INFORSALUD 2004
Madrid, 24-26 de marzo de 2004
[Entrada] [Actividades] [Revista I+S] [Solicitud de Inscripción SEIS] [Búsquedas]
|
INFORSALUD 2004 |
La Cooperación entre Redes Sanitarias |
|
[Entrada] [Actividades] [Revista I+S] [Solicitud de Inscripción SEIS] [Búsquedas] |
||
|
¿Cómo llegar a la sede del Congreso? Secretaría Técnica: CEFIC
|
OBLIGACIONES DEL RESPONSABLE DEL MANTENIMIENTO DE LA POLÍTICA DE SEGURIDAD A. MENDEZ1, I. VALENZUELA2, J. M. RICHARTE3 1, 2 G2 Security. Grupo Novasoft.3 Departamento de I+D+I de Novasoft Sanidad. {a.mendez@g2security.com, i.valenzuela@g2security.com, jmricharte@novasoft.es} Resumen. Es evidente que el entorno sanitario debe tratar datos relativos a personas físicas. Dichos datos, por su especial naturaleza, atañen únicamente al paciente y al equipo médico que le atiende. Antiguamente, el historial clínico de un paciente se almacenaba en papel dentro de archivos. Estos archivos podían ser fácilmente protegidos bajo llave. No obstante, el manejo de la información en ese modo era muy tosco, por lo que los sistemas informáticos rápidamente entraron a formar parte de las herramientas de trabajo en el entorno médico. La facilidad que un sistema informático ofrece, no sólo para manejar la información, sino para copiarla o acceder a ella remotamente, obliga a velar por la seguridad de dicha información obtenida, y esto no se puede solucionar con un simple candado sino que requiere una gestión. Surge así la figura del Responsable de Seguridad. 1. Introducción Mucho tiempo después de que los sistemas de información entraran a formar parte del entorno sanitario, se legisló en España específicamente en materia de Protección de Datos. La primera fue la Ley Orgánica de la Regulación del Tratamiento Automatizado de Datos (LORTAD), la cual fue derogada por la Ley Orgánica de la Protección de Datos de Carácter Personal (LOPD), vigente actualmente. Desde entonces, las empresas y organismos tienen dos motivos más para aplicar medidas que protejan los datos de sus clientes o pacientes: la responsabilidad legal y la imposición de multas. Por este motivo, el cumplimiento con la legislación vigente, los centros sanitarios y profesionales del sector actúan en materia de protección de los sistemas de información de manera errónea dado que consideran que una vez cumplen con la LOPD no deben preocuparse por nada más. Pero la LOPD fue creada con la idea de proteger los datos de carácter personal de las personas físicas, es decir, deja de lado la protección de datos que una empresa, pública o privada, pueda poseer. Pongamos varios ejemplos para ilustrar esta afirmación: Robo de lista de proveedores y precios: La LOPD no es aplicable a datos que unas empresas almacenan sobre otras, por lo que una base de datos de proveedores no necesita cumplir la LOPD. No obstante, ¿qué le supondría a una clínica privada perder los datos de sus proveedores?, ¿y que una clínica rival conozca los precios con los que trabaja con productos y servicios de sus proveedores? Robo del know-how: La LOPD tampoco atañe a documentos sobre los procesos internos de una clínica, pero la obtención de estos por parte de un rival puede suponer un desastre. Desfiguración de la página web: Cada vez más clínicas y médicos utilizan Internet para ofrecer sus servicios. Su página web es el reflejo de la calidad de sus servicios, ¿qué supondría para su imagen y la confianza de sus pacientes un ataque de la misma? Está claro pues que la Seguridad de la Información es algo más amplio que el cumplimiento de la LOPD. 2. ¿Cuál es la finalidad del Responsable de la Seguridad de la Información? El Responsable de la Seguridad de la Información tiene cuatro objetivos principales: Integridad: la información no debe ser alterada ni modificada por personal no autorizado. Privacidad: la información sólo debe ser visible por los usuarios autorizados. Disponibilidad: la información debe estar siempre disponible allí donde se necesite. Auditoría: se debe conocer quién ha accedido a la información, en qué momento y qué ha hecho con ella. Su tarea no se circunscribe únicamente a los medios informáticos, dado que estos son manejados por personas y, a la vez, influídos por el entorno. Así pues su tarea debe cubrir las siguientes áreas: Personal Procesos Tecnologías de la información 3. ¿Cómo puede lograr su cometido el Responsable de la Seguridad de la Información? Como hemos visto, los Responsables de la Seguridad de la Información deben ocuparse de múltiples objetivos y áreas, ¿cómo realizar satisfactoriamente su cometido? Mediante la implantación de un Sistema de Gestión de Seguridad de la Información (SGSI). Ahora bien, ¿cómo podemos desarrollar un correcto SGSI? Mediante la aplicación de un reglamento de buenas prácticas internacionalmente reconocido, la BS 7799. Dicho reglamento, a nivel español, está compuesto por: UNE-ISO/IEC 17799:2002: Código de buenas prácticas para los Sistemas de Gestión de Seguridad de la Información. BS 7799-2:2002: Especificación empleada para la certificación de los SGSI (especifica que se debe cumplir con la legislación vigente, la LOPD en España). 4. Áreas que debe cubrir un SGSI, compromisos de los Responsables Política de Seguridad. Gestión de Continuidad de Operaciones. Sistemas de Control de Acceso. Desarrollo y Mantenimiento de Sistemas. Seguridad Física y Medioambiental. Seguridad del Personal. Seguridad de la Organización. Gestión de Operaciones y Comunicaciones. Clasificación y Control de Activos. Cumplimiento con Requisitos Legales. 5. Obligaciones legales de los Responsables Antes de nada debemos responder a una serie de cuestiones. 5.1. ¿Es obligatoria la existencia del Responsable del Fichero? Ciñiéndonos exclusivamente a la LOPD, esta figura sólo es necesaria para aquellos casos en los que los datos de carácter personal son considerados de nivel medio o alto. Siendo considerados los datos relativos a la salud como de nivel alto, podemos afirmar pues que en el entorno sanitario es obligatoria por ley la existencia de dicha figura. 5.2. ¿Qué entendemos por Fichero? Según la LOPD, Fichero es "Todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso". Por lo tanto, tanto un ordenador con una base de datos como un archivador de documentos en papel son almacenadores de ficheros. 5.3. ¿Quién es el Responsable del Fichero? La LOPD define al Responsable del Fichero como aquella "Persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento". Una vez hemos respondido las cuestiones previas, podemos especificar las obligaciones legales del Responsable del Fichero. 5.4. Principios de la LOPD Entre las obligaciones del Responsable del Fichero, la LOPD le exige que vele por los siguientes principios: Calidad de los datos: Los datos de carácter personal habrán de ser adecuados, pertinentes, no excesivos, exactos y puestos al día. Los datos recogidos no podrán usarse para finalidades incompatibles con aquellas para las que hubieran sido recogidos (salvo fines históricos, estadísticos o científicos) y serán cancelados cuando hayan dejado de ser necesarios o pertinentes para ésta. Derecho de información en la recogida de datos: pretende que cuando se recojan datos personales se informe al afectado de la existencia de un fichero, de la finalidad de la recogida, de los destinatarios de los mismos y de la identificación y dirección del responsable del fichero para poder ejercer sus derechos de acceso, rectificación o cancelación. Consentimiento del afectado: La recogida y tratamiento de los datos requiere el consentimiento inequívoco (tácito o expreso) del afectado. Excepciones: o Cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias. o Datos amparados por una relación negocial, laboral o administrativa. o Cuando los datos figuren en fuentes accesibles al público. o Cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto. o Cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento. Seguridad de los datos: Adopción de una serie de medidas que eviten su acceso o tratamiento sin autorización, alteración o pérdida. Estas medidas de seguridad vienen contempladas en el Real Decreto 994/1999. Deber de secreto: Obligación que subsiste aun después de finalizar sus relaciones con el titular del fichero o con el responsable del mismo. 5.5. Otras obligaciones del Responsable del Fichero Velar por los derechos de los afectados. Notificación de los ficheros ante la Agencia Española de Protección de Datos (APD). Redacción del documento de seguridad. Redacción de las cláusulas de protección de datos. Auditoría. Redacción de los contratos, formularios y cláusulas necesarias para la recogida de datos, los tratamientos por terceros y las cesiones o comunicaciones de datos. 6. Conclusiones Las obligaciones de los Responsables del SGSI ante la APD están claramente definidas, no obstante su papel no debe ceñirse únicamente a velar por el cumplimiento de la LOPD. De ser así su labor no cumple con las necesidades de los sistemas de información ni con las exigencias de los pacientes. Referencias [1] APD: www.agpd.es
|
|
|
[Entrada] [Actividades] [Revista I+S] [Solicitud de Inscripción SEIS] [Búsquedas] |
|
Copyright SEIS© 1997-2004. |
