Introducción a la LOPD (XXVII): Deber de Secreto

Foto: Secreto por publikaccion
Foto: Secreto por publikaccion

El deber de secreto, que abarca tanto al responsable del fichero, el encargado del tratamiento, al cesionario, a los trabajadores laborales, o contratados en régimen de arrendamiento de servicios.

El deber de secreto es para siempre.

La obligación de deber de secreto subsistirá aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

El personal que accede a los datos de la historia clínica en el ejercicio de sus funciones queda sujeto al deber de secreto.

El Estatuto Básico del Empleado Público, en su artículo 53. Principios Éticos” establece que todos los empleados públicos:

Guardarán secreto de las materias clasificadas u otras cuya difusión esté prohibida legalmente, y mantendrán la debida discreción sobre aquellos asuntos que conozcan por razón de su cargo, sin que puedan hacer uso de la información obtenida para beneficio propio o de terceros, o en perjuicio del interés público.

Todos los empleados públicos están sometidos al deber de secreto

Os dejo con el Program Radio 5 Todo Noticias Protegemos tus datos – Secreto datos médicos- 20/01/11

Introducción a la LOPD (XXVI): Medidas en Ficheros no Automatizados

En Resumen: Cualquier medida dirigida a impedir los accesos no autorizados al archivo.

No solo los ficheros automatizados tienen que implantar las medidas de seguridad comentadas en el post anterior. Los ficheros no automatizados, o ficheros tradicionales en papel están sometidos a los niveles de seguridad exigidos por el reglamento con sus particularidades lógicas.

Los ficheros tradicionales de nivel básico deberán adoptar además de algunas de las medidas ya mencionadas sobre :

También deberán adoptar las siguientes:

  • Para el nivel básico:
    • Establecimiento de criterios de archivo que permitan el ejercicio de los derechos ARCO.
    • Los dispositivos de almacenamiento (archivos) deberán disponer de mecanismos que obstaculicen su apertura e impidan el acceso a personas no autorizadas.
    • Durante el uso de la documentación y mientras ésta se encuentre fuera de su archivo, la persona a su cargo deberá custodiarla impidiendo en todo momento el acceso de terceras personas no autorizadas.
  • Para el nivel medio:
  • Para el nivel alto:
    • Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero.
    • La generación de copias o la reproducción de los documentos únicamente podrá ser realizada bajo el control del personal autorizado en el documento de seguridad.
    • Deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que se evite el acceso a la información contenida en las mismas o su recuperación posterior.
    • El acceso a la documentación se limitará exclusivamente al personal autorizado  y Se establecerán mecanismos que permitan identificar los accesos realizados.
    • Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado.

Os dejo con el programa de Radio 5 Todo Noticias Protegemos tus datos – Datos en la basura – 05/01/12


Introducción a la LOPD (XXV): Los Niveles de Seguridad

Foto: medida por publikaccion.es
Foto: medida por publikaccion.es

Ya comentamos algunas cosillas sobre los niveles de seguridad en la serie anterior sobre Medidas de Seguridad. Sin embargo volveremos a decir algunas cosas más al respecto.

Las medidas de seguridad para el tratamiento de datos exigidas en el Reglamento se clasifican en tres niveles.

Básico, Medio y Alto

Los niveles son acumulativos, es decir, El nivel medio incluye las medidas del nivel básico, y el nivel alto las medidas de los niveles Básico y Medio.

Las Medidas de Seguridad del Nivel Básico son aplicable a todos los ficheros con datos de carácter personal (digitales, en papel o cualquier otro soporte)

A modo de resumen y sin entrar en más detalles se relacionan a continuación las medidas de seguridad de nivel básico:

  • Definición de las Funciones y Obligaciones del personal que realiza el tratamiento de datos
  • Procedimiento de notificación, gestión y registro de incidencias de seguridad conocido y difundido entre los profesionales
  • Control de Acceso a los datos siguiendo el principio “Need to Know” (se accede a lo que se necesita en función de las obligaciones de cada profesional)
  • Gestión adecuada de soportes y documentos, de forma que se garantice su seguridad y confidencialidad durante su transporte, almacenamiento y utilización
  • Identificación y autenticación de usuarios (los conocidos usuario y clave para entrar en un Sistema de Información)

Además de las medidas de nivel básico, deberán implantarse las medidas de nivel medio para los siguientes ficheros o tratamientos de datos de carácter personal:

  • Ficheros relativos a la comisión de infracciones administrativas o penales
  • Los ficheros sobre prestación de servicios de información sobre solvencia patrimonial y crédito (comúnmente llamados ficheros de “morosos”)
  • Ficheros de las Administraciones tributarias y relacionados con sus potestades tribuntarias
  • Los ficheros de las entidades financieras relacionadas con la prestación de servicios financieros
  • Los ficheros de las Entidades Gestoras y Servicios Comunes de la Seguridad Social y de las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
  • Aquellos ficheros de los que se pueda extraer una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de su personalidad o comportamiento.

Además de las medidas de Nivel Básico, estos ficheros deberán añadir las siguientes medidas de seguridad:

  • Nombramiento del Responsable de Seguridad encargado de coordinar y controlar las medidas de seguridad aplicables.
  • Todos los ficheros deberán someterse a una Auditoría al menos cada dos años
  • Deberá disponerse de un Registro de Entrada y Salida de Documentos
  • Los mecanismos de Identificación y Autenticación deberán limitar el número de intentos fallidos de acceso reiterados
  • Control de acceso físico. De forma que sólo el personal autorizado pueda tener acceso a los lugares donde se encuentran los equipos físicos que dan soporte a los sistemas de información (Centros de Procesos de Datos)
  • En el Registro de Incidencias se registrarán además los procedimientos de recuperación de datos indicando la persona que lo hizo y la que lo autorizó.

Además de las medidas de nivel básico y medio, habrá que implantar las medidas de nivel alto para los siguientes ficheros o tratamientos de datos de carácter personal.

  • Los ficheros que contengan datos relativos a ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
  • Los que contengan datos recabados con fines policiales sin consentimiento de las personas afectadas.
  • Los ficheros que contengan datos derivados de actos de violencia de género.

Los ficheros de nivel alto deberán cumplir, además de las medidas de nivel básico y medio, con las siguientes medidas de seguridad:

  • En la identificación de los soportes se utilizarán sistemas de etiquetado que dificulten su comprensión a las personas no autorizadas
  • La distribución de soportes, dispositivos portátiles, pen-drives se realizará utilizando mecanismos de cifrado que impidan los accesos no autorizados.
  • Deberá conservarse una copia de seguridad de la información, junto con el procedimiento de recuperación, en un lugar diferente a donde se encuentran los equipos informáticos que contienen dichos datos.
  • Deberán registrarse todos los accesos a los sistemas de información, y se conservará al menos durante dos años. El registro deberá ser analizado por el responsable de seguridad al menos una vez al mes y se elaborará un informe con las revisiones realizadas y los problemas detectados.
  • La transmisión de datos a través de redes de comunicaciones públicas se realizarán cifrando los datos.

 

Introducción a la LOPD (XXIV): Confidencialidad, Disponibilidad e Integridad,

Foto: Secreto por publikaccion
Foto: Secreto por publikaccion

Los tres pilares fundamentales de la seguridad son: Confidencialidad, Integridad y Disponibilidad

No podrán registrarse datos de carácter personal en ficheros que no reunan las condiciones necesarias

tanto en cuanto a su integridad y seguridad como a los centros de tratamientos, locales, equipos, sistemas y programas.

La confidencialidad está relacionada con el deber de secreto y las medidas dirigidas a salvaguardar la confidencialidad se ocupan de que la información se accesible exclusivamente a aquellos profesionales que están autorizados para el acceso. Normalmente estas medidas se rigen por el principio “Need to Know”. Es decir, el nivel de información accesible para cada persona autorizada dependerá de sus funciones profesionales, de forma que disponga de toda la información que necesita para desarrollar su trabajo pero no más. Un ejemplo de medida de seguridad para mantener la confidencialidad serían los mecanismos de identificación y autenticación de usuario.

La Disponibilidad agrupa aquellas medidas de seguridad dirigidas a garantizar que la información estará disponible en el momento en que se necesite y para las personas autorizadas. Un ejemplo de medida de seguridad que trata de garantizar la disponibilidad son las copias de seguridad.

La  Integridad se ocupa de garantizar que la información es exacta, veraz y puesta al día. Los errores o la información incompleta pueden ser fatales si estamos hablando de la Historia Clínica de un paciente. Un ejemplo de medida de seguridad dirigida a salvaguardar la integridad serían los controles implantandos en una aplicación que impiden la duplicación del número de historia clínica.

El Real Decreto 1720/2010 regula y establece en su Título VIII las medidas de seguridad aplicables a cada tipo de fichero.

Os dejo con el programa Radio 5, Todo Noticias. Protegemos tus datos – Difusión datos clínicos – 23/04/10