CASO PRÁCTICO CURSO ASPECTOS LEGALES DE LA SEGURIDAD

CASO PRÁCTICO CURSO ASPECTOS LEGALES DE LA SEGURIDAD

En 2012 ocupas el cargo de responsable de seguridad en el departamento de Informática de una clínica privada.

En ese momento, los ficheros más importantes que se manejan en  la clínica son:

• Fichero de alta de pacientes (nombre y apellidos, DNI, domicilio, teléfono, correo electrónico, familiar de contacto, motivo de alta)
• Fichero de defunciones (nombre y apellidos, DNI, causa de fallecimiento)
• Fichero de historias clínicas (en papel hasta 2005).
• Fichero de recursos humanos (datos de empleados rama sanidad, otros empleados, datos de las entrevistas de selección-como gustos, etc)
• Fichero de  tesorería (cobros pendientes, pagos de clientes, pagos a proveedores)

1. INVENTARIO DE FICHEROS

Te encargan que hagas un inventario de ficheros,  que determines qué nivel de protección tiene cada uno en función de los datos  que almacene, y qué medidas será necesario implementar para cumplir con  la normativa de protección de datos. Te piden que  establezcas si será aplicable el Reglamento de Protección de datos, y que trabajes con ficheros  manuales e informatizados.

Ficheros:

• Alta de pacientes
• Defunciones
• Historias clínicas
• Recursos humanos
• Tesoría

Protección:

• Alta pacientes (Nivel básico): Los datos personales son derechos personalísimos que únicamente pueden ser ejercitados directamente por el propio afectado.

• Defunciones (No nivel): Los datos de las personas fallecidas no entran dentro del amparo de la LOPD ni de los reglamentos que la desarrollan.
• Historias clínicas (Nivel alto): Los familiares de los fallecidos ejerciten el derecho de acceso a su historial clínico, de conformidad con lo prevenido en la Ley de Autonomía del Paciente.
• Recursos humanos (Nivel básico): Siempre que los datos de salud de los trabajadores se limiten a los enumerados en el apartado a) de este informe (grado o porcentaje de minusvalía, indicación del dato “apto” o “no apto”, y datos relacionados con las obligaciones impuestas al empresario por la legislación vigente en materia de seguridad social).
• Fichero de tesoría (Nivel medio):

1. COMUNICACIONES DE DATOS Y  ENCARGOS DE TRATAMIENTOS

La  clínica transmite datos a la Hacienda Pública (con  información de actividad de médicos) periódicamente.  

Por el Artículo 11.2a, por las excepciones que es para hacer una encuesta se pasan los datos a la Hacienda Pública y por lo tanto es totalmente legal.

Quiere llevar a cabo una campaña de marketing entre pacientes y familiares y no sabe cómo hacerlo.

Para que sea legal debe cumplir el Artículo 12.3 de la Ley de Protección de Datos.

Se comunican datos de pacientes a un laboratorio de análisis.

Es legal al cumplir el artículo 12.2 de la Ley de Protección de Datos.

Necesita confirmación de que el procedimiento que utiliza para estas transmisiones de  datos  es legal.

1. MEDIDAS DE SEGURIDAD

Hasta este momento, las medidas de seguridad que se tomaban fueron las siguientes:

• Se ha redactado un  documento de seguridad (con los  siguientes apartados: ámbito de aplicación; medidas de seguridad aplicadas; estructura de los ficheros con datos personales; procedimientos de realización de copias de respaldo y recuperación de  datos; medidas para el transporte de soportes y documentos,  así como para la destrucción).

• Registro de incidencias (tipo de incidencia; momento; persona que notifica; persona a quien se comunica; efectos; medidas correctoras aplicadas)

• Control de accesos (no se  ha llevado a cabo una determinación de  usuarios  y perfiles, con los accesos autorizados a cada uno. Es una tarea pendiente, por la complejidad que  tiene en la clínica).

• Gestión de soportes (están inventariados). Las historias en papel se guardan en  archivadores instalados en estanterías abiertas.

• No existen mecanismos de identificación y autenticación de usuarios

• Se hacen copias de seguridad de ficheros automatizados cada semana.

• Auditoría bienal interna

• Existe un responsable de seguridad desde octubre 2008.

...