Elaboración de un PIA.

1. ANÁLISIS DE NECESIDAD

Este análisis se realiza con el fin de poder analizar la necesidad que tiene la clínica dental la cual solicita el servicio de la empresa SW SYSTEMS S.L para conocer el riesgo según sea el nivel  de sensibilidad de los datos almacenados dentro del software de dicha empresa. Es por ello que se deberá  tener como fin el  proteger el derecho fundamental de los usuarios de la clínica para el uso que se le da a sus datos.

En la actual sociedad de la información se viene considerando de vital importancia la protección de datos, ya que con las nuevas tecnologías y métodos de empleo de la información ha surgido la necesidad de proteger los datos de forma segura median prácticas, las cuales permiten tener una base para poder saber cuán importante son los datos manejados por la clínica; proporcionando así una eficacia administrativa para el desarrollo económico de la compañía siempre y cuando sean implementadas correctamente. La información manejada por el software de la clínica Dental además de ser el activo más importante de la compañía es el instrumento el cual permitirá poder determinar qué medidas de seguridad y análisis de riesgos a implementar.

Es además de vital importancia adecuarse a la normativa de protección de datos, ya que la LOPD establece una serie de infracciones, calificadas como leves, graves o muy graves, que pueden ir desde 600 euros hasta 600.000. Estas sanciones se pueden evitar, tomando las siguientes medidas para adaptarse a las exigencias legales.

Designación del Responsable de Gestión de Riesgo

La empresa SW SYSTEMS S.L asigna el perfil de DPO al Señor Mario Fernando Vargas identificado con c.c. 96.879.546 el cual será el encargado de las operaciones de tratamiento que en virtud de su naturaleza, alcances y/o sus efectos, requieren un seguimiento regular y sistemático a gran escala de los datos de los titulares. Las actividades principales de este responsable serán el tratamientos de datos basados en categorías especiales las cuales estas contempladas en el artículo 9 de la LOPD.

El Funcionario DPO será la persona encargada del departamento de Gestión de Riesgos el cual podrá disponer de herramientas proporcionadas por la empresa SW SYSTEMS S.L para el análisis de riesgos, Además de dirigir su grupo de trabajo pal cual le podrá impartir las pautas para las buenas prácticas de Gestión de Riesgos dentro de la Clínica Dental.

Además también se tendrá un estimado  de tiempo para la ejecución de las medidas de seguridad impuestas según sea la necesidad ya que, se deben estipular un tiempo determinado para que se haga el respectivo desarrollo de las prácticas y posteriormente, esas mismas prácticas sean auditadas por la entidad encargada para este propósito es la empresa SW SYSTEMS S.L, para poder así identificar los tipos de riesgos a los cuales se encuentra expuesta la información de la Clínica Dental.    

Descripción del Proyecto

Para este proyecto se delimitó solo la sección de Gestión de citas para ser concretos con las medidas de seguridad que se llevaran a cabo para esta sección.

Nombre del Tratamiento

Sera el conjunto de datos personales que se le solicitaran al  usuario (cliente al momento del registro en el software de la clínica).

Datos a Tratar

Los datos que se solicitaran al momento del registro son (identificación, nombre, apellido, edad, tipo de sangre, tipo de paciente, categoría, sexo, teléfonos de contacto, etnia, ideología).

Colectivos

Serán las personas encargadas de registrar al usuario y gestionar su ingreso a la plataforma usada por la clínica, según sea su tipo de usuario o categoría.

Terceros

La empresa SW SYSTEMS S.L será la encargada del tratamiento de datos a los cuales se les prestara el servicio del análisis de riesgo.

Cesión de Datos Efectuados

Serán las ips prestadoras de servicios las cuales remitirán pacientes a nuestra clínica dental con su respectiva historia clínica para que así el usuario (paciente) pueda ser atendido por nuestros servicios dentro de la clínica.

Transferencias Internacionales

No aplica para nuestra clínica dental ya que funciona solo a nivel local del país.

Identificación de Amenazas y Análisis de Impacto en la Privacidad

La identificación de los riesgos nos permiten saber las amenazas que tenemos en contra a la información por esto debemos realizar análisis de vulnerabilidades para poder evitar incidentes o un daño en los sistemas de información.

1. La inscripción de los ficheros de datos según AGPD

Este punto hace referencia a los ficheros integrados en los sistemas de información manejados por la clínica Dental y también, a los ficheros manuales estar archivados en cajones, estanterías armarios, siempre que los datos se encuentren organizados por algún criterio que permita acceder con facilidad a los datos de una persona.

Con este paso no quiere decir que se va a comunicar a la AGPD los datos, sino de informar del tipo de datos que se van a manejar  por ejemplo ¨Mujer¨, ¨Dirección Postal¨, ¨Dirección de correo electrónico¨ de los pacientes atendidos en una consulta. Por ende, el primer paso es identificar los ficheros manejados para determinar así el nivel de seguridad que se debe aplicar. En la clínica dental pueden existir ficheros de tipo.

¨Usuario Activo¨, que exigirá un nivel alto de seguridad si contiene datos relacionados con la salud, afiliación sindical o discapacidades.

¨Historial Clínico¨, los datos de los pacientes, que al contener datos de salud, tendrían un nivel alto de seguridad y además se deberían aplicar las medidas de seguridad respectivas.

¨Gestión de Citas¨, podría manejarse como un fichero de seguridad básico al contener datos como nombre, dirección, teléfono, para orientar las citas según sea la disponibilidad.

Estos ejemplos citados de posibles ficheros que se podrían utilizan para la implementación de algunas medidas, en cada caso se deberán analizar y tener en cuenta los datos que se recogen para hacer un inventario de los ficheros utilizados y su nivel de seguridad.

...