Introducción a las Medidas de Seguridad (IX): Niveles de Seguridad

Foto: Termómetro by desconocido
Foto: Termómetro by desconocido
Ya hemos visto que la seguridad de la información se construye a través de la Confidencialidad, Disponibilidad e Integridad de la Información.
Conoceremos brevemente en que forma el Reglamento de Medidas de Seguridad, RD1720/2007 trata de proteger estos tres aspectos de la información.
Se Fijan tres niveles de seguridad atendiendo a la naturaleza de la información. BÁSICO, MEDIO y ALTO
Esta clasificación se realiza atendiendo a la naturaleza de la información tratada, en relación con la menor o mayor necesidad de garantizar la confidencialidad y la integridad de la información.
Los niveles de seguridad son acumulativos de modo que un fichero de nivel alto deberá aplicar también las medidas previstas en los niveles básico y medio.
Los Ficheros de Salud tienen el nivel de seguridad ALTO.
Se clasifica en el NIVEL BÁSICO cualquier  fichero que contenga datos de carácter personal. Además de los ficheros que contengan datos de ideología, afiliación sindical, religión, creencias, salud, origen racial o vida sexual, cuando:
  • Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a entidades de las que los afectados sean asociados o miembros;
  • Se trate de ficheros o tratamientos de estos tipos de datos de forma incidental o accesoria, que no guarden relación con la finalidad del fichero; y
  • En los ficheros o tratamientos que contengan datos de salud, que se refieran exclusivamente al grado o condición de discapacidad o la simple declaración de invalidez, con motivo del cumplimiento de deberes públicos.
Se clasifican en el NIVEL MEDIO los ficheros o tratamientos con datos:
  • Relativos a la comisión de infracciones administrativas o penales; que se rijan por el artículo 29 de la LOPD (prestación de servicios de solvencia patrimonial y crédito);
  • Los de las Administraciones tributarias, y que se relacionen con el ejercicio de sus potestades tributarias;
  • Los de entidades financieras para las finalidades relacionadas con la prestación de servicios financieros;
  • Los de Entidades Gestoras y Servicios Comunes de Seguridad Social, que se relacionen con el ejercicio de sus competencias;
  • Los de mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social;
  • Aquellos que ofrezcan una definición de la personalidad y permitan evaluar determinados aspectos de la misma o del comportamiento de las personas; y
Los de los operadores de comunicaciones electrónicas, respecto de los datos de tráfico y localización
Se clasifican en el NIVEL ALTO los ficheros o tratamientos con datos:
  • De ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual y respecto de los que no se prevea la posibilidad de adoptar el nivel básico; recabados con fines policiales sin consentimiento de las personas afectadas; y derivados de actos de violencia de género.

Introducción a las Medidas de Seguridad (VIII): Integridad

ColouRed Freedom by el buho nº 30
ColouRed Freedom by el buho nº 30

El principio de Calidad de los datos recogido en el RD 1720/2007 establece que :

Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado. Si los datos fueran recogidos directamente del afectado, se considerarán exactos los facilitados por éste.

A lo que la Ley de Autonomía del Paciente viene a añadir que:

Las Administraciones sanitarias establecerán los mecanismos que garanticen la autenticidad del contenido de la historia clínica y de los cambios operados en ella, así como la posibilidad de su reproducción futura.

El principio de integridad de la información trata de garantizar que la información sea veraz, de impedir su manipulación o alteración por personas no autorizadas y de la pérdida accidental o intencionada de los datos.

Mantener la integridad de la información es la tarea más delicada y quizás la más complicada. Actualmente, la información clínica se construye eslabón a eslabón con la participación de una grupo variado de profesionales, administrativos, profesionales de enfermería, médicos, documentalistas, … Un error en cualquiera de los eslabones será arrastrado por todo el proceso con consecuencias que pudieran ser fatales.

Habitualmente, cuando se habla de proteger la integridad de la información suele hacerse referencia a protección contra ataques externos a la información. Sin embargo, los errores cometidos por los propios profesionales desde dentro, constituyen la causa más frecuente en la falta de integridad de la información.

Un error en el nº de teléfono, el DNI, la dirección del paciente son ejemplos de fallos en la integridad de los datos. Pero quizás el fallo de integridad más peligroso para el paciente, el profesional y la organización lo constituyan los errores de identificación del paciente.

Un auxiliar administrativo que da una cita o asigna los resultados de una analítica, a un paciente que se llama igual al que busca, comienza una serie de errores en cadena que pueden acabar con fatales consecuencias para el paciente, por no hablar de los problemas morales que se plantean a los profesionales que han intervenido en el caso, además de los problemas legales y por supuesto, el coste de imagen que un suceso de esta clase tendrá para el centro sanitario.

Pues sí, un error de esta clase puede hacer que la vida del paciente no esté en las manos de su médico, sino en las manos del auxiliar administrativo que mecanizó sus datos y que puede acabar costando el puesto al Director Médico….  ¡Por un error en la identificación del paciente!

En una entrevista a un comandante de las fuerzas aéreas norteamericanas, a quien le preguntaron en que pensaba cuando tuvo que saltar de su avión al ser derribado por el enemigo, respondió: Rezaba para que la persona que había doblado mi paracaídas hubiera hecho bien su trabajo.

En la cadena de proceso, todos son importantes y unos dependen de otros.

Introducción a las Medidas de Seguridad (VII): Disponibilidad

On/off by acartier
On/off by acartier

Recogemos los datos de nuestros pacientes para proporcionarles una asistencia sanitaria adecuada. Esta asistencia sanitaria conlleva otros tratamientos, tanto de tipo administrativo como de carácter sanitario. Al paciente hay que asignarle citas, ingresos, tratamientos y por supuesto dejar registro documental en su historia clínica según exige la Ley de Autonomía del Paciente.

 

Es muy probable que al paciente no lo trate un sólo especialista, sino que sea un equipo de profesionales quien realice la asistencia. Cada profesional que recoge información del paciente debe saber que la misma deberá estar disponible para el resto del equipo de profesionales que intervienen en el proceso.

 

No se trata sólo de la obligación de los profesionales y las organizaciones, sino también de un derecho de los pacientes que su información esté disponible para aquellos profesionales que la necesiten para realizar una asistencia sanitaria adecuada y de acuerdo a la realidad del paciente.

 

Hace algunos años, cuando era responsable de informática en mi hospital, y la extensión de los HIS estaba en plena expansión, sucedia que a veces, los sistemas fallaban. Cosas que tiene la tecnología. A veces sucedía que debido a algún fallo en los sistemas no se hacian correctamente las peticiones de historias clínicas al archivo, El resultado, claro esta, es que las historias no llegaban a la consulta. Como consecuencia, los especialistas no veían al paciente que pudiera ser que hubiera tenido que desplazarse 100 km o más para la visita.

 

A veces se formaba cierto revuelo, lógicamente. El médico indignado porque no tenía la historia de su paciente, el paciente indignado porque se había hecho el viaje para nada, el Gerente indignado porque los sistemas de información fallaban….

 

Y los informáticos indignados porque no alcanzábamos a comprender que el médico echara al paciente para casa por no tener la historia clínica delante.

Hoy, con más años de experiencia encima, con otra perspectiva sobre la asistencia sanitaria, las tecnologías de la información, y las organizaciones sanitarias y con un conocimiento más cercano del trabajo que realizan los profesionales sanitarios, entiendo que es que ES COMO PARA INDIGNARSE!!

Por supuesto me refiero a la indignación del paciente y en todo caso a la de su médico. Los responsables de los sistemas de información, es situaciones así, lo que deberían plantearse es considerar la medida de seguridad más importante relacionada con la disponibilidad, un plan de contigencias.

Es habitual que los usuarios de los sistemas de información se resignen a los parones o fallos informáticos. Pero eso no vale para los responsables, la falta de disponibilidad no está justificada ni es asumible para ninguna organización.

Siempre debe existir un “plan B“, pues todos los sistemas informáticos tarde o temprano sufrirán una parada. La función de un buen plan de contingencias es minimizar los efectos del fallo entre otras cosas ofreciendo alternativas para que la marcha normal del negocio siga adelante, incluso aunque sea con cierto nivel de pérdida en sus funcionalidades. Lo que no es admisible es que el médico no disponga de la información que necesita en su consulta cuando tiene al paciente delante.

 

Introducción a las Medidas de Seguridad (VI): Confidencilidad

“Así lo juro –respondió don Quijote–, y aun le echaré una losa encima para más seguridad, porque quiero que sepa vuestra merced, señor don Antonio –que ya sabía su nombre–, que está hablando con quien, aun que tiene oídos para oír, no tiene lengua para hablar; así que con seguridad puede vuestra merced trasladarlo que tiene en su pecho en el mío y hacer cuenta quelo ha arrojado en los abismos del silencio”.

(Miguel de Cervantes. El ingenioso hidalgo don
Quijote de la Mancha. II Cap. 62)
Corazon de Madera by Angel Rodriguez-Rey
Corazon de Madera by Angel Rodriguez-Rey
Tanto la LOPD como la Ley de Autonomía del Paciente nos hablan de la intimidad y el deber de secreto, que fundamentalmente consistirá en que sólo el personal autorizado podrá acceder a la información de los pacientes en el ejercicio de sus funciones.

Hay multitud de actuaciones que pueden poner en riesgo la confidencialidad de la información.
Archivar la documentación en armarios accesibles a cualquier persona o trabajador. Los dispositivos de almacenamiento deben estar dotados de mecanismos que impidan accesos no autorizados. Algo que por otro lado es de sentido común.
Repartir las historias clínicas para su utilización en la consulta, pero dejándolas en pasillos o en la puerta de la consulta a la espera de ser recogida por el profesional autorizado.
O bien, devolver la historia clínica una vez terminada la consulta dejándola de nuevo en el pasillo a la espera de ser recogidas por el personal encargado de transportarlas de nuevo al archivo.
Ambas actuaciones ponen obviamente en riesgo la confidencialidad de la historia clínica al dejarlas sin custodia durante un periodo de tiempo.
El uso de la historia clínica en planta, en los controles de enfermería, cuando se encuentra fuera de los archivos. En estos momentos, si en el control de enfermería no está habilitado con espacios de almacenamiento adecuados, de nuevo las historias pueden quedar sin custodia en mostradores o mesas al alcance de pacientes, familiares u otros profesionales no autorizados.
Información o documentación clínica archivada en oficinas y despachos que quedan abandonados a la hora del café o por otras razones y que no quedan cerrados con llave es otra costumbre que pone en riesgo la confidencialidad de la información. Igual que cuando salgo de casa cierro la puerta, debo cerrar la puerta de la oficina. Puede que lo que hay dentro  de la oficina no sea de mi propiedad, pero tengo la obligación profesional de guardarlo y custodiarlo aún más que si fuera mío.
El desecho del papel, dvd’s, discos duros,… desechados a través de contenedores habituales de basura o de reciclaje. Cuando la información ya no es necesaria debe destruirse adecuadamente de forma que sea imposible su reconstrucción
En resumen, cualquier actuación que deje la información al alcance de cualquiera no autorizado está poniendo en riesgo la confidencialidad de la información y supone un falta del deber de secreto al que todos estamos obligados.

Introducción a las Medidas de Seguridad (V): Los pilares de la Seguridad de la Información

Foto: Anteojos de perlas by plasticinaa
Foto: Anteojos de perlas by plasticinaa

La seguridad de la información se basa en tres pilares fundamentales, la confidencialidad, la disponibilidad y la integridad.

La Confidencialidad está relacionada con el deber de secreto, y es el principio tradicional de los profesionales sanitarios y que todo paciente da por supuesto entre él y su médico.

El principio de disponibilidad establece que la información deberá estar disponible allí donde y cuando sea necesaria para las personas autorizadas.

La integridad, es quizás el principio más complejo y más dificil. Nos dice el art. 4 de la LOPD (Calidad de los datos ) que :

“Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado.”

La Organización Mundial de la Salud ha lanzado “Nueve soluciones para la seguridad del paciente” a fin de salvar vidas y evitar daños. Las soluciones han sido formuladas por el Centro Colaborador de la OMS sobre (Soluciones para) la Seguridad del Paciente.

“En los países desarrollados, se estima que hasta uno de cada 10 pacientes hospitalizados sufren daños de resultas de la atención recibida, y en el mundo en desarrollo la cifra es probablemente mucho mayor”

“Estas soluciones ofrecen a los Estados Miembros de la OMS un nuevo e importante recurso para ayudar a sus hospitales a evitar muertes y lesiones prevenibles”, ha señalado Dennis S. O’Leary, M.D., Presidente de The Joint Commission. “Todos los países afrontan hoy tanto la oportunidad como el reto de traducir esas soluciones en acciones concretas que efectivamente salven vidas”.

Las Soluciones para la Seguridad del Paciente se centran en los siguientes aspectos:

  1. Medicamentos de aspecto o nombre parecidos
  2. Identificación de pacientes
  3. Comunicación durante el traspaso de pacientes
  4. Realización del procedimiento correcto en el lugar del cuerpo correcto
  5. Control de las soluciones concentradas de electrólitos
  6. Asegurar la precisión de la medicación en las transiciones asistenciales
  7. Evitar los errores de conexión de catéteres y tubos
  8. Usar una sola vez los dispositivos de inyección
  9. Mejorar la higiene de las manos para prevenir las infecciones asociadas a la atención de salud

Las soluciones 2 y 4 están directamente relacionadas con la seguridad de la información (con la integridad concretamente)

Por otro lado, entre los objetivos nacionales de seguridad del paciente 2011 incluye entre sus objetivos el siguientes:

Objetivo 1: Mejorar la identificación del paciente

  • NPSG.01.01.01: Utilizar al menos dos identificadores del paciente cuando se proporcionan servicios, tratamientos y cuidados.
  • NPSG.01.03.01: Eliminar los errores en las transfusiones relacionados con la identificación del paciente.

El SSPA ha reflejado estos objetivos en su documento “Estrategia para la Seguridad del Paciente del SSPA

 

Introducción a las Medidas de Seguridad (IV): Beneficios de la Seguridad

Foto: ¿y ahora que? by Marcos González
Foto: ¿y ahora que? by Marcos González

En el Estudio sobre el grado de adaptación de las Pequeñas y Medianas Empresas españolas a la Ley Orgánica de Protección de Datos (LOPD) y el nuevo Reglamento de Desarrollo (RDLOPD) del Instituto Nacional de Tecnologías de la Comunicación, INTECO, (www.inteco.es)  se enuncian los beneficios derivados de la implementación de la normativa sobre protección de datos que se enumeran a continuación:

  • El valor de los datos: ¿podemos imaginar que nuestra organización se queda sin datos de repente? Para hacerse una idea sólo hay que recordar cuando alguno de los sistemas de información no funciona durante unas horas.
  • Aumento de calidad en las operaciones: Incorporar el concepto de seguridad a los procesos, bien hecho, acaba redundando en la calidad.
    Mejora de la imagen corporativa: No solo no damos una imagen negativa de la organización, sino que la mejora en la seguridad y la calidad beneficia también la imagen de la organización.
  • Es un derecho fundamental, y por tanto se debe velar por su garantía y respeto. Aunque en los centros públicos no son aplicables las sanciones si lo es la aplicación del régimen disciplinario que puede acabar en inhabilitación profesional.
  • Facilidad en la implementación: Aunque se piensa que la adaptación a la LOPD es difícil y costosa, la dificultad está más en la resistencia al cambio y en costumbres culturales que en problemas tecnológicos o financieros.
  • Creación de un entorno de seguridad:La adaptación a las normas de seguridad exigidas por la ley puede ser un primer paso para avanzar en certificaciones de un Sistema de Gestión de la Seguridad de la Información (SGSI).

Además de los beneficios enumerados por INTECO en su informe, añadiremos los siguientes:
Seguridad de los profesionales: La adopción de las medidas de seguridad adecuadas proporciona garantía jurídica a los profesionales, que desarrollarán su trabajo con mayor tranquilidad
Seguridad de los sistemas de Información: Los Sistemas de Información adaptados convenientemente ofrecen  confianza en la información que manejan los profesionales para tratar al paciente y en los propios  S.I. que en caso de fallo podrán volver a su estado normal.

Introducción a las Medidas de Seguridad (III): ¿Por que la Seguridad?

Foto: El asombroso señor Madera y su vida cotidiana #2 by Armando Sotoca
Foto: El asombroso señor Madera y su vida cotidiana #2 by Armando Sotoca

Se piensa que la seguridad es cara y es dificil cuantificar los beneficios de la misma que no aporta mucho a la organización ni a los profesionales y que por otro lado, la implantación de medidas de seguridad impacta de forma traumática en los procesos de la organización, haciendo el trabajo más complicado a los profesionales que tienen que tener en cuenta aspectos legales para los que no están formados.

Podríamos aducir que una infracción en la que se ven involucrados datos de salud puede conllevar multas de hasta 600.000 € aunque en el caso de los centros sanitarios públicos no es un buen argumento, pues la administración pública no puede ser multada por la Agencia Española de Protección de Datos.

También podríamos decir, que aunque no se pueden aplicar multas a los centros sanitarios públicos, la Agencia Española de Protección de Datos si puede solicitar que se aplique el régimen disciplinario interno según el procedimiento y las sanciones a aplicar establecidas en la legislación sobre régimen disciplinario de las Administraciones Públicas.

Hay toda una serie de beneficios para la organización que comentaremos en el siguiente apartado, pero la verdadera razón para la implantación de las medidas de seguridad exigidas por la ley no son ni las multas ni los posibles daños a la imagen de la organización, sino el Paciente.

Un tratamiento inadecuado de los datos del paciente puede acarrear consecuencias graves para el mismo. A nadie le gusta que le extraigan un órgano que no tiene dañado, que le traten de una enfermedad que no padece, o que envíen una carta a su vecino con los datos de tu cita para una consulta médica.

Estos errores, tradicionalmente llamados “errores administrativos” incluso “errores informáticos” no son más que problemas con la seguridad de la información.

Dopaje y geolocalización.

Una de las cuestiones más polémicas que ha aparecido en los últimos tiempos y que afecta a la privacidad y a la protección de datos es el fenómeno conocido con el nombre de “geolocalización”.

Este fenómeno supone que a través de un dispositivo que estamos usando (por ejemplo, un teléfono) se puede conocer en cualquier momento el lugar donde nos encontramos. Así y a modo de ejemplo, puedo citar el problema que surgió este año en marzo con los smartphones, ya que sus cámaras tienen incorporada tecnología GPS de localización.

La Ley Orgánica 7/2006, de 21 de noviembre, de protección de la salud y de lucha contra el dopaje en el deporte contiene un supuesto de relacionado con la geolocalización –más bien localización-, ya que los equipos, entrenadores y directivos, deberán facilitar en los términos que reglamentariamente se establezca, los datos que permitan la localización habitual de los deportistas, incluyendo cuando éstos no estén realizando la actividad deportiva, de forma que se puedan realizar, materialmente, los controles de dopaje.

Este precepto ha sido desarrollado por los artículos 43 a 45 del Real Decreto 641/2009, de 17 de abril, por el que se regulan los procesos de control de dopaje y los laboratorios de análisis autorizados y por el que se establecen medidas complementarias de prevención del dopaje y de protección de la salud en el deporte.

Llegados a este punto, debemos preguntarnos si los deportistas tienen que facilitar en todo momento el lugar donde se encuentran –nuestro Rafa Nadal ya se ha quejado al respecto en alguna ocasión-, ya que de ser así, sería bastante invasivo con su privacidad, ya que no sólo sería a efectos de la temporada deportiva sino también cuando ésta no tiene lugar.

 La solución nos la da el artículo 45 del citado Real Decreto 641/2009, de 17 de abril:

“1. Los deportistas que se incluyan en el Plan Individualizado de Controles deberán proporcionar una información trimestral sobre su localización habitual, cumplimentando con este fin el formulario que por Resolución apruebe el Presidente del Consejo Superior de Deportes, manteniendo en todo caso la siguiente información mínima:

 a) Una dirección postal donde el deportista pueda recibir correspondencia, a efectos de notificaciones relacionadas con el control del dopaje.

b) Una cláusula de consentimiento informado del deportista por la que consiente en ceder los datos facilitados a otras organizaciones antidopaje, con arreglo a lo dispuesto en el artículo 36 de la Ley Orgánica 7/2006.

c) Por cada trimestre, las ausencias superiores a tres días del domicilio habitual, facilitando durante tales ausencias la dirección completa de su residencia o localización.

d) Los datos, entre ellos el nombre y la dirección, de los lugares de entrenamiento del deportista, así como su calendario de entrenamiento para el trimestre, y el horario mínimo de disponibilidad necesario para poder realizar los controles de dopaje.

e) El calendario de competición trimestral, especificando los lugares donde competirá y las fechas, así como el tipo de competición.

2. La cesión y el tratamiento de los datos del formulario a que se hace referencia en este precepto estarán sujetos a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.

3. El formulario elaborado por el Consejo Superior de Deportes incluirá un apartado que permitirá a los deportistas actualizar o modificar la información proporcionada con una antelación suficiente a fin de no comprometer la finalidad de la obligación de localización.”

Es decir, según lo dispuesto en el apartado c) del párrafo 1 de este artículo 45, se introduce un principio de proporcionalidad, ya que no será necesario que el deportista comunique en todo momento donde se encuentra. Se parte de que está en su residencia habitual y que si se ausenta más de tres días, deberá comunicarlo.

Asimismo, y en el caso de que no se incumpla esta obligación la citada Ley Orgánica 7/2006, de 21 de noviembre, tipifica este incumplimiento como grave, y en el caso de reiteración, como muy grave, con la correspondiente sanción económica.

Sobre esta cuestión también se ha pronunciado el Grupo del Artículo 29 de Protección de Datos en el “Segundo dictamen 4/2009 sobre la Norma internacional para la protección de la intimidad y los datos personales de la Agencia Mundial Antidopaje (AMA), sobre disposiciones relacionadas del Código AMA y sobre otros aspectos relacionados con la intimidad en el contexto de la lucha contra el dopaje en el deporte por parte de la AMA y de las organizaciones nacionales antidopaje”:

“En términos generales, el Grupo comprueba con satisfacción que el Código y la Norma internacional sobre control, artículo 11.3, no exigen información sobre el paradero veinticuatro horas al día y siete días por semana. Esto no solamente sería desproporcionado, sino que también daría lugar a la obligación de facilitar datos confidenciales ya que los deportistas, igual que las demás personas, van, por ejemplo, a la iglesia, solicitan asisten médica y/o asisten a reuniones de partidos políticos; y por regla general, en lo que respecta al paradero, nada justifica un tratamiento obligatorio de los datos confidenciales.

 El Grupo considera que es proporcionado exigir datos personales relativos a la franja específica de sesenta minutos y requerir que se facilite el nombre y la dirección de cada lugar donde el deportista se entrenará, trabajará o llevará a cabo a cualquier otra actividad regular (solamente para lo relacionado con la rutina habitual del deportista, véase el artículo 11.3 de la Norma internacional sobre control). Los ejemplos presentados indican que, aparte de la franja de sesenta minutos y la residencia, la información correspondiente a cuatro horas al día se considera proporcionada6. El Grupo espera por lo tanto que la AMA no exija que las OAD recojan más información sobre el paradero que la descrita anteriormente.

 Por otra parte, las solicitudes de información sobre cualquier actividad habitual distinta de las competiciones y entrenamientos podrían considerarse desproporcionadas cuando se refieran a deportistas que no son de alto nivel y que participan en competiciones nacionales e internacionales. Esto se debe a que la propia AMA ha indicado que «para los deportistas que compiten a un nivel más bajo, las normas son mucho menos estrictas. Para dichos deportistas, podría bastar con una información sobre el paradero limitada a los lugares y fechas de las competiciones y entrenamientos, aunque no sería la manera “más eficaz” de realizar controles en opinión de la AMA»7. La cuestión de si el tratamiento de los datos personales está justificado no se plantea en términos de «eficacia» sino de «necesidad».

 Además, la AMA debería reconsiderar su petición de que se comunique el lugar de residencia para cada día del trimestre siguiente (incluso en caso de alojamiento temporal) (artículo 11.3.1.d. de la Norma internacional sobre control) pues esto parecería cuestionable, teniendo en cuenta que en caso de control por sorpresa «el funcionario de control antidopaje intentará localizar al deportista entre las 7:00 horas y las 22:00 horas» (artículo 2.2 de las directrices para los controles fuera de competición, de junio de 2004). A la luz de los anteriores comentarios sobre los deportistas de menor nivel, esto sería especialmente pertinente para estos últimos.

 Además, los deportistas deberían conocer los datos personales que están obligados a proporcionar: la nota informativa que se entrega al deportista tiene que especificar si la información detallada sobre su paradero se debe proporcionar con carácter opcional u obligatorio, indicando las consecuencias derivadas de la no comunicación de dicha información.”

 Por último, y relacionado con el tema de la geolocalización recomiendo la lectura del Dictamen del Supervisor Europeo de Protección de Datos sobre la Comunicación de la Comisión relativa a un Plan de acción para el despliegue de sistemas de transporte inteligentes en Europa y a la propuesta que lo acompaña de Directiva del Parlamento Europeo y del Consejo por la que se establece el marco para el despliegue de los sistemas de transporte inteligentes en el sector del transporte por carretera y para sus interfaces con otros modos de transporte.

Introducción a las Medidas de Seguridad (II): La Seguridad de los Datos de Salud

“Guardaré secreto sobre lo que oiga y vea en la sociedad por razón de mi ejercicio y que no sea indispensable divulgar, sea o no del dominio de mi profesión, considerando como un deber el ser discreto en tales casos.”

Hipocrates by Bibliomata
Hipocrates by Bibliomata

Este es el principio que resume a todas las medidas de seguridad que deben adoptar los ficheros de salud y gran parte de ellas van dirigidas fundamentalmente a conservar este secreto.

Desde la antigua grecia, el juramento hipocrático ya establecía el deber de secreto en el ejercicio profesional de la medicina.

Si el paciente no puede confiar en su médico, ¿como se va a poner en sus manos?

Aunque cuando se habla de medidas de seguridad pensamos en complejos procesos destinados a proteger la información, sin embargo, muchas de las medidas de seguridad exigidas en el reglamento son de sentido común y se han aplicado desde siempre.

Hasta no hace mucho, el médico trabajaba directamente con sus pacientes, él conservaba la información y él mismo la protegía. Nadie más que el propio médico manejaba la información de sus pacientes.

Con el crecimiento de las organizaciones sanitarias, los Sistemas de Salud creciendo en complejidad y en servicios, la explosión de las tecnologías de la información y las telecomunicaciones se han planteado nuevos problemas a los profesionales de la salud.

El médico ya no tiene el control de la información y no es el único responsable de guardar y proteger la información de sus pacientes. Ha pasado de ser el último eslabón de la cadena de profesionales por los que pasa el paciente. Celadores, Administrativos, Auxiliares,…. intervienen, cada uno a su nivel, y de acuerdo a las funciones que tiene asignadas en el tratamiento de los datos de salud.

Ya no hablamos solo de Confidencialidad, también tenemos que garantizar la Integridad de la información y la disponibilidad de la misma, y esta tarea debe llevarse a cabo por toda la organización y todos sus profesionales.

Imposible!!

es la palabra más escuchada cuando se habla de seguridad de la información. Costes elevados o medidas de seguridad que impactan de manera importante en los procesos de los profesionales suelen ser las excusas para no llevarlas a cabo.

Sin embargo, la tecnología es cada vez más barata, y las medidas organizativas pueden salir gratis, al menos a costos no significativos. Por otro lado, unas medidas de seguridad bien integradas en los procesos de trabajo nos pueden llevar a procesos más eficientes en lugar de convertirse en trabas para el desarrollo de nuestra labor con el paciente.

Además, puestos a hablar de “imposibles” mas imposible parece que le cambien el corazón a un paciente por uno nuevo y salga con vida del quirófano, por poner un ejemplo.

En este curso, aprenderemos que la implantación de las medidas de seguridad exigidas por la ley, no sólo es posible, sino fácil y que no tienen que suponer costes elevados para la organización.

Introducción a las Medidas de Seguridad (I)

Foto: brett dennen:don't forget by Lali Masriera
Foto: brett dennen:don't forget by Lali Masriera

El título VIII del Real Decreto 1720/2007 establece las medidas de seguridad para el tratamiento de datos de carácter personal.
Cuando pensamos en medidas de seguridad solemos pensar en tecnología. El RD 1720/2007 no solo establece las medidas de seguridad de índole técnico, sino también establece medidas de seguridad de índole organizativo tales como las funciones y obligaciones del personal.
El reglamento establece las medidas de seguridad que deben cumplir los ficheros automatizados y no automatizados, los locales donde se ubican los ficheros (centros de tratamiento) o los archivos en papel, los equipos, sistemas, programas y personal que intervenga en el tratamiento de datos de carácter personal.
Una de las medidas más importantes es la elaboración e implantación del Documento de Seguridad, que debe contener las políticas, normas y procedimientos de obligado cumplimiento para todo el personal.
Pero no solo la LOPD y el reglamento que la desarrolla RD 1720/2007 exigen la implantación de medidas de seguridad. También la Ley 41/2002 de autonomía del paciente en su artículo 7 sobre el derecho a la intimidad exige a los centros sanitarios que se adopten las medidas necesarias para garantizar este derecho a los ciudadanos elaborando normas y procedimientos que garanticen el acceso legal a los datos de los pacientes
En este curso conoceremos de forma resumida las medidas de seguridad de carácter técnico y organizativo que son aplicables a los ficheros de salud.