Archivo de la etiqueta: Medidas de Seguridad

El décimo trabajo de Heracles: Los bueyes de Geriones (X). Trazabilidad

Herakles fighting Geryon (dying Eurytion on the ground). Side A from an Attic black-figure amphora.  By Deutsch: Gruppe E English: E Group Français : Groupe E (Marie-Lan Nguyen (2006)) [Public domain], via Wikimedia Commons
Herakles fighting Geryon (dying Eurytion on the ground). Side A from an Attic black-figure amphora. By Deutsch: Gruppe E English: E Group Français : Groupe E (Marie-Lan Nguyen (2006)) [Public domain], via Wikimedia Commons

Visión de la Comunidad de Navarra.

La Ley Foral de Navarra, de 25 de abril de 2002, sobre los derechos del paciente a las voluntades anticipadas, a la información y a la documentación clínica. BON 58 (13 Mayo 2002), recoge que el Servicio Navarro de Salud-Osasunbidea  (SNS-O)  posibilita  que los pacientes puedan solicitar los accesos realizados por profesionales sanitarios a su Historia  Clínica  Informatizada,  tanto  de  Atención Especializada como de Atención Primaria. Las solicitudes se canalizan a través de los Servicios de Atención al Paciente de cada centro sanitario del SNS-O.

Posteriormente desaparece esta amparo por la Ley Foral 17/2010, de 8 de noviembre, de derechos y deberes de las personas en materia de salud en la Comunidad Foral de Navarra, que deroga la anterior.

Autores:

Juan Díaz García
Rafael Marín Jiménez
Miguel Ángel García Hita

El décimo trabajo de Heracles: Los bueyes de Geriones (IX). Trazabilidad

Herakles fighting Geryon (dying Eurytion on the ground). Side A from an Attic black-figure amphora.  By Deutsch: Gruppe E English: E Group Français : Groupe E (Marie-Lan Nguyen (2006)) [Public domain], via Wikimedia Commons
Herakles fighting Geryon (dying Eurytion on the ground). Side A from an Attic black-figure amphora. By Deutsch: Gruppe E English: E Group Français : Groupe E (Marie-Lan Nguyen (2006)) [Public domain], via Wikimedia Commons

Visión de la Agencia Vasca de Protección de Datos.

La Agencia Vasca se posiciona ante este mismo hecho y amplía el marco de información no sólo a los propios datos sino al hecho de saber si son tratados o no mediante la información del número de accesos que se han producido.

En concreto en el DICTAMEN  QUE  SE  EMITE  EN  RELACIÓN  CON  LA  CONSULTA  FORMULADA POR EL DEPARTAMENTO DE SANIDAD Y CONSUMO DEL GOBIERNO VASCO SOBRE  LA  IDENTIFICACIÓN  DE  PERSONAS  QUE  HAN  ACCEDIDO  A  LOS DATOS DE UN PARTICULAR EN EL SISTEMA DE IDENTIFICACIÓN IT DE ESE DEPARTAMENTO CN11-009.

Autores:

Juan Díaz García
Rafael Marín Jiménez
Miguel Ángel García Hita

El Mito Pelasgo de la Creación (VI). ¿Por que adaptarse a la LOPD?

Heinrich fueger 1817 prometheus brings fire to mankind
Heinrich fueger 1817 prometheus brings fire to mankind

Conclusiones

Se tiende a pensar que nuestro trabajo sería más sencillo sin esa gran cantidad de controles que se nos imponen en nuestro día a día, entre ellos los exigidos por la LOPD. Aunque en algunos casos puede ser cierto hay que asumir determinados niveles de seguridad y de riesgo inherentes a cualquier actividad y tomar decisiones que repercutirán directamente en el éxito o el fracaso de la actividad.

El cumplimiento de la LOPD no debe ser visto como una obligación (aunque lo sea) sino como un apoyo para la mejora, avance y desarrollo de la organización en pro de la calidad y seguridad.

En nuestro comportamiento diario cada vez más actuamos atendiendo a las directrices planteadas en la LOPD, de forma natural y sin ser conscientes de ello.

Existen multitud de actos que provocan estas situaciones: Cuando se nos solicita datos de la historia de un paciente, se trata con especial atención su cesión, manipulación e información, cuando se envían correos electrónicos con información de salud, en los contratos con empresas externas que manipulen información confidencial, en la manipulación y destrucción de documentación,…

Por tanto, aunque difícil, no es imposible.

La adaptación de un centro sanitario a la Ley Orgánica de Protección de Datos es necesaria e imprescindible en particular por todo lo expuesto en el desarrollo de este capítulo y en general por las razones que pretendemos resumir en el siguiente DECÁLOGO:

 

  1. Es un derecho fundamental: La organización debe contribuir y responsabilizarse de la correcta custodia de la información tratada, que ampara derechos fundamentales de los ciudadanos.
    1. Mejora en calidad: Incorporar el concepto de seguridad en los procesos, redunda siempre en la calidad.
    2. Mejora en imagen corporativa: No solo no damos una imagen negativa de la organización, sino que la mejora en la seguridad y la calidad beneficia en la imagen de la organización.
    3. Razones organizativas: La regularización conlleva optimizar recursos y por tanto una mayor eficacia del sistema de trabajo.
    4. Incremento de la seguridad en los sistemas de trabajo: Se adoptan modelos de actuación que permiten conocer y corregir posibles vulnerabilidades que puedan permitir la pérdida o accesos indebidos de datos, optimizar el rendimiento de los sistemas, establecer mecanismos de protección y actuación ante posibles problemas que puedan acontecer en el día a día.
    5. Sensibilización del personal y de su responsabilidad respecto de los datos tratados: Se establecen pautas de trabajo y compromisos documentados respecto al tratamiento de información.
    6. Seguridad de los profesionales: La adopción de las medidas de seguridad adecuadas, proporcionan garantía jurídica a los profesionales, que le permitirán desarrollar su trabajo con mayor tranquilidad, permitiendo depurar responsabilidades en caso necesario.
    7. Seguridad de los Sistemas de Información: Los Sistemas de Información adaptados convenientemente ofrecen confianza en la información que manejan los profesionales para tratar al paciente, además de adoptar las medidas que pueden facilitar restaurar un sistema a su estado original en caso de fallo.
    8. El valor de los datos: ¿Qué pasaría si alguno de los Sistemas de Información se quedara sin datos? Para hacernos una idea basta con recordar qué sucede cuando alguno de ellos no funciona durante unas horas.
    9. Facilidad de implementación: Aunque se piensa que la adaptación a la LOPD es difícil y costosa, la principal dificultad más que en problemas tecnológicos o financieros, está en la resistencia al cambio y en costumbres culturales.

 

Las nuevas tecnologías, la apertura a Internet de la Historia Clínica (una de las líneas básicas de la estrategia TIC del gobierno para cumplir con las exigencias de la Agenda Digital de la Unión Europea antes de 2015 es hacer accesible la historia clínica al ciudadano a través de Internet), el Cloud Computing,  la integración y unificación de la HHCC entre comunidades y países, el acceso del ciudadano, la administración electrónica, la globalización en la prestación sanitaria, las redes sociales como punto de encuentro entre pacientes y profesionales, el desarrollo en la atención sociosanitaria…. y mucho más, obligan a trabajar en la seguridad, en el tratamiento de los datos y a potenciar y reforzar las actuaciones que todo ello conlleva.

Mª Esther González Revuelta
Francisco Quero Hernández
Manuel Jimber del Río

 

Bibliografía

  1. Ley Orgánica 15/1999 de 13 de Diciembre de Protección de Datos de Carácter Personal. BOE núm. 298, de 14 de Diciembre 1999.
  2. Real Decreto 1720/2007, de 21 de Diciembre por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999. BOE núm. 17, de 19 de Enero 2008.
  3. Informe de cumplimiento de la LOPD en hospitales (Octubre 2010)
  4. http://www.agpd.es/portalwebAGPD/revista_prensa/revista_prensa/2010/notas_prensa/common/octubre/INFORME_HOSPITALES.pdf
  5. Revista Sanitaria 2000, publicación 46 de 15 de Marzo de 2013
  6. http://www.tecnonews.info/ebd/3778/la_innovacion
  7. Biomedicina y Derecho Sanitario. Agencia Laín Entralgo para la Formación, investigación y Estudios Sanitarios. Universidad Europea de Madrid.
  8. Sociedad Española de Informática y Salud. Nº94, Septiembre 2012. Monográfico Protección de Datos Personales.
  9. Sánchez Carón, J. y Abellán, F. Telemedicina y protección de datos sanitarios.

 

El Mito Pelasgo de la Creación (V). ¿Por que adaptarse a la LOPD?

Heinrich fueger 1817 prometheus brings fire to mankind
Heinrich fueger 1817 prometheus brings fire to mankind

Riesgos

Es habitual escuchar a determinados profesionales decir: “pues esto lo hago en mi casa y me va bien”, “En mi casa no me pasa”, “Yo tengo que solucionar mi problema” “Envíamelo a mi correo personal que el corporativo va muy lento”

¡No todo lo que se hace en nuestra casa puede ser aplicado en el hospital!

Todos los profesionales debemos contribuir de forma responsable al cumplimiento y desarrollo de los puntos establecidos en la LOPD, en este sentido hacer una especial mención a determinados roles que por su desempeño profesional están más íntimamente ligados a la contribución, traslado, información y concienciación del personal, así como el manejo de resistencias y circunstancias que dificultan el fin común. Éstos son los profesionales TIC y los profesionales que dirigen un centro sanitario.

Pongámonos en una situación: supongamos que se pretende llevar a cabo un proyecto determinado, ¿cuál es la cadena?

  • La organización publica el proyecto y da la noticia de la forma más atractiva posible.
  • el técnico debe implementarlo con los mecanismos y medidas de seguridad adecuados, cumpliendo por supuesto con la LOPD.
  • el directivo, no entiende como algo que a la vista de la noticia parecía tan simple, plantea tantos inconvenientes. Obviamente éstos han sido traslados por el técnico, pongamos informático. Para ello, también hay que tener cierta habilidad, es decir, trasladar el argot técnico a otro entendible, ya sea por el gestor, ya sea por el profesional, en definitiva, para hacerse entender, tarea ardua.
  • el profesional de a pie necesita llevarlo a cabo sin que además le compliquemos demasiado su tarea. A veces, resulta que las medidas de seguridad le impiden hacer algo que en apariencia y tal como se proyectó parecía muy simple.

Podemos imaginarnos el riesgo en la actuación de cada uno de estos perfiles y en los errores en que podría incurrir cada uno de ellos durante el desarrollo de sus actuaciones, si cualquiera de ellos pierde de vista el verdadero valor de la LOPD.

Por tanto y desde los pilares, la alta dirección debe reafirmar siempre su compromiso con la seguridad, aprobando y manteniendo una política clara de seguridad de la información en todos sus proyectos y actuaciones.

Como amenaza adicional, el desarrollo de las nuevas tecnologías, que a pesar de que tiene grandes ventajas, conlleva un peligro potencial para el control de los datos personales si no se realizan con un estricto y escrupuloso rigor en el tratamiento de los mismos.

Otros riesgos, trasladados por los propios profesionales:

  • La alta rotación de personal eventual y de sustitución.
  • La expansión del acceso a la información a las diferentes categorías profesionales, en sí mismo es un riesgo.
  • La falta de formación, la desinformación de los profesionales, la falta de implicación y en algunos casos la  confianza de que “como no pasa nada” puede llevarnos a realizar actuaciones que infrinjan la ley. Por ejemplo, mostrar información a terceros que puedan hacer un mal uso de ella. La vulneración de la intimidad entre los propios compañeros. La propia intimidad de un profesional no debe estar a disposición de los compañeros, más allá de las puras necesidades asistenciales.

Y no vale con la información y con la formación, hay que tener una actitud muy proactiva, revisando “protocolos de acceso a la información”,  “realizando revisión de los recursos del hospital”, “circuitos de información”,… aplicar innovación,  nuevas formas de trabajar que fomenten resultados innovadores, basados en la buena administración de la información disponible (gestión del conocimiento) y en intensificar las relaciones entre personas entre sí y entre éstas y el conocimiento.

Las personas innovan porque están comprometidas con  su entorno, porque quieren cambiar y mejorar algo, porque encuentran satisfacción dejando su impronta personal en algo a lo que contribuyen con su experiencia y conocimiento. Algo que sólo puede esperarse si se estimula y que jamás si se impone. Éstas deben ser nuestras líneas y premisas de actuación.

En definitiva, “el respeto a la intimidad y la confidencialidad forman parte de la ética de los profesionales sanitarios”. Su incumplimiento puede ser formal, con los consiguientes problemas legales, o que afecte a los valores señalados, lo que añadiría un problema ético al legal”.

 

Mª Esther González Revuelta
Francisco Quero Hernández
Manuel Jimber del Río

El Mito Pelasgo de la Creación (IV). ¿Por que adaptarse a la LOPD?

Heinrich fueger 1817 prometheus brings fire to mankind
Heinrich fueger 1817 prometheus brings fire to mankind

Cómo afecta a la práctica asistencial en particular y a la organización sanitaria en general.

En los puntos anteriores justificamos la obligatoriedad y necesidad de que los Centros Sanitarios, como cualquier otro, se adapten y cumplan todo lo referido a la LOPD.

Formamos e informamos a los profesionales en esta área. Somos los profesionales, tanto sanitarios como no sanitarios, los que nos encontramos diariamente con situaciones que ponen en evidencia el cumplimiento o no, pero…

¿Nos hemos planteado, qué opinión tienen en términos generales los profesionales con respecto a la LOPD?

¿Misión imposible? Imposible No, compleja, Sí.

  • –         Básicamente, tienen claro que es una ley fundamental para la protección del derecho a la intimidad de los ciudadanos, que es necesaria y que ayuda a la concienciación de los profesionales sobre la necesidad de “cuidar” de los datos sensibles y del perjuicio que podría llegar a ocasionar en caso de su incumplimiento.
  • Encuentran muchas aspectos tan restrictivos que la ven alejada de la realidad.
  • Situaciones diarias dificultan en gran medida su cumplimiento, por ejemplo:
  • El uso compartido de ordenadores. Lo cual obliga a abrir y cerrar sesión continuamente con diferentes usuarios. Es habitual llegar a un ordenador, encontrárselo abierto con una sesión de un usuario anterior y trabajar con él. Un facultativo que rota en el hospital para hacer su visita de planta y urgencias, podría acceder entre 7 y 10 ordenadores diferentes en un mismo día.
  • La necesidad de utilizar múltiples claves de acceso para los diferentes sistemas lo complica aún más.
  • Los datos están accesibles cada vez a más perfiles profesionales: sanitarios, administrativos, técnicos,…
  • La disponibilidad de la historia de salud única, conlleva desde el punto de vista del acceso a la información un incremento del número de profesionales que acceden a los datos y por tanto incrementa el riesgo y dificultad de control de accesos, trazabilidad, exposición de la información,… “las garantías de protección no siempre son posibles”.
  • La información del paciente también es compartida y accedida por diferentes “dispositivos asistenciales”: empresas privadas que proveen servicios sanitarios concertados, telemedicina, centros sociales, centros educativos, otros centros sanitarios,… En estos casos el consentimiento expreso del paciente para la cesión de datos, aun no siendo siempre obligatorio, ha supuesto alguna reclamación por parte del paciente.
  • El trabajo fuera del Hospital. Es habitual llevarse el trabajo a casa, lo cual exige unas medidas de seguridad que difícilmente se cumplen.
  • También es de práctica habitual, aunque cada vez hay más concienciación al respecto, el compartir información confidencial de pacientes y trabajadores, entre los propios profesionales y gestores del centro, vía correo electrónico sin establecer las medidas mínimas de seguridad.
  • La investigación, cada vez forma más parte del ámbito de trabajo, es obligado utilizar datos sensibles, el estricto cumplimiento de la ley en este ámbito dificulta su desarrollo, “ya de por sí está extraordinariamente burocratizada la investigación, como para que se le sume la LOPD”
  • Por comodidad, algunos profesionales comparten sus claves de forma consentida con otros compañeros.
  • “El actual sistema ralentiza notablemente el trabajo”, al tener que solicitar autorizaciones y llevar a cabo las diferentes medidas. Dificulta la continuidad asistencial, “es excesivamente garantista a priori”.
  • El uso de pendrives y dispositivos móviles con información de pacientes, historias clínicas,… sin las medidas adecuadas.
  • No tener cerca una destructora de papel o contenedores de papel para destruir y ante las prisas, tirar a la papelera documentación con datos personales.
  • La reutilización de papel con listas de trabajo por una cara y hojas de cita por la otra.
  • El empleo de discos “en la nube” del tipo ofrecido por google drive®  para almacenar información con datos de carácter personal.

… podríamos comentar muchas más situaciones reales, que probablemente el lector tendrán en mente e incluso confirmará con su experiencia las situaciones anteriores.

Esta información ha sido extraída de una encuesta realizada a profesionales activos en un centro sanitario. Son algunos de los puntos más significativos en los que todos coinciden. Se ha reflejado la opinión  y comentarios trasladados por ellos, al margen de que son conscientes de que son líneas de trabajo sobre las que hay que avanzar y mejorar.

Mª Esther González Revuelta
Francisco Quero Hernández
Manuel Jimber del Río

El Mito Pelasgo de la Creación (III). ¿Por que adaptarse a la LOPD?

Heinrich fueger 1817 prometheus brings fire to mankind
Heinrich fueger 1817 prometheus brings fire to mankind

Justificación Funcional

Pero el cumplimiento de la LOPD no debe verse como una serie de normas impuestas e incómodas que hay que cumplir, sino como un cambio organizativo, un cambio cultural, un cambio de costumbres, en definitiva, un cambio en el funcionamiento para la mejora de la calidad asistencial en particular y del trabajo en general, siendo conscientes de que nos encontramos en el camino un considerable número de inconvenientes que debemos ir solventando.

Hagamos un receso en la normativa para hacer un breve recorrido al día a día.

¿Cuál es la realidad? ¿Qué hacemos habitualmente en un centro?

Diariamente persisten una serie de circunstancias en un centro sanitario que ponen a prueba el cumplimiento del deber de secreto, del nivel de confidencialidad y cumplimiento efectivo de la LOPD.

Tenemos una cultura social con un interés morboso por las vidas ajenas, muestra de ello es la proliferación en los medios de comunicación de programas dedicados a la exhibición de la vida de famosos y particulares.

En muchos casos se cometen actos que vulneran la intimidad del paciente, por desconocimiento, por las prisas, por la curiosidad, por… piensen ustedes mismos los motivos que nos pueden llevar a ello.

¿Cómo qué?

  • Colgar una lista de pacientes en la puerta de una consulta.
  • Llamar por alta voz a un paciente para su asistencia en urgencias o en una consulta.
  • Enviar por correo electrónico información confidencial sin encriptar y sin las medidas adecuadas.
  • Utilizar para envío de datos aplicaciones que vulneran cualquier principio de seguridad: WhatsApp y cientos de aplicaciones de uso doméstico.
  • Utilizar el correo personal para el envío de información de carácter confidencial.
  • Entrar en la historia de un paciente para ver qué le pasa a “mi vecino” o “a mi primo” o “a mi compañero”  sin su consentimiento formal.
  • Dar información vía telefónica, sin tomar las medidas adecuadas.
  • Publicar en Internet datos de un paciente como parte de un estudio de investigación o como parte de una actividad docente sin su consentimiento.
  • Llevarme a casa documentación confidencial en un dispositivo de almacenamiento externo sin la autorización necesaria o las medidas de seguridad adecuadas.

El incremento de los profesionales implicados hace más complicado la reserva absoluta. El mantenimiento de la confidencialidad en el ejercicio de la medicina es fundamental.

Por un lado, los profesionales quieren ejercer su profesión con garantías de calidad y por otro, los pacientes quieren ser tratados con garantías de eficiencia, seguridad, calidad y confidencialidad.

Lo que sí es claro es que está habiendo un cambio cultural en este sentido, los pacientes van tomando conciencia y cada vez más reclaman mayor respeto a su intimidad.

Conseguir esto, no sería posible sin el cumplimiento de una normativa básica impuesta, consensuada y ecuánime, como es la LOPD, además del resto de normas aludidas anteriormente, así como todas aquellas que aun no siendo referenciadas en este texto, han sido creadas con el único fin de mantener, promover y potenciar la seguridad del paciente.

Mª Esther González Revuelta
Francisco Quero Hernández
Manuel Jimber del Río

 

El Mito Pelasgo de la Creación (II). ¿Por que adaptarse a la LOPD?

Heinrich fueger 1817 prometheus brings fire to mankind
Heinrich fueger 1817 prometheus brings fire to mankind

Es difícil cuantificar los beneficios de tener una robusta política de seguridad implantada, en este sentido. Algunos piensan que es caro y que no aporta mucho a la organización ni a los profesionales y que por otro lado, la implantación de medidas de seguridad impacta de forma traumática en los procesos de la organización, haciendo el trabajo más complicado a los profesionales.

Así que, ¿Para qué  la LOPD?

Podríamos argumentar que “para no ser sancionado con un multa”, de hasta 600.000€, pero no sería suficiente, pues las Administraciones Públicas y por ende los Centros Sanitarios Públicos, no pueden ser multados por la Agencia Española de Protección de Datos (AEPD), aunque sí sancionados. En estos casos las sanciones recaerían en el responsable del fichero, pudiendo aplicar el régimen disciplinario según el procedimiento y las sanciones a aplicar establecidas en la legislación sobre régimen disciplinario de las Administraciones Públicas. En el ámbito personal, existen sanciones derivadas del incumplimiento del deber de secreto, tipificado penalmente. Indicar además que se han producido casos en que el propio paciente a partir de una resolución favorable de la AEPD, realiza una denuncia por vía judicial y/o civil.

Hay toda una serie de beneficios para la organización que iremos comentando a lo largo de este capítulo y se tratarán durante el desarrollo del libro, pero la verdadera razón para la implantación de las medidas de seguridad exigidas por la ley no son ni las multas, ni los posibles daños a la imagen de la organización, sino nuestra principal razón de trabajo…. el Paciente. Los compromisos con el paciente y ciudadano, se convierten en obligaciones de los profesionales.

Justificación Normativa

La seguridad de la información en general y el cumplimiento de la LOPD en particular no sólo es un deber ético y moral, sino que es una exigencia legal.

Son muchas las leyes, tratados y acuerdos que hacen alusión a la confidencialidad, privacidad y protección de datos de carácter personal relativos a la salud.

A continuación referenciamos algunos de ellos:

Legislación Comunitaria:

  • Convenio de 28 de Enero de 1981, del Consejo de Europa, para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal.
  • Directiva 95/46/CE del Parlamento Europeo. Ya recogía algo que después se adoptó en la LOPD, “la protección de las personas debe aplicarse tanto al tratamiento automático de los datos como a su tratamiento manual”.
  • Reglamento (CE) nº 45/2001 del Parlamento Europeo y del Consejo de 18 de diciembre de 2000. La finalidad es garantizar el respeto efectivo de las normas de protección de los derechos y libertades fundamentales de las personas como la libre circulación de los datos personales entre los Estados miembros y las instituciones y organismos comunitarios en el ejercicio de sus competencias respectivas.

Legislación Nacional en el ámbito sanitario:

  • Ley general de sanidad 14/1986 en artículo 61, establece que debe “quedar plenamente garantizado el derecho del enfermo a su intimidad personal y familiar y el deber de guardar secreto por quien, en virtud de sus competencias, tenga acceso a la historia clínica.
  • El Estatuto Marco, recoge en su artículo 19 el deber de todos los trabajadores estatutarios de “mantener la debida reserva y confidencialidad de la información y documentación relativa a los centros sanitarios y a los usuarios obtenida, o a la que tenga acceso, en el ejercicio de sus funciones”.
  • Ley 55/2003 de 16 de dic. Del Estatuto Marco del personal estatutario de los servicios de salud.
  • Ley 41/2002 reguladora de la autonomía del paciente y de derechos y obligaciones en materia de documentación clínica.

“Toda persona tiene derecho a que se respete el carácter confidencial de los datos referentes a su salud y a que nadie pueda acceder a ellos sin previa autorización amparada por la ley.” (art.7)

La UNESCO en el documento de preparación de la Declaración relativa a las Normas Universales sobre la Bioética, en su art. 12: Respeto a la vida privada y confidencialidad.

Los principios de protección de datos aplicables a los datos de servicios sanitarios son:

  1. Principio de calidad de los datos (art. 4 LOPD)
  2. Principio de información (art. 5 LOPD)
  3. Principio de consentimiento del afectado tanto para el tratamiento de datos personales (art. 6 LOPD) como para la comunicación de datos a un Tercero (art. 11 LOPD)
  4. Principio de Seguridad de los datos (art. 9 LOPD). Implica la adopción de medidas técnicas y organizativas que garanticen la seguridad de los datos y eviten su alteración, pérdida, tratamiento o acceso no autorizados.

Y en términos generales:

Artículo 1 Objeto: “Garantizar y proteger el tratamiento de los datos personales, libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar”

Artículo 2 – Ámbito de aplicación: Cualquier empresa del “sector público o privado” que utilice datos de carácter personal registrados en soporte físico.

Por lo tanto, la implantación de la LOPD es obligatoria para todas las empresas o profesionales que posean, traten o transfieran datos personales, o documentos relacionados con clientes (para nosotros pacientes), proveedores, empleados, …

Algunas de las principales obligaciones que se han de cumplir:

  • Inscribir los ficheros con datos personales en el Registro de la Agencia Española de Protección Datos.
  • Generar el Documento de Seguridad. Siendo éste obligatorio según el art. 88 del nuevo REGLAMENTO DE LA L.O.P.D. (Real Decreto 1720/2007 de 21 de diciembre) y deberá mantenerse siempre debidamente actualizado.
  • Facilitar los derechos ARCO de los usuarios: Acceso, Rectificación, Cancelación y Oposición.
  • Estudiar todos los casos de Cesión y Acceso a datos por cuenta de terceros, a fin de que sean realizados conforme a las exigencias legales.

En caso de incumplimiento, como en todo régimen administrativo sancionador, las infracciones pueden ser leves, graves y muy graves. La cuantía de las sanciones dependerá del grado de intencionalidad, de la naturaleza de los daños, de los derechos afectados, del beneficio obtenido por el uso de los datos o de la reincidencia, entre otros.

Por tanto, es obligatorio legalmente implantar todas las Medidas de Seguridad jurídicas y organizativas que la Ley prevé.

Mª Esther González Revuelta
Francisco Quero Hernández
Manuel Jimber del Río

El Mito Pelasgo de la Creación (I). ¿Por que adaptarse a la LOPD?

Heinrich fueger 1817 prometheus brings fire to mankind
Heinrich fueger 1817 prometheus brings fire to mankind

En el principio Eurínome, la diosa de todas las cosas, surgió desnuda del Caos, pero no encontró nada sólido en qué apoyar los pies y, en consecuencia, separó el mar del firmamento y danzó solitaria sobre sus olas. Danzó hacia el sur y el viento puesto en movimiento tras ella pareció algo nuevo y aparte con qué poder empezar una obra de creación. Luego asumió la forma de una paloma aclocada en las olas, y a su debido tiempo puso el Huevo Universal.[1]

 ¿Por imperativo legal?

 ¿Por necesidad?

¿Por comodidad?

 ¿Por seguridad?

 ¿Por imagen?

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) tiene como ámbito de aplicación los datos de carácter personal registrados en soportes físicos que los haga susceptibles de tratamiento (automatizado o papel) y a toda modalidad de uso de esos datos por los sectores público y privado.

En el quehacer diario de cualquier centro sanitario se produce un tratamiento de datos de esta índole, datos extremadamente sensibles y de carácter altamente confidencial.

Los datos tratados pueden tener carácter clínico, administrativo, financiero, epidemiológico, de salud laboral, de salud pública, … Especial mención haremos sobre los datos de Salud, por ser una categoría de datos que merecen mayor protección.

La Historia Clínica (HHCC), almacena información relativa al estado de salud o enfermedad del paciente y su informatización tiene serias implicaciones en cuanto al mantenimiento de confidencialidad y deber de secreto. La LOPD es especialmente aplicable a la Historia Clínica.

Son cada vez más los profesionales, sanitarios y no sanitarios los que pueden acceder a la información clínica y administrativa, generada en el propio centro y fuera de él.

Como ya sabemos los profesionales sanitarios que intervienen en la asistencia o están implicados de una u otra forma, tendrán acceso a la historia clínica, no así el personal de administración, que igualmente estarán autorizados a acceder únicamente a los datos relacionados con sus funciones, como por ejemplo los datos de filiación,  registro de informes médicos, generación de citas,…  (art.16.1 de Ley 41/2002).

También están implicados otro grupo de profesionales dedicados a: investigación, docencia, inspección, acreditación, evaluación, actuaciones técnicas,… en cualquier caso para todos, independientemente de su categoría profesional, el acceso siempre vendrá limitado estrictamente por los fines específicos de su trabajo.

Por tanto queda claramente evidenciada la necesidad de que todos los profesionales conozcan la normativa acerca del tratamiento, acceso, control y en general gestión de los datos, quién puede acceder, en qué condiciones, qué medidas tomar,… independientemente de sus funciones.

Es imprescindible para ello que cada centro ponga en marcha los medidas técnicas y organizativas, así como los mecanismos necesarios para garantizar la confidencialidad de los datos que trata y que los profesionales los conozcan, se impliquen en su cumplimiento y se esfuercen en proteger la información de forma efectiva, realizando un tratamiento y custodia adecuado.

Deben, en definitiva, conocer la reglamentación que regula los supuestos y condiciones de tratamiento de la información concerniente a Salud.

Mª Esther González Revuelta
Francisco Quero Hernández
Manuel Jimber del Río

 


[1] El mito Pelasgo de la Creación. Los Mitos Griegos. Robert Graves

El Segundo Trabajo de Heracles: La Hidra de Lerna (IX). Muerte a las Redes Sociales!

Por Eva Ekeblad
Por Eva Ekeblad

¿Cómo podemos entonces contrarrestar todos estos riesgos a los que se expone la organización? Veamos algunas ideas al respecto.

Uno de los riesgos inherentes al uso de las redes sociales por parte de cualquier organización consiste en la inconsistencia de la imagen institucional. Otras amenazas como la suplantación de identidad o el “defacing[1] pueden desembocar en situaciones parecidas.

Por otro lado, siempre existe el riesgo de que aparezcan páginas “no oficiales” que imitan los perfiles institucionales. Aunque el impacto de esta amenaza es aún mayor, puede intensificarse mucho más si la administración no está presente en las redes sociales para contrarrestar esta “imitación”.

El riesgo de inconsistencia en la imagen institucional se puede contrarrestar con la publicación de guías de estilo y formación específica para los usuarios autorizados a actuar en nombre de la organización a través de las redes sociales.

En este sentido, diversos organismos sanitarios públicos y privados han publicado dichas “guías de estilo” con el objetivo de orientar a los centros y sus profesionales en el uso adecuado de las redes sociales como herramientas de comunicación con el ciudadano. Ejemplo de ello es la “Guía de usos y estilo en las redes sociales del Sistema Sanitario Público de Andalucía”, publicada por la Consejería de Salud y Bienestar Social. También están las del Gobierno Vasco, la Generalitat de Cataluña y la Política de redes sociales: experiencia del Hospital Sant Joan de Déu. En el ámbito privado encontramos la “Guía práctica para el uso de redes sociales en organizaciones sanitarias”.[2]

En cuanto a la suplantación de identidad, puede limitarse casi por completo con una configuración adecuada de las opciones de privacidad y utilizando claves de usuario fuertes (con más de ocho caracteres, combinando letras mayúsculas y minúsculas con números y símbolos) y cambiándolas de forma periódica.

El “defacing” (ataque en el que se modifica la web y se hacen aparecer mensajes, normalmente reivindicativos de parte del atacante) y la aparición de páginas de “imitación” pueden limitarse con una actitud activa por parte de la organización, denunciando rápidamente estos comportamientos ante el prestador de servicio oportuno y adoptando las medidas preventivas y correctivas apropiadas.

Como todos sabemos, el uso de las redes sociales conlleva la aceptación de las condiciones impuestas por el prestador de servicios correspondiente, que suele incluir cláusulas abusivas relativas a la propiedad intelectual del material alojado en la red, suponiendo una cesión de derechos a favor del prestador del servicio. Esto también es así para la administración.

El problema consiste en que la Administración Pública no puede ceder sus derechos de propiedad intelectual en favor de terceros, según se recoge en la Ley 33/2003, de 3 de noviembre, del Patrimonio de las Administraciones Públicas.

Ante el riesgo de que algún usuario autorizado publique o comparta documentación sometida a propiedad intelectual a través de las redes sociales, una vez más, una buena labor de concienciación y formación entre los usuarios autorizados será la forma más efectiva para limitar el riesgo de que ocurra esta amenaza.

Por otro lado, una labor de supervisión activa de los contenidos por parte de la administración ayudará en esta labor. Esta supervisión no debe confundirse  con formas de control o censura que limitarían la eficacia de éstas herramientas en sus cometidos.

Otra de las grandes preocupaciones de las administraciones, que las llevan a limitar el uso de las redes sociales como medios de comunicación institucionales, son los datos de carácter personal.

En aquellos casos en los que un usuario de las redes sociales actúa en nombre de una empresa, asociación o las utiliza con fines comerciales, políticos o sociales,  se considera que el mismo no está actuando en el ámbito personal y, por tanto, estará plenamente sometido a la LOPD.

Una administración pública que usa las redes sociales se encontraría, por tanto en esta situación. Sin embargo, aunque estaría sometida a la LOPD, si se hace un uso con los fines que analizaremos algo más adelante en este capítulo (actividad informativa y comunicación institucional) no se estarían tratando datos de carácter personal.

Los proveedores de servicios de las redes sociales ofrecen la posibilidad de utilizar perfiles de empresa, organizaciones, instituciones y similares. Estos no permiten lanzar o aceptar solicitudes de amistad, con lo que no se generará una relación de amigos que pudiera considerarse un fichero que habría que declarar.

De nuevo, la formación y concienciación de los usuarios autorizados vuelve a cobrar gran importancia para limitar este tipo de riesgos. La difusión del deber de secreto y las consecuencias de su incumplimiento entre los empleados autorizados para representar a la organización a través de las redes sociales son uno de los mecanismos más efectivos.

Autores:

Manuel Jimber
Fran Sánchez
Miguel Ángel García



[1] Más información en Wikipedia: http://es.wikipedia.org/wiki/Defacement

[2] Guía en la que también han colaborado Fran Sánchez y Manuel Jimber. http://www.guiaredessocialesysalud.es/

El Segundo Trabajo de Heracles: La Hidra de Lerna (VIII). Muerte a las Redes Sociales!

Por Eva Ekeblad
Por Eva Ekeblad

La Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos (LAECSP) regula las condiciones para la prestación de servicios a los ciudadanos. La LAECSP reconoce el derecho de los ciudadanos a relacionarse con las Administraciones Públicas españolas a través de medios electrónicos y regula la utilización de las tecnologías de la información para que los derechos de los ciudadanos queden garantizados cuando sean atendidos por esta vía (art. 3 LAECSP). Nos parece importante resaltar de manera especial que la LAECSP habla del “derecho de los ciudadanos”. De alguna forma, este derecho obliga a los organismos públicos a acercarse a los ciudadanos por estos medios. Sin embargo, no todo vale. La Administración Pública tiene que cumplir con ciertas obligaciones que es necesario tener en cuenta.

Según el estudio “Redes sociales en Internet 2011”[1], realizado por el Observatorio Nacional de las Telecomunicaciones y la Sociedad de la Información (ONTSI), los principales riesgos derivados del uso de estos servicios están relacionados con la suplantación de la identidad, la posibilidad de que interceptar lo que se hace o dice en la red y el uso delictivo de la información contenida en ella. Los servicios de red social podrían presentar problemas de identificación y autenticación, así como de seguridad, integridad[2] y confidencialidad de la información; requisitos todos ellos exigidos por la LAECSP[3] (art. 1.2.) para la utilización de las tecnologías de la información en las relaciones de la Administración con los ciudadanos.

Parece que en estas condiciones no es muy adecuado la prestación de servicios públicos o mantenimiento de relaciones administrativas con los ciudadanos a través de las redes sociales. La administración pública no podría garantizar adecuadamente el servicio y, además, no tiene la posibilidad de actuar de ninguna forma para mejorarlo, pues se depende por completo del prestador de servicios (Facebook, Twitter, Tuenti…)

Para la prestación de servicios electrónicos a los ciudadanos, debe habilitarse un canal seguro que garantice las condiciones adecuadas para la prestación de los mismos. Este canal se denomina “sede electrónica”.

Tampoco son las redes sociales un mecanismo adecuado para la comunicación de actos administrativos con un ciudadano en particular. De nuevo la LAECSP establece en su art. 27.3:

“Sección 2ª De las comunicaciones y las notificaciones electrónicas

Artículo 27. Comunicaciones electrónicas.

3. Las comunicaciones a través de medios electrónicos serán válidas siempre que exista constancia de la transmisión y recepción, de sus fechas, del contenido íntegro de las comunicaciones y se identifique fidedignamente al remitente y al destinatario de las mismas

Pero, aun así, si hay servicios que la Administración Pública puede prestar al ciudadano a través de los medios sociales. Se puede llevar a cabo actividad informativa, comunicación institucional y, sobre todo, prácticas del denominado “gobierno abierto[4].

El Real Decreto 208/1996, de 9 de febrero, por el que se regulan los Servicios de Información Administrativa y Atención al Ciudadano permite utilizar para la difusión de información administrativa de tipo general el medio que resulte más adecuado, según las circunstancias, incluyendo “cualquier forma de comunicación que los avances tecnológicos permitan” (art. 1.4.)

Según la Ley 29/2005, de 29 de diciembre, de Publicidad y Comunicación Institucional, una campaña institucional de publicidad es “toda actividad orientada y ordenada a la difusión de un mensaje u objetivo común, dirigida a una pluralidad de destinatarios, que utilice un soporte publicitario pagado o cedido y sea promovida o contratada por alguno de los sujetos enunciados en el artículo 1”, es decir, por cualquiera de las Administraciones Públicas españolas. Se llamará campaña de comunicación cuando se utilicen formas de comunicación distintas de las publicitarias.

En la exposición de motivos de esta norma, puede apreciarse que no sólo se recomienda, sino que se ordena la utilización de los medios de comunicación que mejor garanticen la difusión del mensaje. Es por esto que decimos que el entorno red social llega a ser, en este caso concreto, muy apropiado por las características que ya se han descrito con anterioridad.[5]

Las redes sociales representan un excelente canal para la escucha de las opiniones y reacciones del ciudadano ante las actuaciones de las administraciones, convirtiéndose así en una excelente herramienta para la participación del ciudadano en la Administración Pública.

Gobierno abierto” u “Open Government”: un gobierno que entabla una constante conversación con los ciudadanos con el fin de oír lo que ellos dicen y solicitan, que toma decisiones basadas en sus necesidades y preferencias, que facilita la colaboración de los ciudadanos y funcionarios en el desarrollo de los servicios que presta y que comunica todo lo que decide y hace de forma transparente y abierta (Calderón y Lorenzo, 2010).

Autores:

Manuel Jimber
Fran Sánchez
Miguel Ángel García


[1] http://www.ontsi.red.es/ontsi/sites/default/files/redes_sociales-documento_0.pdf

[2] Más información en Wikipedia: http://es.wikipedia.org/wiki/Integridad_de_datos

[3] Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos.

[4] Más información en Wikipedia: http://es.wikipedia.org/wiki/Gobierno_abierto

[5] Las Administraciones públicas en las redes sociales. Teresa Pereyra Caramé. Revista Datospersonales.org. La revista de la Agencia de Protección de Datos de la Comunidad de Madrid. Nº 58. Agosto 2012.