Los Mitos y Leyendas de la LOPD. Presentación

Aunque este libro por fascículos ya se nos ha terminado, en su momento no tuvo la presentación que merecía, aunque no fuera por su calidad, si al menos por el esfuerzo realizado por los profesionales que han participado en su elaboración.

Aunque no se público en el blog la presentación que os dejo a continuación, si se incluyó en el libro publicado en papel por APISA que podéis encontrar completo en su página web: “Mitos y Leyendas de la LOPD” . Tuvimos el honor de que el autor de esta presentación fuera Emilio Aced Felez, Secretario General de la Sociedad Española de Informática de la Salud (SEIS) y Jefe de Área de la Agencia Española de Protección de Datos.

Nos sentimos muy orgullos y agradecidos por esta presentación que Emilio ha tenido la deferencia de dedicarnos. Muchas gracias Emilio!

Mitos, seguridad, privacidad… No puedo pensar en una combinación más sugerente y que me atraiga más en un libro. Recuerdo mis años de estudiante de primaria y secundaria –ya muy lejanos- en los que la cultura clásica ejercía sobre mí una fascinación irresistible y en los que llegué a pensar que nada digno de interés había sucedido en la historia universal tras la caída de Roma y que la filosofía griega ya se había ocupado de todo cuanto era interesante y digno de tenerse en cuenta en el alma humana, reflexión que de nuevo me asalta cuando miro a mi alrededor en estos tiempos desolados.

Viene también a mi memoria mi indignación porque en mi plan de estudios –soy de la generación de la EGB, de las fichas, de los diagramas de Venn y de la gramática de los sintagmas- se había suprimido casi por completo el estudio de la literatura y de la mitología clásica causando el efecto de que entre los miembros de aquellas jóvenes generaciones los nombres de Homero, Esquilo, Sófocles y Eurípides sonaran (Homer Simpson todavía no había salido de la cabeza de Matt Groening como Atenea de la de Zeus) como un grupo de estrellas brasileñas de fútbol.

Luego la vida me llevó por la senda de las matemáticas –vocación indestructible con la que ni los diagramas de Venn pudieron-, la informática y la seguridad de los sistemas de información y, como destino actual que ya dura casi veinte años, la privacidad y la protección de datos personales que, como itinerario vital, no deja de tener su singularidad.

Así que cuando Manuel Jimber me propuso escribir una introducción para el libro “Mitos y Leyendas de la LOPD” le dije que sí antes de que terminara de hablar, no fuera a ser que se arrepintiera y, pasado el estado de enajenación mental transitoria que a buen seguro padeció para pensar en encomendarme esta tarea,  se me privara de esta oportunidad y del placer de escribir algunas reflexiones en las que se entrelacen estos conceptos y les anime a Uds. a continuar la lectura de este libro que, desde ya les digo que considero casi obligatoria para todos aquellos profesionales del sector sanitario dedicados al ejercicio de la medicina y la asistencia sanitaria, la investigación, la gestión de recursos sanitarios y el desarrollo,  implantación, administración y gestión de recursos TIC, que, de una u otra forma, se preguntan cómo poder prestar el servicio más esencial para el bienestar de la sociedad y, al mismo tiempo, llevarlo a cabo cumpliendo los principios de una norma que todos ellos consideran que se creó con el único objeto de convertir su vida profesional en un infierno.

Pues bien, los autores de este libro, cual modernos Prometeos, se han impuesto la tarea de robar el fuego sagrado del conocimiento y entregarlo a los hombres y mujeres del sector sanitario, transformando las abstracciones de una legislación compleja e intrincada en conceptos ligados a la práctica asistencial y a la resolución de los problemas prácticos que han de abordar las organizaciones sanitarias para lograr sus objetivos de calidad asistencial, eficiencia en la asignación de recursos y control de la gestión.

Y para ello hay que navegar entre la Escila del cumplimiento de la ley de protección de datos, la regulación sanitaria y el aseguramiento de los derechos de los ciudadanos y el Caribdis de la garantía de la integridad, el establecimiento de la trazabilidad y la consecución simultánea de la disponibilidad y la confidencialidad de la información. Ello convierte a los profesionales sanitarios y TIC en émulos de Ulises (que no olvidemos que también era conocido como Odiseo) que han de llevar a puerto el barco de la gestión, el control, la asistencia, la docencia y la investigación médica y farmacéutica dentro del marco normativo que muchas veces se siente como un corsé que impide el libre desarrollo de estas actividades.

Pero, a mi juicio, esta noción, esta visión de la realidad parte de una concepción reduccionista y limitada, cual si, como modernos cíclopes, solo dispusiéramos de un ojo y viéramos el mundo plano y sin perspectiva. En efecto, hemos de partir de la base de que el objeto esencial y la razón última de la asistencia sanitaria y la investigación es el hombre, la persona humana, y la práctica de la medicina, además de una disciplina científica, es una concepción ética de servicio al ser humano que no puede ser despojado de su dignidad y de sus derechos para convertirse únicamente en un objeto sobre el que desplegar una serie de técnicas despersonalizadas por muy beneficiosas que las mismas resulten.

Por lo tanto, no debemos consentir que nuestra percepción de la situación reproduzca el mito platónico de la caverna y solo nos permita ver sombras deformadas que nos ocultan la verdadera esencia de la cosas y nos impiden constatar, como acertadamente se afirma en este trabajo, que la seguridad de la información y el respeto a la privacidad de los usuarios del sistema sanitario, lejos de constituir un obstáculo para la correcta práctica de la medicina, son ejes fundamentales para disponer de una información de calidad y para construir una atención excelente sobre los cimientos de la transparencia y la confidencialidad.

Y es que la protección de datos personales, aunque el mito lo propague, no es, no puede ser, un obstáculo para una asistencia sanitaria de calidad. No vale, no es posible y nunca será aceptado por los pacientes –y los que nos dedicamos a la protección de datos personales también lo somos o lo seremos- que no se disponga de todos los recursos sanitarios necesarios para garantizar nuestra salud, prevenir las enfermedades y, en caso de que lleguen, tratarlas y curarlas de la forma más rápida y eficiente posible porque una ley pensada para protegerlos se entiende o se percibe como barrera infranqueable en el camino de la ciencia médica.

En este sentido, a mi modo de ver, el gran valor de este libro estriba en desmontar toda una serie de falsos mitos que se han ido construyendo con el paso del tiempo alrededor de la imposibilidad de cumplir la ley de protección de datos en el ámbito de la salud para enfocar el problema desde una perspectiva completamente diferente y mucho más creativa: mostrar cómo distintos profesionales que desarrollan su labor en el sector sanitario han encontrado y conseguido implantar soluciones que dan respuesta a los retos que plantea conjugar el derecho fundamental a la protección de datos personales, la seguridad de los sistemas de información y la prestación de una asistencia sanitaria de calidad.

Yo deseo que este trabajo nos sirva a todos para evitar anclarnos en el mito de Sísifo, subiendo trabajosamente la misma piedra por la misma cuesta una y otra vez sin conocer que otros ya han llegado a la cima y han conseguido que la piedra no vuelva a rodar pendiente abajo realizando, eso sí, un esfuerzo hercúleo pero coronado por el éxito y que, aunque no haya servido para entrar en el Olimpo de los dioses, al menos nos muestra el camino para abandonar el Hades y no beber de las aguas del Leteo.

 

Emilio Aced Félez

Los mensajeros de los dioses (VIII). ¡¡¡ Nooo, por teléfono nooo !!! CONCLUSIONES

«Mercurius Vigo Galicia» de Susana Freixeiro - Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons - http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg
«Mercurius Vigo Galicia» de Susana Freixeiro – Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons – http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg

La implantación del mecanismo de acreditación de la identidad que aquí se propone, en una organización como el Servicio Andaluz de Salud, siempre como un sistema complementario al actual mecanismo de comunicación de información, podría reducir enormemente la burocracia y los tiempos de respuesta cuando no se requiere prueba documental por parte del usuario, supondría un acercamiento de la administración pública a los ciudadanos tan “de moda” actualmente por la irrupción de las redes sociales evitando desplazamientos innecesarios, tendría un alcance prácticamente del cien por cien en cuanto a la población objetivo puesto que el teléfono está presente en todos los hogares no suponiendo discriminación social/cultural alguna, etc.

Podrían surgir dudas de distinta índole, temas que no han sido tratados o que requieran de mayor detalle, a saber:

  • Personal no sanitario accediendo a información de salud de los ciudadanos para atender sus peticiones como parte del Servicio de Atención Telefónica.
  • Servicio de Atención Telefónica en dos niveles, administrativo en primera instancia para verificar la identidad y rellenar la solicitud, y sanitario en segunda instancia para atender la misma. La posibilidad de acceder por teléfono al profesional de referencia del paciente, médico o enfermera.
  • Subcontratación del Servicio de Atención Telefónica.
  • Accesibilidad del servicio a usuarios con posibilidades de comprensión reducidas.
  • Limitación de la información sanitaria cuando por razones objetivas el conocimiento de su propia situación pueda perjudicar su salud de manera grave.
  • Habilitación del servicio a personas o instituciones distintas del titular de los datos (representantes legales, asociaciones de ciudadanos, organismos públicos,…)

Pero no hay obstáculo que no pueda saltarse cuando se apuesta decididamente por algo y se cuenta con experimentados y cualificados profesionales.

 Rafael Marín Jiménez
Juan Díaz García
Ana María Chups Rodríguez

RECURSOS INTERESANTES

FUENTES LEGALES

  • Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
  • Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal.
  • Ley 11/2007 de Acceso Electrónico de los Ciudadanos a los Servicios Públicos.
  • Real Decreto 3/2010 de Seguridad de la Información en la Administración Electrónica Española.
  • Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

BIBLIOGRAFÍA

  • Preguntas frecuentes en relación con el Esquema Nacional de Seguridad
  • SANS Institute. InfoSec Reading Room. Shedding some light on Voice Authentication
  • SANS Institute. InfoSec Reading Room. Making the HelpDesk a Security Asset
  • El derecho fundamental a la protección de datos: guía para el ciudadano de la AEPD.
  • Web de la Agencia Española de Protección de Datos. Informes y Resoluciones.
  • Teoría y práctica de la notificación administrativa.
  • Revista datospersonales.org. APDCM: Informes y Resoluciones.

Los mensajeros de los dioses (VIII). ¡¡¡ Nooo, por teléfono nooo !!!

«Mercurius Vigo Galicia» de Susana Freixeiro - Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons - http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg
«Mercurius Vigo Galicia» de Susana Freixeiro – Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons – http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg

En otro orden de cosas, como buenos gestores de la seguridad de la información, habremos de comunicar el papel del Servicio de Atención Telefónica en el área de la seguridad de la información cumpliendo un doble objetivo, dotar de valor añadido al servicio de información como sonda en la gestión de la seguridad y cumplir con la responsabilidad legal de difundir las obligaciones de los profesionales de la organización. El procedimiento de gestión de incidencias de seguridad de la información, el mecanismo del registro de accesos, el protocolo de entrada/salida de información, los derechos de los usuarios del servicio, etc., son ejemplos de los contenidos de la comunicación, que inicialmente tendrá el objetivo de sensibilizar, posteriormente el de formar y en última instancia el de educar.

Recapitulemos, en primer lugar se ha esbozado lo que a criterio del autor podría ser la razón de que el servicio de atención telefónico implantado en la organización no esté ofreciendo mucha de la información que demanda el ciudadano, a continuación se han expuesto referencias de autoridades de control en las que se aludían soluciones legales que permitirían dar un vuelco a esta situación, y en tercer lugar se han apuntado y analizado algunas cuestiones que deben considerarse para que este cambio se lleve a cabo de forma segura. Pero faltaría fundamentar todo esto en un buen análisis de riesgos, tanto los derivados de mantener inactivo o incompleto el servicio como de ponerlo a disposición de los interesados. Riesgos que en el momento de optar por la correspondiente medida para su mitigación habrán de tener presente la relación coste-beneficio.

Al igual que comentábamos en relación a los planes de adecuación a la normativa de protección de datos y al esquema nacional de seguridad, por alcance y por extensión, no procede hacer aquí dicho análisis de riesgos, baste comentar que a nivel nacional disponemos de metodología para ello[1].

[1]MAGERIT: método formal para investigar los riesgos que soportan los Sistemas de Información y para recomendar las medidas apropiadas que deberían adoptarse para controlar estos riesgos.

Rafael Marín Jiménez
Juan Díaz García
Ana María Chups Rodríguez

Los mensajeros de los dioses (VII). ¡¡¡ Nooo, por teléfono nooo !!!

«Mercurius Vigo Galicia» de Susana Freixeiro - Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons - http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg
«Mercurius Vigo Galicia» de Susana Freixeiro – Trabajo propio. Disponible bajo la licencia CC BY-SA 3.0 vía Wikimedia Commons – http://commons.wikimedia.org/wiki/File:Mercurius_Vigo_Galicia.jpg#mediaviewer/File:Mercurius_Vigo_Galicia.jpg

Implementar el mecanismo de grabación de llamadas es más que recomendable y cuenta con el apoyo legal de la Jurisprudencia[1], debiendo tener presente que los archivos sonoros generados están sometidos a las condiciones de la normativa de protección de datos personales. Por tanto, el personal que la realiza debe estar informado sobre la confidencialidad de los datos y haber firmado una declaración en este sentido. Es necesario informar claramente sobre la grabación de la llamada, la incorporación de la misma a una base de datos y los derechos que asisten al afectado. A efectos probatorios, la grabación ha de ser de buena calidad, inteligible e íntegra. La grabación se archivará bajo las medidas de seguridad propias de los datos del fichero correspondiente. Habrá que modificar las inscripciones de los ficheros en el registro de la Agencia Española de Protección de Datos, para incluir en cada uno de ellos la concurrencia del dato “voz”, también cabría la posibilidad de dar de alta un nuevo fichero que contenga todas las grabaciones y otros datos facilitados, pero es más fácil la modificación del fichero ya existente. Sin olvidar que no se deben ceder datos a terceros salvo en las excepciones previstas por la ley.

Como todo servicio que se precie, éste debería estar incluido en un proceso de evaluación continua, lo que necesariamente obliga a definir controles que garanticen el desempeño requerido, que alerte de posibles incidencias y que permita localizar puntos de mejora. Dichos controles no han de ser exclusivamente internos, cada día están más presentes aquellos en los que intervienen directamente los destinatarios del servicio (encuestas de satisfacción).

Rafael Marín Jiménez
Juan Díaz García
Ana María Chups Rodríguez

[1] Sentencia de la Audiencia Provincial de Madrid de 28 abril 2004