Los Autores de Los Mitos y Leyendas de la LOPD

El 24 de Septiembre de 2012 nos inventamos el término  “openbook” (ver entrada Openbook… como un libro abierto” )   y nos propusimos hacer uno entre algunos compañeros informáticos del Servicio Andaluz de Salud.

Casi dos años después hemos terminado la publicación de toda la serie. Ha sido todo un reto para nosotros la coordinación y elaboración de esta serie entre los 9 profesionales que han participado y se han esforzado por transmitir su visión y su conocimiento sobre tantos aspectos relacionados con la sanidad y la protección de datos.

A todos ellos muchas gracias por la colaboración desinteresada que han prestado. Ha sido todo un placer participar en una experiencia como esta.

Podéis encontrar la serie completa publicada por APISA en su página web: http “Mitos y Leyendas de la LOPD

Por último,  decir que en contra de lo que últimamente han estado transmitiendo de la forma más miserable y  algunos políticos interesados en destruir la función pública, estamos ante un ejemplo de compromiso desinteresado de empleados públicos  que va mucho más allá de “trabajar de 8 a 3” tal y como pretenden hacernos creer.

La función pública no es una cuestión de horarios, sino de compromiso con el ciudadano, y en este deber muchos profesionales van mucho más allá de sus obligaciones y demuestran mucha más profesionalidad, preparación, sentido común,  ética y moral que aquellos que mal gobiernan y difaman para convencernos de que sus intereses son lícitos.

Aquí os dejo unas breves reseñas sobre los autores por orden alfabético.

Ana Mª Chups

Ana María Chups Rodríguez

Ana María Chups Rodríguez  es Jefa del Servicio de Tecnologías de la Información y Comunicaciones del Área de Gestión Sanitaria de Osuna (Sevilla). Integrante del grupo de auditores LOPD y Seguridad de la Información de la Unidad de Gestión de Riesgos Digitales del Servicio Andaluz de Salud. Diplomada en Ingeniería Técnica Informática de Sistemas,  es  Certified Information Systems Auditors (CISA) por la Information Systems Audit and Control Association (ISACA®) desde 2008. Socia fundadora y Vocal de la Asociación de Profesionales de Informática de la Salud de Andalucía (APISA) así como miembro de la Information Systems Audit and Control Association (ISACA®).

jdgJuan Díaz García

Médico especialista en Medicina Preventiva y Salud Pública. Cuerpo Superior de Informática de la Junta de Andalucía. Experto en Gestión Sanitaria por la Escuela Andaluza de Salud Pública. Experto en Protección de Datos por la Universidad de Murcia.  Jefe de Servicio de Informática del Hospital Virgen de las Nieves de Granada. Responsable de la Unidad de Gestión de Riesgos Digitales del Servicio Andaluz de Salud. Auditor Certificado de Sistemas de Información – CISA por ISACA® (Information Systems Audit and Control Association). Coordinador de la Red de Responsables de Seguridad de la Información de Salud – SEIS.

MiguelGarciaHitaMiguel García Hita

Miguel Ángel García Hita es Técnico de Función Administrativa del Servicio de Tecnologías de Información y Comunicaciones del Complejo Hospitalario de Jaén, así como miembro del Comité de Ética de la Investigación de Jaén. Licenciado en Informática por la Universidad de Granada,  es  Certified Information Systems Auditors (CISA) por la Information Systems Audit and Control Association (ISACA®) desde 2008. Socio fundador de la Asociación de Profesionales de Informática de la Salud de Andalucía (APISA), así como miembro de Information Systems Audit and Control Association (ISACA®). Especialista Universitario en Protección de Datos Personales y Privacidad por la Universidad de Murcia.

EGRMª Esther González Revuelta

Subdirectora de Informática y Sistemas Información C.H. Torrecárdenas. Responsable Equipo provincial TIC de Almería de la Dirección Estratégica TIC del SSSPA. Licenciada en Informática por la ETSII – Universidad de Granada. Máster en Gestión Pública de Tecnologías de la Información y las Comunicaciones por el INAP. Experto Universitario en Gestión Sanitaria por la EASP. Diploma de Estudios Avanzados de tercer ciclo, dentro del Programa de Doctorado “Diseño, Análisis y Aplicaciones de Sistemas Inteligentes” de la Universidad de Granada. Miembro del grupo de investigación de la Universidad de Almería “Electrónica, comunicación y telemedicina” del Programa Andaluz de Investigación, área TIC.

MGRManuel Jimber del Río

Manuel Jimber  es Responsable de Seguridad de la Información en Hospital Reina Sofía de Córdoba. Diplomado en Informática de Sistemas,  es  Certified Information Systems Auditors (CISA) desde 2008. Socio fundador y Secretario de la Asociación de Profesionales de Informática de la Salud de Andalucía (APISA) y socio de la Sociedad Española de la Salud (SEIS) así como miembro de la Information Systems Audit and Control Association (ISACA®). Integrante del grupo de auditores LOPD y Seguridad de la Información de la Unidad de Gestión de Riesgos Digitales del Servicio Andaluz de Salud. Experto en protección de datos y la seguridad de la información en el ámbito de salud y miembro de la Red de Responsables de Seguridad de la Información de Salud – SEIS.

RMJRafael Marín Jiménez

Miembro de la Unidad de Gestión de Riesgos Digitales del Servicio Andaluz de Salud desempeñando funciones de gestión de seguridad de la información, auditoría de protección de datos, consultoría y docencia.

Licenciado en Informática por la ETSII de la Universidad de Granada. Socio de ISACA® Trust in, and value from, information systems, certificado como auditor de sistemas de información, CISA, y resolviendo la última fase para el certificado de gestor de seguridad de la información, CISM. Especialista Universitario en Protección de Datos Personales por la Universidad de Murcia.

PacoQueroFrancisco Quero Hernández

Francisco José Quero Hernández, Administrador de Sistemas y Redes del Complejo Hospitalario Torrecárdenas de Almería. Técnico Superior en Informática. Miembro de Information System Audit and Control Association (ISACA). Integrante del grupo de auditores LOPD y Seguridad de la Información de la Unidad de Gestión de Riesgos Digitales del Servicio Andaluz de Salud. Miembro de la Comisión de Seguridad de la Información del C.H. Torrecárdenas  y docente en materia de Protección de Datos. Experto en Seguridad de Sistemas y Redes.

FranSanchezFrancisco Sánchez Laguna

Médico de familia y actualmente se está especializando en Radiología Médica. Colaborador docente de la Universitat Oberta de Catalunya. Máster en Informática Sanitaria por la City University London, graduándose con distinción por su proyecto: “Evaluación de una historia clínica electrónica de software libre”. Experto en Gestión Sanitaria por la Escuela Andaluza de Salud Pública. Subdirector Médico en el Hospital Universitario Reina Sofía durante 4 años. Editor de un blog enfocado principalmente en las aplicaciones de la tecnología en el sector de la salud y gestión. Experto en eSalud, mSalud y dispositivos móviles, software libre, redes sociales y herramientas web.

VictoriaVictoria Zafra Muñoz

Coordinadora de Equipo de desarrolladores de Hewlett Packard en el Hospital Universitario Reina Sofía de Córdoba (2004) y docente en Instituto Ramón y Cajal de la asignatura de Validación y Explotación de Bases de datos Sanitarios (2010). Ingeniera Informática de Sistemas por la Universidad de Córdoba y Grado de FP Superior en Documentación Sanitaria. Experta en Desarrollo en Android por la UNED. Miembro de la Asociación de Profesionales de Informática de la Salud de Andalucía (APISA) desde 2012.

Los Mitos y Leyendas de la LOPD. Presentación

Aunque este libro por fascículos ya se nos ha terminado, en su momento no tuvo la presentación que merecía, aunque no fuera por su calidad, si al menos por el esfuerzo realizado por los profesionales que han participado en su elaboración.

Aunque no se público en el blog la presentación que os dejo a continuación, si se incluyó en el libro publicado en papel por APISA que podéis encontrar completo en su página web: “Mitos y Leyendas de la LOPD” . Tuvimos el honor de que el autor de esta presentación fuera Emilio Aced Felez, Secretario General de la Sociedad Española de Informática de la Salud (SEIS) y Jefe de Área de la Agencia Española de Protección de Datos.

Nos sentimos muy orgullos y agradecidos por esta presentación que Emilio ha tenido la deferencia de dedicarnos. Muchas gracias Emilio!

Mitos, seguridad, privacidad… No puedo pensar en una combinación más sugerente y que me atraiga más en un libro. Recuerdo mis años de estudiante de primaria y secundaria –ya muy lejanos- en los que la cultura clásica ejercía sobre mí una fascinación irresistible y en los que llegué a pensar que nada digno de interés había sucedido en la historia universal tras la caída de Roma y que la filosofía griega ya se había ocupado de todo cuanto era interesante y digno de tenerse en cuenta en el alma humana, reflexión que de nuevo me asalta cuando miro a mi alrededor en estos tiempos desolados.

Viene también a mi memoria mi indignación porque en mi plan de estudios –soy de la generación de la EGB, de las fichas, de los diagramas de Venn y de la gramática de los sintagmas- se había suprimido casi por completo el estudio de la literatura y de la mitología clásica causando el efecto de que entre los miembros de aquellas jóvenes generaciones los nombres de Homero, Esquilo, Sófocles y Eurípides sonaran (Homer Simpson todavía no había salido de la cabeza de Matt Groening como Atenea de la de Zeus) como un grupo de estrellas brasileñas de fútbol.

Luego la vida me llevó por la senda de las matemáticas –vocación indestructible con la que ni los diagramas de Venn pudieron-, la informática y la seguridad de los sistemas de información y, como destino actual que ya dura casi veinte años, la privacidad y la protección de datos personales que, como itinerario vital, no deja de tener su singularidad.

Así que cuando Manuel Jimber me propuso escribir una introducción para el libro “Mitos y Leyendas de la LOPD” le dije que sí antes de que terminara de hablar, no fuera a ser que se arrepintiera y, pasado el estado de enajenación mental transitoria que a buen seguro padeció para pensar en encomendarme esta tarea,  se me privara de esta oportunidad y del placer de escribir algunas reflexiones en las que se entrelacen estos conceptos y les anime a Uds. a continuar la lectura de este libro que, desde ya les digo que considero casi obligatoria para todos aquellos profesionales del sector sanitario dedicados al ejercicio de la medicina y la asistencia sanitaria, la investigación, la gestión de recursos sanitarios y el desarrollo,  implantación, administración y gestión de recursos TIC, que, de una u otra forma, se preguntan cómo poder prestar el servicio más esencial para el bienestar de la sociedad y, al mismo tiempo, llevarlo a cabo cumpliendo los principios de una norma que todos ellos consideran que se creó con el único objeto de convertir su vida profesional en un infierno.

Pues bien, los autores de este libro, cual modernos Prometeos, se han impuesto la tarea de robar el fuego sagrado del conocimiento y entregarlo a los hombres y mujeres del sector sanitario, transformando las abstracciones de una legislación compleja e intrincada en conceptos ligados a la práctica asistencial y a la resolución de los problemas prácticos que han de abordar las organizaciones sanitarias para lograr sus objetivos de calidad asistencial, eficiencia en la asignación de recursos y control de la gestión.

Y para ello hay que navegar entre la Escila del cumplimiento de la ley de protección de datos, la regulación sanitaria y el aseguramiento de los derechos de los ciudadanos y el Caribdis de la garantía de la integridad, el establecimiento de la trazabilidad y la consecución simultánea de la disponibilidad y la confidencialidad de la información. Ello convierte a los profesionales sanitarios y TIC en émulos de Ulises (que no olvidemos que también era conocido como Odiseo) que han de llevar a puerto el barco de la gestión, el control, la asistencia, la docencia y la investigación médica y farmacéutica dentro del marco normativo que muchas veces se siente como un corsé que impide el libre desarrollo de estas actividades.

Pero, a mi juicio, esta noción, esta visión de la realidad parte de una concepción reduccionista y limitada, cual si, como modernos cíclopes, solo dispusiéramos de un ojo y viéramos el mundo plano y sin perspectiva. En efecto, hemos de partir de la base de que el objeto esencial y la razón última de la asistencia sanitaria y la investigación es el hombre, la persona humana, y la práctica de la medicina, además de una disciplina científica, es una concepción ética de servicio al ser humano que no puede ser despojado de su dignidad y de sus derechos para convertirse únicamente en un objeto sobre el que desplegar una serie de técnicas despersonalizadas por muy beneficiosas que las mismas resulten.

Por lo tanto, no debemos consentir que nuestra percepción de la situación reproduzca el mito platónico de la caverna y solo nos permita ver sombras deformadas que nos ocultan la verdadera esencia de la cosas y nos impiden constatar, como acertadamente se afirma en este trabajo, que la seguridad de la información y el respeto a la privacidad de los usuarios del sistema sanitario, lejos de constituir un obstáculo para la correcta práctica de la medicina, son ejes fundamentales para disponer de una información de calidad y para construir una atención excelente sobre los cimientos de la transparencia y la confidencialidad.

Y es que la protección de datos personales, aunque el mito lo propague, no es, no puede ser, un obstáculo para una asistencia sanitaria de calidad. No vale, no es posible y nunca será aceptado por los pacientes –y los que nos dedicamos a la protección de datos personales también lo somos o lo seremos- que no se disponga de todos los recursos sanitarios necesarios para garantizar nuestra salud, prevenir las enfermedades y, en caso de que lleguen, tratarlas y curarlas de la forma más rápida y eficiente posible porque una ley pensada para protegerlos se entiende o se percibe como barrera infranqueable en el camino de la ciencia médica.

En este sentido, a mi modo de ver, el gran valor de este libro estriba en desmontar toda una serie de falsos mitos que se han ido construyendo con el paso del tiempo alrededor de la imposibilidad de cumplir la ley de protección de datos en el ámbito de la salud para enfocar el problema desde una perspectiva completamente diferente y mucho más creativa: mostrar cómo distintos profesionales que desarrollan su labor en el sector sanitario han encontrado y conseguido implantar soluciones que dan respuesta a los retos que plantea conjugar el derecho fundamental a la protección de datos personales, la seguridad de los sistemas de información y la prestación de una asistencia sanitaria de calidad.

Yo deseo que este trabajo nos sirva a todos para evitar anclarnos en el mito de Sísifo, subiendo trabajosamente la misma piedra por la misma cuesta una y otra vez sin conocer que otros ya han llegado a la cima y han conseguido que la piedra no vuelva a rodar pendiente abajo realizando, eso sí, un esfuerzo hercúleo pero coronado por el éxito y que, aunque no haya servido para entrar en el Olimpo de los dioses, al menos nos muestra el camino para abandonar el Hades y no beber de las aguas del Leteo.

 

Emilio Aced Félez

Los mensajeros de los dioses (VIII). ¡¡¡ Nooo, por teléfono nooo !!! CONCLUSIONES

«Mercurius Vigo Galicia» de Susana Freixeiro - Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons - http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg
«Mercurius Vigo Galicia» de Susana Freixeiro – Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons – http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg

La implantación del mecanismo de acreditación de la identidad que aquí se propone, en una organización como el Servicio Andaluz de Salud, siempre como un sistema complementario al actual mecanismo de comunicación de información, podría reducir enormemente la burocracia y los tiempos de respuesta cuando no se requiere prueba documental por parte del usuario, supondría un acercamiento de la administración pública a los ciudadanos tan “de moda” actualmente por la irrupción de las redes sociales evitando desplazamientos innecesarios, tendría un alcance prácticamente del cien por cien en cuanto a la población objetivo puesto que el teléfono está presente en todos los hogares no suponiendo discriminación social/cultural alguna, etc.

Podrían surgir dudas de distinta índole, temas que no han sido tratados o que requieran de mayor detalle, a saber:

  • Personal no sanitario accediendo a información de salud de los ciudadanos para atender sus peticiones como parte del Servicio de Atención Telefónica.
  • Servicio de Atención Telefónica en dos niveles, administrativo en primera instancia para verificar la identidad y rellenar la solicitud, y sanitario en segunda instancia para atender la misma. La posibilidad de acceder por teléfono al profesional de referencia del paciente, médico o enfermera.
  • Subcontratación del Servicio de Atención Telefónica.
  • Accesibilidad del servicio a usuarios con posibilidades de comprensión reducidas.
  • Limitación de la información sanitaria cuando por razones objetivas el conocimiento de su propia situación pueda perjudicar su salud de manera grave.
  • Habilitación del servicio a personas o instituciones distintas del titular de los datos (representantes legales, asociaciones de ciudadanos, organismos públicos,…)

Pero no hay obstáculo que no pueda saltarse cuando se apuesta decididamente por algo y se cuenta con experimentados y cualificados profesionales.

 Rafael Marín Jiménez
Juan Díaz García
Ana María Chups Rodríguez

RECURSOS INTERESANTES

FUENTES LEGALES

  • Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
  • Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
  • Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos.
  • Real Decreto 3/2010 de Seguridad de la Información en la Administración Electrónica Española.
  • Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

BIBLIOGRAFÍA

  • Preguntas frecuentes en relación con el Esquema Nacional de Seguridad
  • SANS Institute. InfoSec Reading Room. Shedding some light on Voice Authentication
  • SANS Institute. InfoSec Reading Room. Making the HelpDesk a Security Asset
  • El derecho fundamental a la protección de datos: guía para el ciudadano de la AEPD.
  • Web de la Agencia Española de Protección de Datos. Informes y Resoluciones.
  • Teoría y práctica de la notificación administrativa.
  • Revista datospersonales.org. APDCM: Informes y Resoluciones.

Los mensajeros de los dioses (VIII). ¡¡¡ Nooo, por teléfono nooo !!!

«Mercurius Vigo Galicia» de Susana Freixeiro - Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons - http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg
«Mercurius Vigo Galicia» de Susana Freixeiro – Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons – http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg

En otro orden de cosas, como buenos gestores de la seguridad de la información, habremos de comunicar el papel del Servicio de Atención Telefónica en el área de la seguridad de la información cumpliendo un doble objetivo, dotar de valor añadido al servicio de información como sonda en la gestión de la seguridad y cumplir con la responsabilidad legal de difundir las obligaciones de los profesionales de la organización. El procedimiento de gestión de incidencias de seguridad de la información, el mecanismo del registro de accesos, el protocolo de entrada/salida de información, los derechos de los usuarios del servicio, etc., son ejemplos de los contenidos de la comunicación, que inicialmente tendrá el objetivo de sensibilizar, posteriormente el de formar y en última instancia el de educar.

Recapitulemos, en primer lugar se ha esbozado lo que a criterio del autor podría ser la razón de que el servicio de atención telefónico implantado en la organización no esté ofreciendo mucha de la información que demanda el ciudadano, a continuación se han expuesto referencias de autoridades de control en las que se aludían soluciones legales que permitirían dar un vuelco a esta situación, y en tercer lugar se han apuntado y analizado algunas cuestiones que deben considerarse para que este cambio se lleve a cabo de forma segura. Pero faltaría fundamentar todo esto en un buen análisis de riesgos, tanto los derivados de mantener inactivo o incompleto el servicio como de ponerlo a disposición de los interesados. Riesgos que en el momento de optar por la correspondiente medida para su mitigación habrán de tener presente la relación coste-beneficio.

Al igual que comentábamos en relación a los planes de adecuación a la normativa de protección de datos y al esquema nacional de seguridad, por alcance y por extensión, no procede hacer aquí dicho análisis de riesgos, baste comentar que a nivel nacional disponemos de metodología para ello[1].

[1]MAGERIT: método formal para investigar los riesgos que soportan los Sistemas de Información y para recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos.

Rafael Marín Jiménez
Juan Díaz García
Ana María Chups Rodríguez

Los mensajeros de los dioses (VII). ¡¡¡ Nooo, por teléfono nooo !!!

«Mercurius Vigo Galicia» de Susana Freixeiro - Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons - http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg
«Mercurius Vigo Galicia» de Susana Freixeiro – Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons – http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg

Implementar el mecanismo de grabación de llamadas es más que recomendable y cuenta con el apoyo legal de la Jurisprudencia[1], debiendo tener presente que los archivos sonoros generados están sometidos a las condiciones de la normativa de protección de datos personales. Por tanto, el personal que la realiza debe estar informado sobre la confidencialidad de los datos y haber firmado una declaración en este sentido. Es necesario informar claramente sobre la grabación de la llamada, la incorporación de la misma a una base de datos y los derechos que asisten al afectado. A efectos probatorios, la grabación ha de ser de buena calidad, inteligible e íntegra. La grabación se archivará bajo las medidas de seguridad propias de los datos del fichero correspondiente. Habrá que modificar las inscripciones de los ficheros en el registro de la Agencia Española de Protección de Datos, para incluir en cada uno de ellos la concurrencia del dato “voz”, también cabría la posibilidad de dar de alta un nuevo fichero que contenga todas las grabaciones y otros datos facilitados, pero es más fácil la modificación del fichero ya existente. Sin olvidar que no se deben ceder datos a terceros salvo en las excepciones previstas por la ley.

Como todo servicio que se precie, éste debería estar incluido en un proceso de evaluación continua, lo que necesariamente obliga a definir controles que garanticen el desempeño requerido, que alerte de posibles incidencias y que permita localizar puntos de mejora. Dichos controles no han de ser exclusivamente internos, cada día están más presentes aquellos en los que intervienen directamente los destinatarios del servicio (encuestas de satisfacción).

Rafael Marín Jiménez
Juan Díaz García
Ana María Chups Rodríguez

[1] Sentencia de la Audiencia Provincial de Madrid de 28 abril 2004

Los mensajeros de los dioses (VI). ¡¡¡ Nooo, por teléfono nooo !!!

«Mercurius Vigo Galicia» de Susana Freixeiro - Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons - http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg
«Mercurius Vigo Galicia» de Susana Freixeiro – Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons – http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg

Cuando el Servicio de Atención Telefónica recibe una llamada con el objeto de solicitar información personal, una vez identificado y autenticado el interlocutor y el tipo de información al que se pretende acceder, se debe recabar del solicitante los datos necesarios para poder satisfacer su petición. Parece lógico pensar que el registro de estos datos y de cuantos comentarios de interés se produzcan durante la conversación se lleve a cabo en una base de datos al efecto donde se hayan trasladado los atributos originalmente contenidos en los formularios papel habilitados.

Disponer de una base de datos de atención telefónica donde documentar todas las llamadas permite establecer un registro de lo sucedido, anotar comentarios, acceso a la información por terceros a los que se escalen las llamadas, y por supuesto, puede servir como prueba en caso de problemas. Podría mejorarse la seguridad aún más agregando un campo a la base de datos de registro de llamadas que permitiera marcar la llamada como una alerta de seguridad (usuario no autenticado, intento de violación de la política de seguridad, …) . Con la adición de este campo, la base de datos de llamadas se convierte en una poderosa herramienta para monitorizar y evaluar la política de seguridad.

La información solicitada no siempre podrá proporcionarse en el acto o incluso aunque así fuera tal vez se requiera documentalmente. El sistema de información puesto a disposición del Servicio de Atención Telefónica dará respuesta a ciertas peticiones de modo que esta pueda ser trasladada al usuario, en otras recomendará llevar a cabo una validación de la información por determinadas áreas o servicios (p.e. Documentación), en otras las información no estará disponible por precisar de elaboración (caso de solicitud de informe a medida por parte del responsable de una Unidad), también habrá ocasiones en que la descentralización de la información requerida implique un proceso de localización y composición. En definitiva, debe hacerse un análisis de cada caso y determinar el sistema de respuesta en base al nivel de disponibilidad de la información y del formato solicitado por el interesado. Pero sea cual sea el sistema siempre se habrá de tener presente los plazos marcados por la normativa de aplicación o la política interna de la organización, considerando especialmente los casos en los que se esté atendiendo un derecho reconocido del solicitante y las consecuencias del incumplimiento de los mismos.

Rafael Marín Jiménez
Juan Díaz García
Ana María Chups Rodríguez

Los mensajeros de los dioses (V). ¡¡¡ Nooo, por teléfono nooo !!!

«Mercurius Vigo Galicia» de Susana Freixeiro - Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons - http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg
«Mercurius Vigo Galicia» de Susana Freixeiro – Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons – http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg

Dando por hecho que la lista anterior es meramente enunciativa y no enumerativa, y que el orden de sus puntos no necesariamente ha de ser el expuesto, el siguiente paso es tratar un poco más en profundidad cada uno de ellos.

Respecto del proceso de alta de los interesados en la activación del servicio de solicitud de información por vía telefónica, sería lógico pensar en el contexto sanitario que éste se llevara a cabo por el paciente durante su solicitud de alta en la Base de Datos de Usuarios o mediante un trámite al efecto presencial o telemático en cualquier momento posterior. No debemos olvidar que al igual que es posible el alta en el servicio, también debe ser posible darse de baja o en otras palabras oponerse a la recepción de información por esta vía.

La gestión de la clave/contraseña es una fase de trascendental importancia pues de ello depende en gran medida la confidencialidad de los datos que se proporcionarán por vía telefónica. Esta gestión no debería de divergir demasiado del procedimiento del Documento de Seguridad de la Información relativo a la gestión de accesos a los sistemas de información, más bien debería basarse en él.

“Trust, but verify”, este era el lema de Ronald Reagan para la seguridad durante la década de los años 80. En Seguridad de la Información hay que tener muy presente la Ingeniería Social, se trata de una situación de riesgo donde la vulnerabilidad explotada es la confianza. Por tanto, es razonable pensar que para asegurar un servicio de atención telefónica frente a un Ingeniero Social, se debe eliminar el elemento de confianza explotable. Para hacer esto posible se debe hacer una política de autenticación de la identidad de la persona que llama por teléfono antes de ofrecerle la información solicitada. Esto puede ser una tarea difícil pues pedir poca información aún hará vulnerable al servicio de atención telefónica, y en cambio, pedir demasiada información lo convierte en impopular y hará que los usuarios lo vean como un interrogatorio.

Cuando se elabora la política de seguridad, debe aplicarse la práctica conocida como “defensa en profundidad”. Al igual que una empresa no debe depender únicamente de un cortafuegos para proteger la red, el servicio de atención al usuario no debe depender sólo de un método básico para la verificación de las personas que llaman. Para ayudar a detectar los intentos de ingeniería social han de ubicarse varios niveles de protección, cada uno con un nivel de alerta.

Parece pues interesante realizar un ajuste de los niveles de autenticación en base al tipo de información a la que se pretende acceder, pudiendo diferenciarse por ejemplo entre datos administrativos y datos de salud.

Ya se trate de una única clave o de un conjunto de datos existentes vinculados específicamente al ciudadano, estos dispondrán de un proceso de generación, un lugar de almacenamiento, un método de distribución para hacerlos llegar al interesado y como no, un sistema de “reseteo” o inicialización que permitirá volver a disponer del servicio en caso de olvido.

En todo sistema de información, como su propio nombre indica,  existe una información accesible, en este caso se trata de partir de un pequeño catálogo e ir incrementando el mismo paulatinamente en línea con la tecnología y recursos disponibles. Las fuentes de información que generalmente se ha implantado en los centros tienen una orientación a profesionales y no a la provisión de información a los titulares de la misma. Si la calidad de la información es importante para el correcto proceder profesional y la seguridad del paciente, esta nueva orientación debe nacer con vocación de transparencia por lo que la calidad de la misma, en su más amplio sentido de la palabra[1]  debe tenerse aún más presente si cabe.

Típicamente se suelen contemplar dentro del servicio las peticiones de información que se ajustan a la moda estadística o a la regla del 80-20 (principio de Pareto), teniendo también en consideración el criterio basado en la sensibilidad de la información y por supuesto las restricciones del medio de comunicación empleado.

A modo de ejemplo, un tipo de información accesible vía telefónica ya implantado, es la fecha de una cita para el médico de cabecera. No obstante, sería posible ofrecer otra clase de información del tipo: resultado de una prueba diagnóstica, de una analítica, un diagnóstico o tratamiento de un episodio clínico, etc.

Rafael Marín Jiménez
Juan Díaz García
Ana María Chups Rodríguez

[1] LOPD 15/1999, artículo 4 “Calidad de los datos”

Los mensajeros de los dioses (V). ¡¡¡ Nooo, por teléfono nooo !!!

«Mercurius Vigo Galicia» de Susana Freixeiro - Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons - http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg
«Mercurius Vigo Galicia» de Susana Freixeiro – Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons – http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg

Ante este panorama, y con el objeto de no convertir este artículo en una guía de adecuación, sólo incidir en que las medidas de seguridad a considerar desde un punto de vista meramente legal estarán a lo dispuesto en la normativa de protección de datos y el esquema nacional de seguridad como garantes de un procedimiento de comunicación con los ciudadanos basado en la utilización del teléfono.

Llegados a este punto, y decididos a implantar el procedimiento que convertirá al Servicio de Atención Telefónica en un activo más de seguridad, habrá que sustanciar el mismo. Existen trabajos, proyectos, donde se ha pretendido llevar a cabo la autenticación mediante la verificación del locutor empleando la biometría[1] como mecanismo de control de acceso. No la biometría física, claro está, sino la biometría de comportamiento, aquella que usa características que reflejan la conducta de un individuo como por ejemplo la voz o la firma. Ello conlleva un proceso de recogida de muestras para crear una base de datos contra la que se va a efectuar el reconocimiento (matriculación), un chequeo de una muestra contra la citada base de datos (reconocimiento) y una aceptación o rechazo de la identidad en base al resultado del chequeo (decisión).

Actualmente también es posible que la tarjeta sim de los dispositivos móviles, ordenadores portátiles, tabletas electrónicas y por supuesto teléfonos móviles, contenga el certificado digital del propietario, en otras palabras, el documento de identidad electrónica. Esta tecnología permite acceder a las páginas web que requieren identificarse antes de entrar en ellas (entidades bancarias, empresas de servicios e instituciones públicas), emplear el móvil para validar la identificación o la edad a la hora de acceder físicamente a edificios (discotecas, oficinas o páginas para adultos) y claro está, en línea con este capítulo, acreditar la identidad del locutor durante una llamada telefónica combinando la red de voz y de datos.

No obstante, las alternativas antes mencionadas requieren de infraestructuras tecnológicas al efecto y ciertas habilidades y conocimientos en los usuarios por lo que aún no gozan de un nivel de implantación generalizado. En cambio, la autenticación basada en conocimiento, esto es una contraseña o clave que a su vez puede ir acompañada de un token (el teléfono), sí parece corresponderse con una solución más al alcance de los usuarios por su analogía con otros mecanismos globalmente implantados (por ejemplo la tarjeta de débito/crédito y el pin).

Esta propuesta aún tiene que resolver varios aspectos, técnicos, de procedimiento y legales,  que dependerán del nivel de servicio que se pretenda ofrecer, como pueden ser:

  • El proceso de alta de los interesados en la activación del servicio.
  • La generación, almacenamiento, distribución y desbloqueo/reseteo de la clave.
  • El catálogo de información que será accesible.
  • La informatización de los formularios de recogida de datos para su cumplimentación por el Servicio de Atención Telefónica.
  • Determinación del sistema de respuesta en base al nivel de disponibilidad de la información.
  • Tiempos de respuesta objetivo según el sistema elegido.
  • Implementar el mecanismo de grabación y registro de llamadas.
  • Definición de controles y evaluación de resultados.
  • Adecuar a la normativa el nuevo tratamiento de datos. Modificar la inscripción de los ficheros en el registro de la AEPD.
  • Etc…

Rafael Marín Jiménez
Juan Díaz García
Ana María Chups Rodríguez

[1] Técnica utilizada para autenticar o identificar a un individuo basada en su fisiología o en las características de su comportamiento.

Los mensajeros de los dioses (V). ¡¡¡ Nooo, por teléfono nooo !!!

«Mercurius Vigo Galicia» de Susana Freixeiro - Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons - http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg
«Mercurius Vigo Galicia» de Susana Freixeiro – Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons – http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg

Por tanto, si un incidente de seguridad sobre los canales de atención telefónica pudiera tener repercusión en la capacidad de la organización para el logro de sus objetivos, la protección de sus activos, el cumplimiento de sus obligaciones de servicio, el respeto de la legalidad y los derechos de los ciudadanos, nos encontraríamos con que tales canales estarían dentro del ámbito contemplado en el ENS.

Siguiendo con la Ley 11/2007, también resulta de interés el artículo 27 que establece lo siguiente:

“1. Los ciudadanos podrán elegir en todo momento la manera de comunicarse con las Administraciones Públicas, sea o no por medios electrónicos, excepto en aquellos casos en los que de una norma con rango de Ley se establezca o infiera la utilización de un medio no electrónico. La opción de comunicarse por unos u otros medios no vincula al ciudadano, que podrá, en cualquier momento, optar por un medio distinto del inicialmente elegido.

  1. Las Administraciones Públicas utilizarán medios electrónicos en sus comunicaciones con los ciudadanos siempre que así lo hayan solicitado o consentido expresamente. La solicitud y el consentimiento podrán, en todo caso, emitirse y recabarse por medios electrónicos.
  2. Las comunicaciones a través de medios electrónicos serán válidas siempre que exista constancia de la transmisión y recepción, de sus fechas, del contenido íntegro de las comunicaciones y se identifique fidedignamente al remitente y al destinatario de las mismas.
  3. Las Administraciones publicarán, en el correspondiente Diario Oficial y en la propia sede electrónica, aquellos medios electrónicos que los ciudadanos pueden utilizar en cada supuesto en el ejercicio de su derecho a comunicarse con ellas.”[1]

Así pues, para que el teléfono pueda ser utilizado como un medio de comunicación con los particulares, deberá haber sido así habilitado como tal por el Organismo, reuniendo los requisitos a que se refiere el artículo transcrito y demás señalados en la normativa de desarrollo de dicha Ley.

Rafael Marín Jiménez
Juan Díaz García
Ana María Chups Rodríguez

[1]El subrayado es de la Agencia de Protección de Datos.

Los mensajeros de los dioses (IV). ¡¡¡ Nooo, por teléfono nooo !!!

«Mercurius Vigo Galicia» de Susana Freixeiro - Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons - http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg
«Mercurius Vigo Galicia» de Susana Freixeiro – Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons – http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg

Sin embargo, y a pesar de lo expuesto, lo cierto es que existen otras fórmulas más correctas para asegurar que se facilita a la persona interesada (y no a otra) información sensible por teléfono (consentimiento por escrito al efecto y declaración de un número clave o identificador –por ejemplo, número de historia clínica- previo a decir cualquier información), por lo que se recomienda al Hospital que implemente medidas complementarias para asegurar la identidad del interlocutor en una llamada telefónica, medidas que, previamente, se adviertan al paciente.”[1]

La normativa sectorial, la mencionada Ley 41/2002, precisamente en el mismo artículo 7 relativo al derecho a la intimidad, también deja una puerta abierta para habilitar el servicio de información telefónica cuando en su apartado 2 dice así:

“2. Los centros sanitarios adoptarán las medidas oportunas para garantizar los derechos a que se refiere el apartado anterior, y elaborarán, cuando proceda, las normas y los procedimientos protocolizados que garanticen el acceso legal a los datos de los pacientes.”

No podemos pasar por alto las implicaciones que tiene la Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, en este sentido viene a colación el artículo 8 que señala lo siguiente:

“1. Las Administraciones Públicas deberán habilitar diferentes canales o medios para la prestación de los servicios electrónicos, garantizando en todo caso el acceso a los mismos a todos los ciudadanos, con independencia de sus circunstancias personales, medios o conocimientos, en la forma que estimen adecuada.

  1. La Administración General  del  Estado  garantizará  el  acceso  de  todos  los ciudadanos a los servicios electrónicos proporcionados en su ámbito a través de un sistema de varios canales que cuente, al menos, con los siguientes medios:
  • a) Las oficinas de atención presencial que se determinen…
  • b) Puntos de acceso electrónico…
  • c) Servicios de atención telefónica que, en la medida en que los criterios de seguridad y las posibilidades técnicas lo permitan, faciliten a los ciudadanos el acceso a las informaciones y servicios electrónicos a los que se refieren los apartados anteriores.”[2]

Por tanto, la atención telefónica “segura”, está comprendida dentro de los canales que podrán ser utilizados por los ciudadanos para el ejercicio de sus derechos.  Esto significa que habrá que tener presente el Real Decreto 3/2010 de Seguridad de la Información en la Administración Electrónica Española, más conocido como Esquema Nacional de Seguridad o ENS, cuyo objetivo fundamental es eliminar o minimizar el impacto que un incidente de seguridad tendría en el desenvolvimiento del organismo. Así, el artículo 43.3 del ENS se refiere al impacto, cuando señala:

“3. La valoración de las consecuencias de un impacto negativo sobre la seguridad de la información y de los servicios se efectuará atendiendo a su repercusión en la capacidad de la organización para el logro de sus objetivos, la protección de sus activos, el cumplimiento de sus obligaciones de servicio, el respeto de la legalidad y los derechos de los ciudadanos.”

Rafael Marín Jiménez
Juan Díaz García
Ana María Chups Rodríguez

[1]El subrayado corresponde al autor, no está presente en el informe original de la AEPD.

[2]El subrayado corresponde al autor, no está presente en la Ley referida.

Protección de Datos y Seguridad de la Información