Archivo de la etiqueta: principios básicos

Introducción a la LOPD (XXXII): Comunicación de los Datos. Transferencias Internacionales

Foto: Voice of Silence por Alessandro T
Foto: Voice of Silence por Alessandro T

Entenderemos por transferencia internacional de datos toda transmisión de datos, provisional o definitiva, sin importar el soporte en que se encuentren los mismos, los medios utilizados ni el tipo de tratamiento que reciban, a una persona ubicada fuera del territorio español y, en particular, las que constituyan una cesión o comunicación de datos y las que tengan por objeto la realización de un tratamiento de datos por cuenta del responsable del fichero.

Dependiendo del tipo de transferencia  será necesaria o no la autorización de la AEPD.

Los tipos de transferencias pueden atender a:

  • País de destino de la transferencia, diferenciando entre UE, estados que garantizan un nivel de protección adecuado y estados que no garantizan el nivel de protección adecuado.
  • Objeto de la transferencia: podemos hablar de ficheros automatizados y no automatizados  y por otro lado ficheros de titularidad pública o titularidad privada
  • Sujetos intervinientes en la transferencia: diferenciando entre transferencias internacionales entre responsables de ficheros y transferencias de un responsable a un encargado de tratamiento.
  • Finalidad de la transferencia: diferenciando entre transferencias “contractuales” cuando el objeto de la transferencia son los datos en sí, de las “extracontractuales”

El artículo 33.1 de la LOPD establece como regla general que:

No podrán realizarse transferencias internacionales a paises que no garanticen un nivel de protección equivalente al de España

En este caso Será necesaria la autorización del Director de la Agencia Española de Protección de Datos

El transmisor de los datos debe dar cumplimiento además a lo previsto en el artículo 5 de la LOPD (Derecho de información en la recogida de datos). Es decir, Informar previamente al afectado acerca de qué datos se van a transferir, dónde van a ser transferidos y el nivel de protección del país destinatario de los datos con el fin de que el afectado muestre su consentimiento inequívoco a dicha transferencia internacional de datos.

Es la AEPD el organismo encargado de evaluar el nivel adecuado de cada país para las transferencias internacionales de datos.

Son válidas las transferencias efectuadas a:

  • Estados miembros de la UE
  • Estados declarados adecuados por la Comisión Europea
  • Estados miembros del Espacio Económico Europeo (Islandia, Noruega y Liechetstein)
  • Suiza
  • EEUU
  • Canada
  • Argentina
  • La Bailía Guernesy
  • La isla de Man

Supone una excepción a la autorización de la AEPD, entre otras:

La Prevención o diagnósticos médicos, prestación de asistencia sanitaria o tratamiento médico, o gestión de servicios médicos

Introducción a la LOPD (XXXI): Comunicación de los Datos. Cesión Previa Disociación

El articulo 11.6 LOPD regula la disociación de los datos personales con anterioridad a la cesión de los mismos, supuesto que comportará que al receptor de esos datos (el cesionario, el encargado de tratamiento de los mismos, etc) no les será aplicable la normativa reguladora de la protección de datos personales, al no poderse identificar por medio de los mismos ninguna persona física.

No será de aplicación la LOPD al cesionario si se han disociado los datos previamente a la comunicación.

Pero cuidado, porque en el sector sanitario se realiza mucha investigación. Por supuesto, una vez realizada la investigación los datos serán publicados previa disociación, y por tanto, tal y como he comentado antes, esta información no estaría sujeta a la LOPD.

Sin embargo, hay que andar con precaución, pues para que un paciente participe en una investigación, será necesario su consentimiento informado expreso y por escrito.  Así se recoge en la Ley 14/2007, de 3 de julio, de Investigación biomédica.

¿Y qué sucede si se trata de una investigación retrospectiva? Es decir, utilizamos los datos históricos que tenemos de nuestros pacientes para analizarlos y extraer conclusiones.

No debemos olvidar que los datos de salud recogidos por los centros sanitarios tienen como finalidad a asistencia sanitaria al paciente, y que el uso con otras finalidades debe ser analizado con cuidado. En principio, para la utilización de los datos de salud con fines de investigación pasa por el consentimiento, pero claro, pedir consentimiento a miles de pacientes no es nada trivial.

En estos casos la disociación de los datos puede venir a echarnos una mano. Eso sí, ¿Quién disocia los datos? ¿El informático que los entrega al investigador? ¿El investigador principal de forma que el resto de investigadores no conozcan a los pacientes? ¿Se disocian después de realizar el trabajo y antes de publicar?

La disociación debe realizarse desde el principio, de forma que nadie pueda volver a asociar los datos por medios razonables. O sea, la investigación deberá realizarse exclusivamente sobre datos de salud en los que no se puede conocer, ni el propio investigador, a quien pertenecen.

 

 

 

Introducción a la LOPD (XXX): Comunicación de los Datos. Administraciones Públicas

Foto: X por Gonzalo Iza
Foto: X por Gonzalo Iza

No será preciso el consentimiento cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas en el ejercicio de las funciones que tiene atribuidas.

Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas.

Cuando la cesión se produzca entre Administraciones públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos y científicos.

Sin embargo, no podrán comunicarse datos a otras Administraciones públicas que tengan unas competencias diferentes, a no ser que esté previsto en la disposición de creación del fichero.

Pero cuidado, porque no cualquier cosa puede ser considerada “fines históricos, estadísticos y científicos”. Para calificar el tratamiento de datos con estas finalidades hay que estar a lo dispuesto en la Ley 12/1989, de 9 de mayo, reguladora de la función estadística pública, la Ley 16/1985, de 25 de junio, del Patrimonio histórico español y la Ley 13/1986, de 14 de abril de Fomento y coordinación general de investigación científica y técnica, y por supuesto la normativa autonómica aplicable.

Otra forma de obtener la autorización para el tratamiento de datos con fines históricos, estadísticos y científicos es que, de forma excepcional, lo declare así la Agencia Española de Protección de Datos, o en su caso, la agencia autonómica homóloga.

Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.

¿Qué deberíamos hacer ante la petición de una historia clínica por parte de otro centro sanitario público para atender una urgencia?

Pues a la vista de lo establecido en el artículo 11.f  LOPD podría entregarse la Copia de la Historia Clínica a dicho centro.

Sin embargo, esto no debería de hacerse de cualquier forma. Es más que recomendable que los centros establezcan un procedimiento claro que garantice, mediante controles adecuados, la legitimidad de la petición.

Cuidado también con los estudios de investigación entre sanidad y otra administración (por ejemplo, enseñanza). Para llevar a cabo un estudio de investigación en el que se recogen datos de salud entre la población escolar (menores) habrá que cumplir escrupulosamente con las exigencias legales establecidas para evitar caer en una infracción grave (tanto de la administración sanitaria como de la de enseñanza)

Ver Resolución R/00677/2007 de la AEPD.

 

Introducción a la LOPD (XXIX): Comunicación de los Datos

Cesión o comunicación de datos es toda revelación de datos realizada a una persona distinta del interesado

Como regla general (art. 11.1 LOPD), los datos de carácter personal sólo podrán ser comunicados a un tercero cumpliendo acumulativamente las siguientes condiciones:

  • Para fines directamente relacionados con las funciones legítimas del cedente y del cesionario.
  • con el previo consentimiento del interesado

En cambio, no será necesario el consentimiento del afectado cuando  la cesión está autorizada en una ley.

y, en particular, cuando concurra uno de los supuestos siguientes:

  • el tratamiento o la cesión tengan por objeto la satisfacción de un interés legítimo del responsable del tratamiento o del cesionario amparado por dichas normas, siempre que no prevalezca el interés o los derechos y libertades fundamentales de los interesados previstos en el artículo 1 de la Ley Orgánica 15/1999, de 13 de diciembre.
  • el tratamiento o la cesión de los datos sean necesarios para que el responsable del tratamiento cumpla un deber que le imponga una de dichas normas
  • Cuando se trate de datos recogidos de fuentes accesibles al público.

Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente concesión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

Os dejo con el programa Radio 5 Todo Noticias Protegemos tus datos – Error en difusión de datos clínicos – 17/03/11.

 


Introducción a la LOPD (XXVIII): Deber de Secreto. Docencia

Foto: Refreshing por Iván Cabrera
Foto: Refreshing por Iván Cabrera
Como ya hemos comentado, todo el personal con acceso a la historia clínica en el ejercicio de sus funciones está sometido al deber de secreto. Pero ¿Que sucede en aquellos casos en los que el acceso se produce por estudiantes o con fines docentes?
Los datos de Salud se rigen por el art. 7.3 y 7.6 de la LOPD y se recogen:
  • Por razones de interés general, lo disponga una ley,
  • o el afectado consienta expresamente,
El tratamiento está autorizado cuando:
  • Sea necesario para la prevención o para el diagnóstico médicos,
  • La prestación de asistencia sanitaria o tratamiento médicos o
  • La gestión de los servicios sanitarios y siempre que se realice por profesional sanitario sujeto a secreto profesional u otra persona sujeta a deber de secreto equivalente.
Por tanto, en principio, el alumno no está autorizado a acceder a los datos de salud de los pacientes.
Pero veamos lo que nos dice la legislación sanitaria al respecto
La Ley 41/2002 de Autonomía del paciente, en su art. 16.3 especifica que el acceso a la historia clínica con fines de docencia se rige por lo dispuesto en la LOPD, lo mismo sucede en la Ley 14/1986 General de Sanidad, obligando a la disociación de los datos de identificación de los datos de salud salvo que el paciente haya dado su consentimiento.
“La formación y el desarrollo de la competencia técnica de los profesionales deben orientarse a la mejora de la calidad del Sistema Nacional de Salud. Para ello se requiere:
a) La colaboración permanente entre los órganos de las Administraciones públicas competentes en materia de educación, sanidad, trabajo y asuntos sociales, las universidades, las sociedades científicas y las organizaciones profesionales y sindicales.
b) La disposición de toda la estructura asistencial del sistema sanitario para ser utilizada en la docencia pregraduada, postgraduada y continuada de los profesionales.
c) La revisión permanente de las enseñanzas y de la metodología educativa en el campo sanitario, para la mejor adecuación de los conocimientos profesionales a la evolución científica y técnica y a las necesidades sanitarias de la población.”
El Titulo II de la Ley 44/2003 de ordenación de las profesiones sanitarias, regula la formación de los profesionales sanitarios, y en su artículo 14 “Conciertos entre las universidades y los servicios de salud, instituciones y centros sanitarios.” establece que:
“Las universidades podrán concertar con los servicios de salud, instituciones y centros sanitarios que, en cada caso, resulten necesarios para garantizar la docencia
práctica de las enseñanzas de carácter sanitario que así lo requieran. Las instituciones y centros sanitarios concertados podrán añadir a su denominación el adjetivo universitario.”
Nos encontramos entonces con una legislación aparentemente contradictoria, por un lado, el estudiante no puede tener acceso a los datos, o solo con el consentimiento del paciente. Por otro, se promueve que las instituciones sanitarias se impliquen en la docencia de los futuros profesionales sanitarios.
¿Cómo compaginamos ambas condiciones?
Como criterio general Tendremos que:
1.- Los convenios entre universidades y centros sanitarios deben regular el régimen de acceso a los datos de salud por parte de los estudiantes.
2.- Con carácter general será necesario el consentimiento del paciente o la anonimización de sus datos.
En formación PREGRADO, se debe seguir el criterio general o bien el estudiante deberá firmar un documento de compromiso de confidencialidad en el caso de que vaya a intervenir en la actividad asistencial del paciente.
En formación POSTGRADO es legítimo el acceso a los datos, pues los Residentes no son ya estudiantes sino profesionales sanitarios con un contrato regulado y sujeto al deber de secreto como cualquier otro profesional.*
* De la comunicación de D. Angel Igualada en el VII Foro sobre Protección de Datos de Salud. 2011 de la Sociedad Española de Informática de la Salud (SEIS) “Casos Prácticos. La Experiencia de las Agencias de Protección de Datos

Introducción a la LOPD (XXVII): Deber de Secreto

Foto: Secreto por publikaccion
Foto: Secreto por publikaccion

El deber de secreto, que abarca tanto al responsable del fichero, el encargado del tratamiento, al cesionario, a los trabajadores laborales, o contratados en régimen de arrendamiento de servicios.

El deber de secreto es para siempre.

La obligación de deber de secreto subsistirá aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

El personal que accede a los datos de la historia clínica en el ejercicio de sus funciones queda sujeto al deber de secreto.

El Estatuto Básico del Empleado Público, en su artículo 53. Principios Éticos” establece que todos los empleados públicos:

Guardarán secreto de las materias clasificadas u otras cuya difusión esté prohibida legalmente, y mantendrán la debida discreción sobre aquellos asuntos que conozcan por razón de su cargo, sin que puedan hacer uso de la información obtenida para beneficio propio o de terceros, o en perjuicio del interés público.

Todos los empleados públicos están sometidos al deber de secreto

Os dejo con el Program Radio 5 Todo Noticias Protegemos tus datos – Secreto datos médicos- 20/01/11

Introducción a la LOPD (XXVI): Medidas en Ficheros no Automatizados

En Resumen: Cualquier medida dirigida a impedir los accesos no autorizados al archivo.

No solo los ficheros automatizados tienen que implantar las medidas de seguridad comentadas en el post anterior. Los ficheros no automatizados, o ficheros tradicionales en papel están sometidos a los niveles de seguridad exigidos por el reglamento con sus particularidades lógicas.

Los ficheros tradicionales de nivel básico deberán adoptar además de algunas de las medidas ya mencionadas sobre :

También deberán adoptar las siguientes:

  • Para el nivel básico:
    • Establecimiento de criterios de archivo que permitan el ejercicio de los derechos ARCO.
    • Los dispositivos de almacenamiento (archivos) deberán disponer de mecanismos que obstaculicen su apertura e impidan el acceso a personas no autorizadas.
    • Durante el uso de la documentación y mientras ésta se encuentre fuera de su archivo, la persona a su cargo deberá custodiarla impidiendo en todo momento el acceso de terceras personas no autorizadas.
  • Para el nivel medio:
  • Para el nivel alto:
    • Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero.
    • La generación de copias o la reproducción de los documentos únicamente podrá ser realizada bajo el control del personal autorizado en el documento de seguridad.
    • Deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que se evite el acceso a la información contenida en las mismas o su recuperación posterior.
    • El acceso a la documentación se limitará exclusivamente al personal autorizado  y Se establecerán mecanismos que permitan identificar los accesos realizados.
    • Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado.

Os dejo con el programa de Radio 5 Todo Noticias Protegemos tus datos – Datos en la basura – 05/01/12


Introducción a la LOPD (XXV): Los Niveles de Seguridad

Foto: medida por publikaccion.es
Foto: medida por publikaccion.es

Ya comentamos algunas cosillas sobre los niveles de seguridad en la serie anterior sobre Medidas de Seguridad. Sin embargo volveremos a decir algunas cosas más al respecto.

Las medidas de seguridad para el tratamiento de datos exigidas en el Reglamento se clasifican en tres niveles.

Básico, Medio y Alto

Los niveles son acumulativos, es decir, El nivel medio incluye las medidas del nivel básico, y el nivel alto las medidas de los niveles Básico y Medio.

Las Medidas de Seguridad del Nivel Básico son aplicable a todos los ficheros con datos de carácter personal (digitales, en papel o cualquier otro soporte)

A modo de resumen y sin entrar en más detalles se relacionan a continuación las medidas de seguridad de nivel básico:

  • Definición de las Funciones y Obligaciones del personal que realiza el tratamiento de datos
  • Procedimiento de notificación, gestión y registro de incidencias de seguridad conocido y difundido entre los profesionales
  • Control de Acceso a los datos siguiendo el principio “Need to Know” (se accede a lo que se necesita en función de las obligaciones de cada profesional)
  • Gestión adecuada de soportes y documentos, de forma que se garantice su seguridad y confidencialidad durante su transporte, almacenamiento y utilización
  • Identificación y autenticación de usuarios (los conocidos usuario y clave para entrar en un Sistema de Información)

Además de las medidas de nivel básico, deberán implantarse las medidas de nivel medio para los siguientes ficheros o tratamientos de datos de carácter personal:

  • Ficheros relativos a la comisión de infracciones administrativas o penales
  • Los ficheros sobre prestación de servicios de información sobre solvencia patrimonial y crédito (comúnmente llamados ficheros de “morosos”)
  • Ficheros de las Administraciones tributarias y relacionados con sus potestades tribuntarias
  • Los ficheros de las entidades financieras relacionadas con la prestación de servicios financieros
  • Los ficheros de las Entidades Gestoras y Servicios Comunes de la Seguridad Social y de las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social.
  • Aquellos ficheros de los que se pueda extraer una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de su personalidad o comportamiento.

Además de las medidas de Nivel Básico, estos ficheros deberán añadir las siguientes medidas de seguridad:

  • Nombramiento del Responsable de Seguridad encargado de coordinar y controlar las medidas de seguridad aplicables.
  • Todos los ficheros deberán someterse a una Auditoría al menos cada dos años
  • Deberá disponerse de un Registro de Entrada y Salida de Documentos
  • Los mecanismos de Identificación y Autenticación deberán limitar el número de intentos fallidos de acceso reiterados
  • Control de acceso físico. De forma que sólo el personal autorizado pueda tener acceso a los lugares donde se encuentran los equipos físicos que dan soporte a los sistemas de información (Centros de Procesos de Datos)
  • En el Registro de Incidencias se registrarán además los procedimientos de recuperación de datos indicando la persona que lo hizo y la que lo autorizó.

Además de las medidas de nivel básico y medio, habrá que implantar las medidas de nivel alto para los siguientes ficheros o tratamientos de datos de carácter personal.

  • Los ficheros que contengan datos relativos a ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
  • Los que contengan datos recabados con fines policiales sin consentimiento de las personas afectadas.
  • Los ficheros que contengan datos derivados de actos de violencia de género.

Los ficheros de nivel alto deberán cumplir, además de las medidas de nivel básico y medio, con las siguientes medidas de seguridad:

  • En la identificación de los soportes se utilizarán sistemas de etiquetado que dificulten su comprensión a las personas no autorizadas
  • La distribución de soportes, dispositivos portátiles, pen-drives se realizará utilizando mecanismos de cifrado que impidan los accesos no autorizados.
  • Deberá conservarse una copia de seguridad de la información, junto con el procedimiento de recuperación, en un lugar diferente a donde se encuentran los equipos informáticos que contienen dichos datos.
  • Deberán registrarse todos los accesos a los sistemas de información, y se conservará al menos durante dos años. El registro deberá ser analizado por el responsable de seguridad al menos una vez al mes y se elaborará un informe con las revisiones realizadas y los problemas detectados.
  • La transmisión de datos a través de redes de comunicaciones públicas se realizarán cifrando los datos.

 

Introducción a la LOPD (XXIV): Confidencialidad, Disponibilidad e Integridad,

Foto: Secreto por publikaccion
Foto: Secreto por publikaccion

Los tres pilares fundamentales de la seguridad son: Confidencialidad, Integridad y Disponibilidad

No podrán registrarse datos de carácter personal en ficheros que no reunan las condiciones necesarias

tanto en cuanto a su integridad y seguridad como a los centros de tratamientos, locales, equipos, sistemas y programas.

La confidencialidad está relacionada con el deber de secreto y las medidas dirigidas a salvaguardar la confidencialidad se ocupan de que la información se accesible exclusivamente a aquellos profesionales que están autorizados para el acceso. Normalmente estas medidas se rigen por el principio “Need to Know”. Es decir, el nivel de información accesible para cada persona autorizada dependerá de sus funciones profesionales, de forma que disponga de toda la información que necesita para desarrollar su trabajo pero no más. Un ejemplo de medida de seguridad para mantener la confidencialidad serían los mecanismos de identificación y autenticación de usuario.

La Disponibilidad agrupa aquellas medidas de seguridad dirigidas a garantizar que la información estará disponible en el momento en que se necesite y para las personas autorizadas. Un ejemplo de medida de seguridad que trata de garantizar la disponibilidad son las copias de seguridad.

La  Integridad se ocupa de garantizar que la información es exacta, veraz y puesta al día. Los errores o la información incompleta pueden ser fatales si estamos hablando de la Historia Clínica de un paciente. Un ejemplo de medida de seguridad dirigida a salvaguardar la integridad serían los controles implantandos en una aplicación que impiden la duplicación del número de historia clínica.

El Real Decreto 1720/2010 regula y establece en su Título VIII las medidas de seguridad aplicables a cada tipo de fichero.

Os dejo con el programa Radio 5, Todo Noticias. Protegemos tus datos – Difusión datos clínicos – 23/04/10

Introducción a la LOPD (XXIII): Seguridad de los Datos

Foto: Y dónde está Dios? por ing jorge
Foto: Y dónde está Dios? por ing jorge

Aunque ya hemos visto una serie completa dedicada a las medidas de seguridad, incluiremos algunas referencias a las mismas en esta serie dedicada a la Ley Orgánica de Protección de Datos.

Es el responsable del fichero, y, en su caso, el encargado del tratamiento, quienes deberán adoptar las

medidas de índole técnica y organizativas necesarias

que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

Volveremo,  brevemente en los siguientes post, sobre los conceptos de Confidencialidad, Integridad y Disponibilidad,  los niveles de seguridad y las medidas de seguridad de los Ficheros no Automatizados, todo esto ya comentados ampliamente en la serie sobre medidas de seguridad. Pero que merece la pena repasar.

Os dejo con el programa Radio 5 Todo Noticias Protegemos tus datos – Cloud computing – 15/12/11