Le detidamente esta política de privacidade para persoas usuarias da aplicación móbil Sergas Móbil (en adiante a “aplicación”) como instrumento de punto de acceso centralizado a recursos móbiles da Consellería de Sanidade e o Servizo Galego de Saúde. Esta política de privacidade, así como as condicións de uso da aplicación, poderán complementarse coa información sobre o funcionamento da aplicación publicada en https://www.sergas.gal/A-nosa-organizacion/Aplicacion-mobil-Sergas-Mobil, coa política xeral de privacidade da Xunta de Galicia e coa información xeral sobre tratamento de datos persoais na Consellería de Sanidade e no Servizo Galego de Saúde.

Consellería de Sanidade/Servizo Galego de Saúde (Sergas). Complexo administrativo de San Lázaro, s/n.15781 Santiago de Compostela. CIF: Q6550006 H

Contacto delegado de Protección de Datos: https://www.xunta.gal/delegados-de-proteccion-de-datos

A aplicación permite 3 métodos de identificación no sistema:

O detalle da limitación de acceso aos servizos que permite cada nivel de identificación está publicado en https://www.sergas.gal/A-nosa-organizacion/Aplicacion-mobil-Sergas-Mobil.

Datos identificativos da persoa usuaria rexistrados no tratamento de Identificación usuarios e profesionais do sistema público sanitario:

• ​Nome e apelidos, data de nacemento e lugar de residencia, para confirmar a identidade
• DNI / NIE, para identificarse e poder obter información sanitaria personalizada
• CIP (Código de Identificación Persoal no Sistema de Información de Tarxeta Sanitaria) e código do sistema nacional de saúde ou número da Seguridade Social, para identificarse e poder obter información sanitaria personalizada
• Número de teléfono móbil, para o envío de notificacións SMS

Datos de saúde da persoa usuaria contidos no tratamento da Xestión de Historia Clínica e Actividade asistencial:

• Datos das citas médicas
• Datos derivados de videoconsultas
• Acceso á carpeta de saúde do paciente
  
• Acceso á ferramenta de Teleasistencia
  
• Acceso ao Certificado Dixital COVID da Unión Europea (de vacinación, de recuperación y de probas) conforme ás normas da Comisión Europea recompiladas na páxinhttps://ec.europa.eu/info/live-work-travel-eu/coronavirus-response/safe-covid-19-vaccines-europeans/eu-digital-covid-certificate_es
  
  A aplicación non recompila datos relativos á COVID-19, solo facilita o acceso ao Certificado Dixital COVID que se xera a partir dos datos que o Servizo Galego de Saúde xa posúe como provedor da sanidade pública galega, responsable da vacinación contra a COVID-19 de todos os cidadáns da comunidade autónoma de Galicia, así como da xestión da sanidade galega, incluída a COVID-19.

• Datos facilitados pola persoa usuaria da aplicación
• Datos solicitados de entre os que a Administración autonómica xa posúe, especialmente do sistema sanitario público galego
• Datos obtidos do dispositivo móbil

A aplicación ten como obxectivo achegar a toda a cidadanía o catálogo de apps e servizos do Sergas, de xeito transversal, inclusivo e eficaz de cara a:

1. Potenciar o acceso dos e-servizos de maior demanda pola cidadanía
2. Incorporar novos e-servizos (tarxeta sanitaria virtual, videoconsulta)
3. Mellorar o acceso entre as diferentes aplicacións

A aplicación solicita especificamente permisos necesarios para poder proporcionar o conxunto de funcionalidades das que consta. Solicítanse unha única vez -recoméndase seleccionar a opción "So cando a aplicación está en uso"- e logo poden modificarse e incluso revogarse como se indica a continuación, anque isto poida afectar ó correcto funcionamento da app.

• Aplicación Android: Neste caso pódese consultar a ligazón "Cómo cambiar os permisos dunha app nun teléfono Android"
• Aplicación iOS: Na opción Privacidade dos axustes do dispositivo atópanse as categorías para ver que aplicacións teñen acceso a que permisos, podendo modificalos

Os permisos necesarios son os seguintes, en función do sistema operativo do dispositivo onde se instale a aplicación:

• Aplicación Android:
  • Xeolocalización (ACCESS_COARSE_LOCATION, ACCESS_FINE_LOCATION): A aplicación utiliza servizos de ubicación para permitirche obter o turno dunha cita cando chegues ó centro, para a opción de realidade aumentada para posicionarche no interior dos centros e para enviar a túa ubicación ó servizo de emerxencias cando realices unha chamada dende a sección "Chamar ó 061"
  • Redes Wi-Fi (ACCESS_WIFI_STATE, CHANGE_WIFI_STATE): A aplicación utiliza Wi-Fi para localizarche no interior dos centros e así poderche guiar por eles
  • Bluetooth (BLUETOOTH/BLUETOOTH_ADMIN): A aplicación utiliza o bluetooth para localizarche no interior dos centros e así poderche guiar por eles
  • Micrófono (RECORD_AUDIO): A aplicación necesita permiso de uso de micrófono para realizar videoconsultas co teu médico
  • Almacenamento (READ_EXTERNAL_STORAGE, WRITE_EXTERNAL_STORAGE): A aplicación require acceder á galería para que se poidan seleccionar fotos para asociar ós pacientes. Tamén require o permiso de escritura para a descarga ou subida documentos
  • Calendario (READ_CALENDAR, WRITE_CALENDAR): A aplicación necesita utilizar o calendario para engadir citas ó teu calendario
  • Cámara (CAMERA): A aplicación necesita permiso de cámara para realizar videoconsultas co teu médico e para rexistrar pacientes mediante o escaneo da tarxeta sanitaria
  • Teléfono (CALL_PHONE): A aplicación necesita este permiso para chamar directamente ao 061. Se non se activa este permiso, en vez de chamar automáticamente, só se marca no dial do teléfono ó número e terás que efectuar a chamada
  • NFC (NFC): A aplicación necesita este permiso para poder ler os certificados do DNIe para acceder con seguridade alta
  • Notificacións push (POST_NOTIFICATIONS): A aplicación necesita este permiso, nos dispositivos con Android 13 ou superior, para mostrar notificacións push (como poden ser as chamadas entrantes de videoconsultas, notificación de que é o teu turno nunha cita para que che atenda o profesional ou recibir información sobre estado da tarxeta ou tarxetas sanitarias virtuais descargadas)
• Aplicación iOS:
  • Xeolocalización (Privacy - Location When In Use Usage Description): A aplicación utiliza servizos de ubicación para permitirche obter o turno dunha cita cando chegues ó centro e para a opción de realidade aumentada para posicionarche no interior dos centros
  • Bluetooth (Privacy - Bluetooth Always Usage Description): A aplicación utiliza o bluetooth para localizarche no interior dos centros e así poder guiarche por eles
  • Micrófono (Microphone usage Description): A aplicación necesita permiso de uso de micrófono para realizar videoconsultas co teu médico
  • Almacenamento (Privacy - Photo Library Usage Description, Privacy - Photo Library Additions Usage Description): A aplicación require acceder á galería para que se poidan seleccionar fotos para asociar ós pacientes e para gardar imaxes
  • Calendario (Privacy - Calendars Usage Description): A aplicación necesita utilizar o calendario para engadir citas ó teu calendario
  • Cámara (Camera Usage Description): A aplicación necesita permisos de cámara para realizar videoconsultas co teu médico e para rexistrar pacientes mediante o escaneo da tarxeta sanitaria
  • Navegación (Privacy - Tracking Usage Description): A aplicación necesita permisos para gardar información sobre hábitos de navegación con fins de xeracións de estatísticas

Trataranse os datos necesarios para o bo funcionamento da aplicación e a operatividade das súas funcionalidades. O uso da aplicación e a configuración de cada unha das súas diferentes funcionalidades basearase na voluntariedade da cidadanía, de forma que a persoa usuaria poderá activar e desactivar cada unha delas de forma independente en todo momento, así como decidir desinstalar a aplicación. Todo iso, sen que se derive consecuencia negativa algunha para quen non poida ou decida non descargar ou non usar a aplicación. Os tratamentos de datos persoais, derivados da operativa da aplicación tanto de categorías xerais como de categorías especiais, realizaranse por razóns de interese público xeral.

Os datos conservaranse durante o tempo necesario para cada unha das funcionalidades da aplicación e procederase á súa supresión, conversión en anónimos e/ou bloqueo conforme ao previsto na normativa vixente.

Non están previstas comunicacións e/ou cesións de datos.

O responsable do tratamento garantirá e facilitará en todo momento á cidadanía o exercicio dos seus dereitos en materia de protección de datos persoais. Estes dereitos son:

• Dereito de acceso: dereito a obter confirmación sobre se se están tratando os datos e información, no seu caso, sobre o devandito tratamento
• Dereito de rectificación: dereito a solicitar a rectificación dos datos cando sexan inexactos
• Dereito de supresión ou esquecemento: dereito a obter a supresión dos datos nos termos previstos na normativa vixente
• Dereito de oposición: dereito a opoñerse, en calquera momento, a que os datos persoais sexan obxecto de tratamento
• Dereito á limitación do tratamento: dereito a que o responsable limite o tratamento dos datos da persoa interesada nos supostos recolleitos na normativa vixente
• Dereito á portabilidade dos datos: dereito a recibir os datos que proporcionou nun formato estruturado, de uso común e lectura mecánica, ou a que sexan transmitidos directamente a un terceiro nos supostos establecidos na normativa vixente
• Dereito a non ser obxecto de decisións individuais automatizadas: dereito a non ser obxecto dunha decisión baseada unicamente no tratamento automatizado, incluída a elaboración de perfís, que produza efectos xurídicos no interesado ou lle afecte de xeito significativo de modo similar
• Dereito a retirar o consentimento: cando o tratamento dos datos estea baseado no consentimento das persoas interesadas, estas poderán retirar o consentimento outorgado en calquera momento, sen que iso afecte á licitude do tratamento previo á súa retirada

As persoas interesadas poderán solicitar o dereito de acceso, rectificación, supresión, limitación, oposición e portabilidade dos datos persoais tratados. Ademais, poderán retirar cada consentimento outorgado en calquera momento, aínda que iso non afectará á licitude do tratamento baseado no consentimento previo á súa retirada. Todo iso na sede electrónica da Xunta de Galicia a través do procedemento denominado PR004A ou nos lugares e rexistros establecidos na normativa reguladora do procedemento administrativo común, segundo se recolle en https://www.xunta.gal/exercicio-de-dereitos​.

Ás persoas interesadas asísteas en todo momento o dereito para presentar unha reclamación fronte a Agencia Española de Protección de Datos – AEPD.

Tanto no desenvolvemento como na posta en marcha e funcionamento do sistema e da aplicación que dá acceso a este, e posteriormente na súa desactivación, estableceranse as garantías necesarias para as persoas usuarias e demais persoas afectadas respecto ao tratamento dos seus datos persoais, segundo o disposto na normativa vixente en materia de protección de datos e confidencialidade das comunicacións, en especial a Directiva 2002/58/CE do Parlamento Europeo e do Consello, do 12 de xullo de 2002, relativa ao tratamento dos datos persoais e á protección da intimidade no sector das comunicacións electrónicas (Directiva sobre a privacidade e as comunicacións electrónicas), así como as súas normas de transposición, o Regulamento Xeral de Protección de Datos e a Lei Orgánica 3/2018, do 5 de decembro, de Protección de Datos Persoais e garantía dos dereitos dixitais.

Estas garantías respectarán os principios recolleitos en dita normativa. En particular, a recompilación dos datos persoais rexerase polos principios xerais de efectividade, necesidade e proporcionalidade, respectándose en todo caso o principio de minimización dos datos.

Tomaranse medidas para garantir que calquera persoa que actúe baixo a autoridade do responsable e teña acceso a datos persoais soamente poida tratar devanditos datos seguindo instrucións do responsable, salvo que estea obrigada a iso en virtude do Dereito da Unión ou dos Estados membros. Entre outras medidas, solicitaranse os compromisos de confidencialidade persoais necesarios, nos que se fará mención expresa ao deber de secreto profesional conforme ao esixido no Regulamento Xeral de Protección de Datos.

En cumprimento do principio de limitación da finalidade, os datos persoais serán tratados unicamente para as finalidades indicadas e para ningunha outra, e non serán utilizados posteriormente de maneira incompatible co devanditos fin. Os posibles tratamentos que poidan resultar necesarios con fins de arquivo en interese público, investigación científica ou histórica ou estatísticos estarán suxeitos ás garantías previstas no artigo 89 do RGPD e rexeranse pola lexislación aplicable a cada caso. Así mesmo, de acordo co principio de minimización de datos, unicamente serán obxecto de tratamento os datos que sexan adecuados, pertinentes e estritamente necesarios para as distintas funcionalidades do sistema, despois de valorar a necesidade do seu tratamento e a súa pertinencia, ademais de non existir outra medida menos invasiva que poida ofrecer os mesmos resultados.

O cumprimento do principio de responsabilidade proactiva e da obrigación de aplicar a privacidade desde o deseño e por defecto documentouse nunha avaliación de impacto na protección de datos.

Dita avaliación de impacto será obxecto das actualizacións necesarias na medida en que o sistema e a aplicación que dá acceso a este poidan evolucionar, incorporando progresivamente novos servizos para as persoas usuarias ás que inicialmente se poñan á súa disposición, sempre dentro das finalidades e funcionalidades previstas na orde de regulación da aplicación.

Aplicaranse as medidas técnicas e organizativas apropiadas para garantir un nivel de seguridade adecuado ao risco, incluíndo: o uso de pseudónimos e o cifrado de datos persoais; a capacidade de garantir a confidencialidade, integridade, dispoñibilidade e resiliencia permanentes dos sistemas e servizos de tratamento; a capacidade de restaurar a dispoñibilidade e o acceso aos datos persoais de forma rápida en caso de incidencia física ou técnica e un procedemento permanente de verificación, avaliación e valoración da eficacia das medidas técnicas e organizativas para garantir a seguridade do tratamento. En concreto, aplicaranse aos tratamentos de datos persoais derivados das distintas funcionalidades do sistema as medidas que correspondan segundo o previsto no Esquema Nacional de Seguridade, protexendo así a seguridade dos datos. Ditas medidas documentaranse adecuadamente. Aplicaranse ademais as medidas necesarias para garantir a exactitude e actualización dos datos persoais tratados.

• Regulamento (UE) 2016/679, do 27 de abril de 2016, relativo á protección das persoas físicas no que respecta ao tratamento de datos persoais e á libre circulación destes datos e polo que se derroga a Directiva 95/46/CE (Regulamento Xeral de Protección de Datos)
• Lei Orgánica 3/2018, do 5 de decembro, de Protección de Datos Persoais e garantía dos dereitos dixitais​
• Lei 8/2008, do 10 de xullo, de saúde de Galicia
• Real Decreto 3/2010, do 8 de xaneiro, polo que se regula o Esquema Nacional de Seguridade no ámbito da Administración electrónica (ENS)