Cesión de Datos: El Tribunal de Cuentas

Otra de las figuras reconocidas en el artículo 11.d LOPD (Cesión de Datos) es el Tribunal de Cuentas o sus instituciones autonómicas análogas.

¿Puede el Tribunal de Cuentas solicitar datos de salud a un centro sanitario?

No parece razonable que las funciones encomendadas al Tribunal de Cuentas le autoricen al tratamiento de datos de salud, como tampoco parece probable que el Tribunal de Cuentas solicite datos más allá de los necesarios para fines contables o de control financiero a un centro sanitario.

En todo caso, en el supuesto de una petición de datos de salud por parte de este tribunal, los datos deberían entregarse disociados, segragando los datos de carácter asistencial de los datos de carácter personal.

Recordemos que las fuerzas y cuerpos de seguridad del estado no pueden realizar peticiones masivas de datos. En el caso del Tribunal de cuentas sucede lo contrario. Debería denegarse cualquier petición “particular” de datos. De lo contrario, de nada serviría la disociación de datos pues el afectado, aunque sus datos estuvieran disociados, estaría perfectamente identificado por el Tribunal de Cuentas.

Intypedia: Sistemas de Cifra con Clave Secreta

¿Te suenan palabros como “Cifrado Simétrico” o “Ataque por Fuerza Bruta”?

En esta 2ª lección de Intypedia el Dr. Fausto Montoya Vitini, del Consejo Superior de Investigaciones Científicas de Madrid nos muestra los fundamentos de los Sistemas de cifrado con Clave Simétrica.

Utilizando una sencilla analogía con una caja y un candado por combinaciones nos explica los principios del “Cifrado Simétrico”, sus fundamentos, y conceptos como Difusión y Confusión, así como los puntos débiles de este tipo de cifrado.

El video dura sólo 11 minutos, así que os animo a que le echéis un vistazo.

Aquí os dejo el video de esta lección. También podéis echar un vistazo a la entrada Aprende a cifrar tus mensajes cuando te comunicas en Internet del Blog “El cuaderno de Bitácora de Fran Sánchez“.

En sucesivos post, os presentaré además un par de herramientas de cifrado simétrico (AxCrypt y TrueCrypt) que espero acompañar con un curso OnLine y unos vídeos explicativos.

 

Guión de la Lección 2

Diapositivas

Ejercicios

 

 

Cesión de Datos de Salud: Fuerzas y Cuerpos de Seguridad del Estado

Una de las situaciones algo estresantes y por que no decirlo, también algo desagradables es aquella en que se presentan un par de funcionarios de la policía (de cualquier cuerpo) en la Asesoría Jurídica del Centro solicitando documentos o datos de salud de un paciente determinado.

Cuando los agentes llegan a la puerta de la Asesoría Jurídica andan ya algo “moscas”, pues han realizado un peregrinaje de un funcionario a otro desde el servicio de admisión, al servicio de atención al ciudadano, al director medico….. Así que cuando se presentan en el último escalón, no andan ya muy dispuestos a pasearse más. Resultado. “Venimos a por la Historia de Fulanito de Copas. Ya!” Y no hay que olvidar que son agentes de al autoridad. Veamos cuales son los supuestos que pueden plantearse.

La recogida y tratamiento para fines policiales de datos de carácter personal por las Fuerzas y Cuerpos de Seguridad sin consentimiento de las personas afectadas están limitados a aquellos supuestos y categorías de datos qeu resulten necesarios para la prevención de un peligro real para la seguridad pública o para la represión de infracciones penales, debiendo ser almacenados en ficheros específicos establecidos al efecto, que deberán clasificarse por categorías en función de su grado de fiabilidad. (art. 22 LOPD).

La cesión de datos a las fuerzas y cuerpos de seguridad se pueden realizar con dos finalidades:

  • Funciones relativas al cumplimiento de las actuaciones ordenadas por la Actividad Judicial.
  • Funciones dirigidas a la averiguación de actuaciones, que se llaverán a cabo con carácter previo a la iniciación del correspondiente proceso penal, siendo la finalidad de éstas últimas, precisamente, la determinación de los elementos de convicción precisos para que pueda procederse a esa iniciación.

Analicemos estas situaciones:

 

Cuando el agente se presenta con una orden judicial lo hace en representación del Juez o el Ministerio Fiscal (lo que se llama un comisionado) siendo autorizados para el acceso por el artículo 11.2.d de la LOPD

 

 

 

 

 

Cuando se presenta el agente sin orden judicial sólo estarán autorizado

para acceder a datos de salud de acuerdo con el art. 22.3 de la LOPD para aquellas
investigaciones que puedan desarrollar dentro de sus competencias.

Dicha cesión es posible siempre que la petición sea concreta y específica, y se encuentre debidamente motivada.

Por supuesto, como para cualquier cesión de datos, debe quedar constancia documentada de dicha cesión, por lo tanto será necesario identificar al agente y llevar registro de los datos que se han entregado.

 

 

 

 

 

 

 

 

 

Intypedia: Historia de la criptografía y su desarrollo en Europa

En Septiembre de 2010 Intypedia publicó si primera lección de la Enciclopedia de Seguridad de la Información. Un video de 12 minutos hace un breve repaso sobre la historia de la critografía en Europa.

El autor del vídeo, D. Arturo Ribagorda Garnacho, ingeniero de Telecomunicación por la Universidad Politécnica de Madrid y Doctor en Informática por la misma Universidad introduce de forma sencilla y clara los principales conceptos subre criptografía: Criptografía por trasposición y por sustitución, el método cesar, la ciencia del criptoanálisis, los métods de cifrado monoalfabéticos y polialfabéticos, criptografos, criptanalistas,….

Una lección realizada con mucho arte, introduciendo conceptos que pueden parecer complejos pero de forma que por momentos parece devolvernos a la infancia cuando jugábamos a cifrar comunicaciones con los amigos (¿quien no ha jugado a eso utilizando el método cesar aún sin conocerlo?)

Esta lección incluye documentación para su libre difusión, incluyendo ejercicios de cifrado.

Enhorabuena de nuevo a Criptored por esta iniciativa. Aqui os dejo con el vídeo

Material Didático:

Ficheros manuales: ¿Cuál es la medida de seguridad más importante?

Si bien en la actualidad nos encontramos en el ámbito de las Administraciones públicas en un profundo cambio hacia una “Administración sin papeles”, todavía nos queda un largo camino por recorrer para que todos los trámites o cualquier actuación que suponga una prestación de un servicio público se realice en su totalidad electrónicamente.

Por ello, debemos ser especialmente diligentes a la hora de custodiar la documentación en papel. Aún más si cabe en los centros de salud y hospitales, no sólo por el tratamiento de los datos de salud, calificados por la LOPD como “especialmente protegidos” y que tienen un régimen jurídico especial más garantista, sino también por el gran volumen de documentos que se tramitan en los citados servicios, como puede ser toda la documentación obrante en la historia clínica en formato papel.

En este sentido, una de las novedades más importantes que introdujo el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LODP, fue la regulación de las medidas de seguridad de los ficheros manuales (también llamados no informatizados).

Respecto a estas medidas, podríamos estructurarlas en tres grupos:

–      Aquellas que ya eran de aplicación a los ficheros informatizados, y que son factibles de adoptar respecto a los manuales, como el documento de seguridad o el registro de incidencias;

–      Las que tienen en cuenta las características del “papel”, como puede ser el artículo 106 cuando se refiere a los “criterios de archivo”;

–      Y las que introducen el sentido común, como es la obligación en el caso de los ficheros manuales con datos de nivel alto de que cuando la documentación se encuentre en armarios y archivadores, deberá existir un área en la que se encuentren los mismos, área que se protegerá con una llave u otro dispositivo.

Pues bien, sobre dicho sentido común me gustaría hacer unos breves comentarios: la medida de seguridad más importante, sobre todo respecto al papel, es la diligencia debida que tenga cada trabajador.

Incluso, en ocasiones, ser diligente, en el sentido de colocar una destructora de papel, no ponerle a un enfermo un cartel o pegatina con su medicación que no a la vista de cualquiera (salvo que obviamente dé su consentimiento) o no dejar la documentación en cualquier sitio es algo que no cuesta nada. Tampoco es muy aconsejable sacar la documentación fuera del lugar de trabajo, puesto que al final, dado su carácter volátil, se pierde el contacto de la misma. Ocurre lo mismo, en formato electrónico con el almacenamiento de información en los conocidos pendrives.

Sobre estas cuestiones, recuerdo que una amiga abogada me decía hace unos años, justo cuando se aprobaba el Reglamento de la LOPD, “Ahora resulta, que con la normativa esa de protección de datos cuando trato con un cliente no puedo tener en la mesa los papeles de mis otros clientes”. Yo le contesté “Para eso, no es necesario, ningún Reglamento de protección de datos. Es de sentido común”.

Cesión de datos de Salud. Jueces y Tribunales

Comenzamos hoy una serie de post relativos a la Cesión de Datos de Salud. Analizaremos brevemente diferentes situaciones que se presentan con cierta frecuencia en los centros sanitarios y que en ocasiones pueden dar lugar a dudas sobre si se deben o no ceder dichos datos.

El post de hoy analiza la cesion de datos de salud solicitada por jueces y tribunales.

La cesión de datos de salud aparece claramente permitida en el art. 11.2.d de la LOPD

La Agencia Española de Protección de Datos, considera la negativa del profesional/gestor  a facilitar la información, o bien facilitarla parcialmente, como una infracción de lo dispuesto en el art. 118 de la Constitución.

Es obligado cumplir las sentencias y demás resoluciones firmes de los Jueces y Tribunales, así como prestar la colaboración requerida por éstos en el curso del proceso y en la ejecución de lo resuelto

La conducta del facultativo/gestor en tal sentido podría aparejar la comisión de un delito de desobediencia.

Ante cualquier petición de una autoridad judicial, con independencia del orden jurisdiccional al que pertenezca, o bien del Ministerio Fiscal, siempre que se haga en el ámbito de sus funciones jurisdiccionales o de investigación, respectivamente, deberá ser atendida, en los términos en los que se produzca la misma.

No obstante, nada impide que si en la documentación solicitada, por cualquier circunstancia, se encontraran datos personales ajenos al interesado, o bien datos sanitarios que no se refieran o afecten a los hechos objeto de enjuciamiento, los mismos puedan no ser entregados, ante la enventualidad de vulnerar el derecho a la intimidad de terceros o incluso del propio afectado.

Por tanto, si ante una petición de un órgano jurisdiccional, realizada de forma genérica y respecto de la cual se pueda presumir razonablemente que no requiere el acceso a todos los datos médicos existentes sobre un determinado paciente, se puede pedir aclaración al órgano jurisdiccional o al Ministerio Fiscal sobre los términos en que se realiza la petición, manifestándole las razones o argumentos en que se fundamentan las dudas sobre la procedencia de la entrega total de los datos.

Si el órgano jurisdiccional precisa o concreta los términos de la solicitud, se habrá evitado una entrega “masiva” e innecesaria de información especialmente protegida. Si en cambio, se mantiene la petición orginal en los mismos términos, la institucición no habrá incurrido en una vulneración del derecho a la intimidad del paciente al cumplir un requerimiento judicial en la forma exigida por la ley.

Os dejo aquí el modelo utilizado en los centros del SAS para solicitar al organo jurisdiccional la reducción en la entrega de datos

 

intypedia – Information Security Encyclopedia

Quiero presentaros en este post a INTYPEDIA un proyecto de la red temática CRYPTORED con pocos meses de vida.

INTYPEDIA es una enciclopedia virtual sobre seguridad de la información. INTYPEDIA se ha diseñado en vídeos de unos pocos minutos de duración en los que un par de presentadores virtuales nos cuentan los conceptos fundamentales sobre la Seguridad de la Información en la Red.

Cada vídeo es una lección sobre un tema de seguridad concreto, unos destinados al público en general y otros más específicos mas propios de especialista.

El proyecto es impulsado por la Universidad Politécnica de Madrid, pero participan en el más de 300 empresas.

Los videos van acompañados de otros materiales didácticos (presentación y documentación) que te puedes descargar, y todo realizado bajo las normas Creative Commons.

Aquí os dejo el vídeo de presentación de INTYPEDIA. En sucesivos post ire comentando los vídeos que se vayan publicando periódicamente

 

 

Aprende a cifrar tus mensajes cuando te comunicas en internet

Aprende a cifrar tus mensajes cuando te comunicas en Internet

Es la última entrada del blog de Fran Sanchez en su Cuaderno de bitácora. Una entrada que bien podría haber sido publicada en la Brújula dada su temática.

Fran Sánchez, Subdirector Médico en el Hospital Reina Sofía, al que estoy seguro muchos de los lectores ya conocéis es un médico muy especial. Muy especial por ser un médico con un enorme bagaje tecnológico y que hasta hoy ha sido una pieza importante en el Reina Sofía de Córdoba. Importante por su conocimiento de la organización e importante por su conocimiento en la aplicación de las nuevas tecnologías a la gestión sanitaria. Fran ha sido ese “enlace” siempre tan necesitado entre los informáticos y los directivos.

Pero no me enrrollo más. Esta entrada es un pequeño homenaje al que ha sido quizas la figura más importante en tecnologías de la información en la historia del Reina Sofía (y puedo decirlo con perspectiva, ya llevo 20 años allí).

Y digo ha sido, porque desde hoy ya no está con nosotros porque ha decidido tomar nuevos rumbos profesionales. Siendo fiel a su lema “La Medicina, mi vocación… la informática, mi pasión”

Una gran pérdida para el Hospital…. pero solo queda decir,

Buen viaje y que la fuerza te acompañe ;). Gracias por todo Maestro!!!

Así que después de estrenar este blog con este rollo sentimental os dejo con su última entrada en “El cuaderno de bitácora de Fran Sánchez” (Reproduzco la entrada literalmente)

/————————–/

Hoy es día de videotutorial. En esta ocasión os muestro cómo funciona una herramienta muy interesante que nos permite cifrar el texto que enviamos a través de cualquier aplicación web que podamos usar en nuestro día a día: Gmail, Facebook, Twitter, Linkedin…

¿Qué utilidad puede tener? Pues, por ejemplo, si queremos mandar un correo electrónico con información confidencial (de salud, por ejemplo), la ley nos obliga a que dicha información viaje cifrada. Me podréis decir que muchos servicios ya funcionan cifrados (tienen en su dirección la HTTPS)… y tenéis toda la razón, pero, al igual que si perdemos una unidad USB sin cifrar, cualquiera podría leer la información, si alguien entrara en nuestra cuenta de correo o perfil social con o sin nuestro permiso, podría leer nuestros mensajes.

Está claro que lo ideal sería que no nos quitaran la cuenta nunca… al igual que estaría bien no perder un disco USB. Pero, ¿y si ocurre? Si ocurriera y tuviéramos nuestra información cifrada, podríamos estar más tranquilos (el 100% no existe :( ) sabiendo que nuestra información está protegida de ojos ajenos.

En la blogosfera ya hablé de una herramienta para cifrar ficheros completos (AxCrypt), pero más de una vez me han preguntado… ¿y si lo que envío no va en un adjunto? ¿Cómo puedo proteger el texto en sí? Pues tenemos solución para esto también: encipher.it.

¿De qué se trata? Pues de un “programita” que se “instala” en nuestro navegador (como si fuera un favorito/marcador) y que nos permitirá cifrar cualquier texto que estemos escribiendo en una página web (como he dicho: Gmail, Facebook, Twitter, Linkedin…).

¿Cómo funciona? Para explicar esto, creo que lo mejor es que veáis los vídeos.

¿Para qué lo puedo usar? Pues para proteger los mensajes que necesites. Por ejemplo: comunicarte por correo con tus pacientes. Cuando la información sea confidencial, para consejos genéricos de salud, no sería necesario.

¿Algún consejo adicional? Simplemente recordaros que no enviéis la contraseña en el mismo mensaje en el que va el texto cifrado. De hecho, es recomendable enviarlo por otra vía. Por ejemplo: acordarla previamente cuando os veáis; si envías un correo, enviar la contraseña por SMS; una llamada telefónica… Como siempre digo, cuanto más complicada sea la contraseña (números, mayúsculas y minúsculas, signos de puntuación), más protegido estará el mensaje ante ataques de fuerza bruta… ya os dije, el 100% no existe. El cifrado busca que el tiempo y los recursos que habría que dedicar a “romper” el mensaje sobrepasen el valor del mensaje en si.

Bueno, no me quiero enrollar más. Creo que lo mejor es que veáis los vídeos. Son dos:

  1. Enseño cómo instalar la aplicación en 3 navegadores diferentes: Google Chrome, Firefox e Internet Explorer. Así como su uso básico en la página de ejemplo del desarrollador.
  2. Muestro cómo usar la aplicación con 4 aplicaciones web muy conocidas y usadas a diario: Gmail, Facebook, Twitter y Linkedin.

La intención de los vídeos es que los podáis recomendar a aquellos con los que os queráis comunicar (por ejemplo, vuestros pacientes) para que puedan instalarse la aplicación por sí mismos y puedan comenzar a comunicarse con vosotros.

Como siempre, si tenéis algún problema, no dudéis en preguntarme; haré todo lo posible por ayudaros.

INSTALACIÓN Y USO BÁSICO DE ENCIPHER.IT

USO DE ENCIPHER.IT CON MIS APLICACIONES WEB MÁS FRECUENTES

.