicios o productos ofrecidos por empresas a los titulares de las prestaciones sociales públicas y situaciones subjetivas incorporadas al mismo.

Tres. Se atribuye al Ministerio de Empleo y Seguridad Social, a través del INSS, la administración, la gestión y el mantenimiento del registro y del sistema informático que dará soporte a la Tarjeta Social Universal y las funcionalidades inherentes a la misma, con arreglo a las prescripciones contenidas en esta disposición adicional y en sus normas de desarrollo reglamentario.

Cuatro. Las administraciones públicas, entidades y organismos y empresas públicas responsables de la gestión de las prestaciones sociales públicas de contenido económico enumeradas en el apartado Dos, que se hayan incorporado a la Tarjeta Social Universal, quedan obligados a facilitar al INSS la información actualizada correspondiente a los datos identificativos de los titulares de las prestaciones económicas, así como, en cuanto determinen o condicionen el reconocimiento y mantenimiento del derecho a aquéllas, de los beneficiarios, cónyuges y otros miembros de las unidades familiares, y los importes y clases de las prestaciones abonadas y la fecha de efectos de su concesión o reconocimiento.

Los organismos competentes dependientes del Ministerio de Hacienda y Función Pública o, en su caso, de las diputaciones forales, dentro de cada ejercicio anual, facilitarán al INSS información relativa a los niveles de renta de los ciudadanos afectados.

A su vez, las administraciones públicas, entidades y organismos con competencias en materia de discapacidad, dependencia, demanda de empleo, familia numerosa, garantía juvenil, condición de autónomo y cualquier otra situación subjetiva relevante, que así se determine reglamentariamente, y que se hayan incorporado a la Tarjeta Social Universal, facilitarán al INSS la información actualizada sobre estas situaciones en relación con los ciudadanos incluidos en Tarjeta Social Universal.

El INSS y la Intervención General de la Administración del Estado acordarán mecanismos de colaboración para que la información contenida en la Tarjeta Social Universal y en la Base de Datos Nacional de Subvenciones sea consistente. Reglamentariamente se establecerá el procedimiento que permita el intercambio recíproco de datos referentes exclusivamente a las subvenciones.

Cinco. Las administraciones públicas, entidades y organismos responsables de la gestión de las prestaciones sociales públicas definidas en el apartado Dos que se incorporen al sistema de Tarjeta Social Universal tendrán acceso a toda la información sobre las prestaciones económicas públicas que perciben los ciudadanos, para el reconocimiento y supervisión de las prestaciones sociales públicas por ellos gestionadas. Asimismo, el ciudadano tendrá acceso a toda la información que sobre su persona obre en el sistema de información de Tarjeta Social Universal, en los términos que se establezcan reglamentariamente.

Seis. El tratamiento de datos previsto en el sistema de Tarjeta Social Universal se basa en el interés público que persigue el tener un sistema integrado en el que se recojan todas las prestaciones sociales públicas de contenido económico y situaciones subjetivas consideradas y que afecten a los ciudadanos. La información contenida en el sistema se someterá a la normativa vigente en materia de protección de datos de las personas físicas.

Siete. Las prestaciones sociales públicas de carácter económico definidas en el apartado 2, se incorporarán de forma gradual al sistema de información de la Tarjeta Social Universal de acuerdo con los plazos, requisitos y procedimientos que se establezcan mediante norma reglamentaria.

Ocho. Una comisión integrada por representantes de la Administración General del Estado, de las CC.AA., de la Administración Local, de las empresas públicas responsables de prestaciones sociales públicas incluidas en el sistema de Tarjeta Social Universal y de las organizaciones sindicales y empresariales más representativas a nivel estatal velará por el correcto funcionamiento del sistema. Deberá reunirse por lo menos una vez al año y su composición y funcionamiento se determinará por Real Decreto.

Igualmente podrán constituirse comisiones de seguimiento en el ámbito de cada comunidad autónoma.

Nueve. Se faculta al Gobierno para dictar cuantas disposiciones sean necesarias para la aplicación y desarrollo de esta disposición adicional, informada la Conferencia sectorial correspondiente.

Constituye un fichero con datos de carácter personal que incluye la información actualizada correspondiente a todas las prestaciones sociales contributivas, no contributivas y asistenciales de contenido económico, reconocidas a los ciudadanos y financiadas con cargo a recursos de carácter público. Además, recoge una información paramétrica y actualizada sobre determinadas situaciones subjetivas, y ofrece, en base a dicha información, funcionalidades y utilidades a las distintas administraciones públicas, así como a aquellas entidades afectadas que colaboren con el sistema.

La Ley Orgánica 15/1999, de 13-12, de Protección de Datos de Carácter Personal, obliga a los responsables de los ficheros, así como a los encargados del tratamiento de datos, a la adopción de medidas de índole técnica y organizativa necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.

El Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27-4-2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos), representa la continuación de la ley orgánica anterior, por la que el responsable del fichero pasa a llamarse responsable del tratamiento y adquiere más poder y, a la vez, más obligaciones de asistencia a los titulares del dato y a una seguridad activa.

Por otra parte, el Real Decreto 3/2010, de 8-1, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica, obliga a los responsables de los sistemas de información a clasificar sus sistemas y aplicar, en consecuencia, y de acuerdo con un análisis de los riesgos de seguridad, las medidas de seguridad necesarias que combatan dichos riesgos.

El texto refundido de la Ley General de la Seguridad Social, aprobado por Real Decreto Legislativo 8/2015, de 30 de octubre, en su artículo 77, dispone que los datos, informes o antecedentes obtenidos por la Administración de la Seguridad Social en el ejercicio de sus funciones tienen carácter reservado y sólo podrán utilizarse para los fines encomendados a las distintas entidades gestoras y servicios comunes de la Seguridad Social, sin que puedan ser cedidos o comunicados a terceros, salvo que la cesión o comunicación tenga por objeto alguno de los que expresamente se enumeran en dicho artículo.

Artículo 77. Reserva de datos.

1. Los datos, informes o antecedentes obtenidos por la Administración de la Seguridad Social en el ejercicio de sus funciones tienen carácter reservado y solo podrán utilizarse para los fines encomendados a las distintas entidades gestoras y servicios comunes de la Seguridad Social, sin que puedan ser cedidos o comunicados a terceros, salvo que la cesión o comunicación tenga por objeto:

a) La investigación o persecución de delitos públicos por los órganos jurisdiccionales, el Ministerio Público o la Administración de la Seguridad Social.

b) La colaboración con las Administraciones tributarias a efectos del cumplimiento de obligaciones fiscales en el ámbito de sus competencias.

c) La colaboración con el sistema de la Inspección de Trabajo y Seguridad Social y la Intervención General de la Seguridad Social, en el ejercicio de sus funciones de inspección y control interno o con las demás entidades gestoras de la Seguridad Social distintas del cedente y demás órganos de la Administración de la Seguridad Social y para los fines de estadística pública en los términos de la ley reguladora de dicha función pública.

d) La colaboración con cualesquiera otras administraciones públicas para la lucha contra el fraude en la obtención o percepción de ayudas o subvenciones a cargo de fondos públicos, incluidos los de la Unión Europea, así como en la obtención o percepción de prestaciones incompatibles en los distintos regímenes del sistema de la Seguridad Social.

e) La colaboración con las comisiones parlamentarias de investigación en el marco legalmente establecido.

f) La protección de los derechos e intereses de los menores o personas con capacidad modificada por los órganos jurisdiccionales o el Ministerio Público.

g) La colaboración con el Tribunal de Cuentas en el ejercicio de sus funciones de fiscalización de la Administración de la Seguridad Social.

h) La colaboración con los jueces y tribunales en el curso del proceso y para la ejecución de resoluciones judiciales firmes. La solicitud judicial de información exigirá resolución expresa, en la que, por haberse agotado los demás medios o fuentes de conocimiento sobre la existencia de bienes y derechos del deudor, se motive la necesidad de recabar datos de la Administración de la Seguridad Social.

2. El acceso a los datos, informes o antecedentes de todo tipo obtenidos por la Administración de la Seguridad Social sobre personas físicas o jurídicas, cualquiera que sea su soporte, por el personal al servicio de aquella y para fines distintos de las funciones que le son propias, se considerará siempre falta disciplinaria grave.

3. Cuantas autoridades y personal al servicio de la Administración de la Seguridad Social tengan conocimiento de estos datos o informes estarán obligados al más estricto y completo sigilo respecto de ellos, salvo en los casos de los delitos citados, en los que se limitarán a deducir el tanto de culpa o a remitir al Ministerio Fiscal relación circunstanciada de los hechos que se estimen constitutivos de delito. Con independencia de las responsabilidades penales o civiles que pudieran corresponder, la infracción de este particular deber de sigilo se considerará siempre falta disciplinaria muy grave.

La disposición adicional 141ª de la Ley 6/2018, de 3 de julio, de Presupuestos Generales del Estado para el año 2018, por la que se crea la Tarjeta Social Universal prevé su desarrollo reglamentario, actualmente en tramitación.

A su vez la disposición final 46ª del mismo texto establece que, sin perjuicio de la entrada en vigor de la disposición adicional 141ª al día siguiente de la publicación de la Ley de Presupuestos Generales del Estado, la efectividad práctica de la puesta en funcionamiento del Sistema de Tarjeta Social Universal se producirá a los 3 meses de la fecha anterior.

Disposición final 46ª. Entrada en vigor.

Uno. La presente Ley entrará en vigor el 5-7, día siguiente de su publicación en el BOE.

Dos. Sin perjuicio de la entrada en vigor de la disposición adicional 141ª, al día siguiente de la publicación de la Ley de Presupuestos Generales del Estado, la efectividad práctica de la puesta en funcionamiento del Sistema de Tarjeta Social Universal se producirá el 5-10, a los 3 meses de la fecha anterior.

En virtud de lo anterior, esta Dirección General, en uso de las atribuciones que tiene conferidas, resuelve:

Primero.

1º.- Aprobar las prescripciones técnicas necesarias para el desarrollo y aplicación de la «Tarjeta Social Universal».

2.- Ordenar su publicación en el BOE.

Segundo.

La presente Resolución entra en vigor a partir del 21-9, día siguiente a su publicación en el BOE.

======================

Prescripciones técnicas necesarias para el desarrollo y aplicación de la Tarjeta Social Universal

I.- Objeto y responsabilidad

Las presentes prescripciones técnicas tienen por objeto establecer los requisitos necesarios para el desarrollo de la administración, gestión y mantenimiento del sistema de la Tarjeta Social Universal (en adelante, el sistema), así como para asegurar su funcionamiento e interoperabilidad.

El responsable del tratamiento del sistema será el INSS.

La persona titular de la Subdirección General de Gestión de Prestaciones, como responsable de dicho tratamiento, adoptará las medidas de gestión y organización que sean necesarias para asegurar la confidencialidad, seguridad e integridad de los datos, así como las conducentes a hacer efectivas las garantías, obligaciones y derechos reconocidos en la legislación sobre protección de datos.

II.- Ámbito de aplicación

Las presentes prescripciones técnicas serán de aplicación a:

a) Los órganos y organismos públicos de la Administración General del Estado, de las Administraciones de las Comunidades Autónomas y Ciudades Autónomas de Ceuta y Melilla, y de las Administraciones que integran la Administración Local, obligadas a transmitir la información que conforma el Registro de Prestaciones Sociales Públicas, así como aquellas otras que participen en el sistema de la Tarjeta Social Universal.

b) Las mutuas colaboradoras con la Seguridad Social.

c) Las entidades del sector privado vinculadas o dependientes de las Administraciones Públicas.

d) Las empresas colaboradoras en la gestión de la Seguridad Social.

III. Administradores y usuarios

1. En la Dirección General del INSS corresponde al titular de la Subdirección General de Gestión de Prestaciones, bajo la dirección, planificación y control de la Dirección General, ejercer las funciones de administrador ejecutivo, siendo responsable de las normas y planes de actuación que se establezcan en materia de seguridad y confidencialidad de la información.

El Administrador ejecutivo nombrará varios Administradores, que serán los responsables de autorizar a los usuarios del sistema, en la Dirección General del INSS, así como del control de las autorizaciones de acceso al sistema por las entidades externas.

En las direcciones provinciales los Administradores del sistema serán los Directores provinciales, que podrán designar a dos Administradores más, siendo todos ellos los responsables de autorizar a los usuarios de la dirección provincial, vigilando la aplicación de las normas y planes de actuación establecidos en materia de seguridad y confidencialidad de la información.

2. Las entidades externas que tengan autorización de acceso al sistema deberán contar con uno o varios Administradores, que serán los responsables de designar a sus propios usuarios, controlando que las autorizaciones se limiten al ámbito exclusivo y concreto de sus funciones como gestores del sistema.

La designación de los Administradores, así como cualquier modificación de los mismos, deberá comunicarse al INSS de acuerdo con la información publicada al efecto, en www.seg-social.es.

3. La Gerencia de Informática de la Seguridad Social, de acuerdo con las competencias que le son atribuidas en la disposición adicional segunda del Real Decreto 903/2018, de 20 de julio, por el que se desarrolla la estructura orgánica del Ministerio de Trabajo, Migraciones y Seguridad Social:

Dispondrá de un Registro de Administradores y Usuarios permanentemente actualizado.

Establecerá el soporte técnico con los mecanismos de seguridad necesarios para la autorización y autenticación de los usuarios al sistema.

Se entiende por autorización el permiso para el acceso al sistema y por autenticación la comprobación de la identidad del usuario que accede al mismo.

Cada usuario contará con una credencial para el acceso al sistema compuesta de un código de acceso y una contraseña elegida por el usuario. Esta credencial es personal e intransferible. Todos sus accesos quedarán registrados y referenciados a estas credenciales.

Cada organismo recordará periódicamente a sus administradores y usuarios que están obligados al cumplimiento de la normativa en materia de protección de datos y a hacer un buen uso de la información a la que tienen acceso.

Cuando un usuario lleve más de tres meses sin conectarse al sistema, su permiso de acceso podrá ser cancelado, siendo necesario para reactivarlo la intervención del Administrador.

Los usuarios que accedan al sistema de información y los auditores se regirán por lo dispuesto en la Orden de 17-1-1996, sobre control de accesos al sistema informático de la Seguridad Social.

IV. Auditorías de accesos y Ámbito

El INSS, en cumplimiento de las obligaciones que adquiere como responsable del tratamiento a efectos de la legislación de protección de datos de carácter personal y del Esquema Nacional de Seguridad, deberá someter el sistema a auditorías periódicas que verifiquen el cumplimiento de las medidas de índole técnica y organizativa necesarias para garantizar su seguridad. A estos efectos, establecerá los mecanismos necesarios de revisión del uso de la información almacenada en el sistema.

El INSS definirá en cada momento, en colaboración con la Gerencia de Informática de la Seguridad Social, las características de las herramientas y aplicaciones que sean necesarias para el desarrollo de las funciones de auditoría, control de accesos y seguimiento de rastros de actividad de los usuarios en su acceso al sistema, así como la determinación de los perfiles que podrán tener los diferentes usuarios según las funciones que realicen: Administradores, usuarios y auditores.

Las Administraciones Públicas, Organismos y Entidades Públicas que se incorporen al sistema, deberán aceptar los procedimientos de auditoría previstos por el INSS y aplicarlos al personal usuario de los mismos, en las mismas condiciones técnicas y organizativas que el INSS efectúa respecto de su personal autorizado.

Cada usuario será responsable de todos los accesos que se realicen mediante el uso de su contraseña personal y del código de acceso que se le haya facilitado como medio de autorización. A tal fin deberá mantener la custodia y secreto de la mencionada contraseña, así como vigilar posibles usos ajenos, denunciando cualquier transgresión.

Cada Administrador, usuario y auditor tendrá un solo código para la realización de los accesos que tenga permitidos.

La competencia para la realización de las auditorias corresponde a:

A) Los Administradores de auditorías de categoría máxima de la Dirección General del INSS como responsables del sistema de auditorías (titular de la Dirección General como Administrador de categoría máxima de los tratamientos y el titular de la Secretaría General como unidad competente de análisis, propuesta y desarrollo de actuaciones en materia de control y evaluación de los servicios).

B) Los órganos competentes en el Sistema Nacional de Auditorías (Auditor Delegado Nacional y Unidad Nacional de Auditorías, dependientes de la Secretaría General del INSS).

C) Los órganos de control en materia de auditorías en la Dirección General del INSS (titulares de la Secretaría General y las Subdirecciones Generales como administradores de auditorías de sus respectivas unidades).

D) Los órganos de control en materia de auditorías en las direcciones provinciales del INSS (titulares de las Direcciones Provinciales).

E) Los órganos de control en materia de auditorías en las Administraciones Públicas y entidades externas (Responsables, designados por las Administraciones públicas y entidades externas).

Se establecen las siguientes limitaciones:

a) En la Dirección General del INSS el ámbito de la auditoría debe coincidir con el total de usuarios en servicio.

A criterio de los titulares de la Secretaría General y las Subdirecciones Generales, como administradores de auditorías y bajo su coordinación, puede designarse más de un auditor cuando se considere oportuno por razón del volumen de usuarios o por estar la unidad estructurada en subdepartamentos.

b) En las direcciones provinciales del INSS el ámbito de la auditoría coincide con el total de usuarios destinados en las mismas. A criterio del titular de la Dirección Provincial, como administrador de auditorías y bajo su coordinación, podrán designarse dos o más Auditores Delegados provinciales para asumir las funciones de auditoría del personal de la Dirección Provincial, si éste es numeroso.

c) Las Administraciones Públicas y entidades externas deben ser siempre auditadas de forma independiente al personal del INSS, por sus responsables o personas que les sustituyan.

V. Usos indebidos

Se considerará uso indebido el acceso al sistema que obedezca a objetivos que difieran de la gestión concreta, atribuida al órgano o unidad en la que se encuadre el usuario responsable del acceso efectuado.

Tendrán, además, la consideración de usos indebidos las siguientes actuaciones:

a) El acceso al sistema con la finalidad de obtener información de los titulares de los datos no requerida por la gestión encomendada.

b) Crear bases de datos paralelas a la del sistema.

c) Hacer uso de los datos del sistema para otra finalidad sin la autorización expresa y por escrito del INSS.

Los órganos directivos de la Seguridad Social y de las entidades externas son los responsables directos de comunicar inmediatamente al INSS, de acuerdo con el procedimiento que se establezca, los usos indebidos que se hayan producido.

La detección de accesos no justificados o improcedentes, el uso indebido de datos, la utilización ilícita de las transacciones o cualquier otro tipo de anomalía, motivará la adopción con carácter inmediato de las medidas pertinentes, pudiendo dar lugar a la exigencia de las responsabilidades a las que se refieren los apartados 2 y 3 del artículo 77 del texto refundido de la Ley General de la Seguridad Social.

En todo caso, cuando se observe el uso indebido, el responsable del tratamiento dará inmediato traslado de los hechos a la Agencia Española de Protección de Datos.

Madrid, 14 de septiembre de 2018

La Directora General del INSS, M.ª Gloria Redondo Rincón.