Protección de Datos de Carácter Personal

CONCEPTOS GENERALES OBLIGACIONES Y MEDIDAS

DE SEGURIDAD

CONTENIDO Introducción.

Conceptos básicos y normativa aplicable.

Obligaciones

Medidas de Seguridad. Ficheros Automatizados y Ficheros No Automatizados.

Consecuencias del incumplimiento de obligaciones LOPD.

Recomendaciones Generales

INTRODUCCIÓN

Objetivo: transmitir conocimientos básicos sobre Protección de Datos. Establecer principios de actuación y procedimientos para los usuarios de datos personales en el ámbito de actuación de los profesionales médicos.

USUARIOS del sistema de información: personal que accede a datos personales por sus funciones (profesional médico, auxiliares de clínica, recepción de pacientes, etc…)

NORMATIVA APLICABLE

Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (LOPD).

Real Decreto 1720/2007 de Desarrollo de LOPD: que aclara, amplia e introduce conceptos y procedimientos. Medidas de seguridad en tratamientos manuales y automatizados.

Ley 41/2002 Básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

NORMATIVA APLICABLE

La LOPD :

• Se aplica a datos de carácter personal automatizados y no automatizados

• Regula la recogida y almacenamiento de datos y su uso posterior

• Afecta a sector público y sector privado

•Recoge los derechos de acceso, rectificación, cancelación y oposición.

La LAP recoge sólo el derecho de acceso a la historia clínica y de conservación de los datos.

CONCEPTOS BÁSICOS

DATO DE CARÁCTER PERSONAL (art. 3.a LOPD)

“cualquier información concerniente a personas físicas identificadas o

identificables”

AFECTADO O INTERESADO(art. 3.e LOPD)

“persona física titular de los datos objeto de tratamiento”

CONCEPTOS BÁSICOS

CESIÓN DE DATOS(art. 3. i LOPD)

“revelar datos a personas distintas del interesado”

Regla GeneralRegla GeneralNo es posible ceder

datos sin el consentimiento

inequívoco de su titular

OBLIGACIONES

Publicación de la creación del fichero en Diario Oficial y/o Inscripción en el Registro de Protección de Datos.

Adopción de medidas de seguridad de nivel alto. Información al paciente en la recogida de datos. Mantener la confidencialidad sobre los datos de

la historia clínica. No cederlos, salvo excepciones legales o con

consentimiento expreso del paciente. Conservarlos (mínimo un plazo de 5 años). Facilitar el ejercicio de los derechos de acceso,

rectificación, cancelación y oposición.

MEDIDAS DE SEGURIDAD

FICHEROS AUTOMATIZADOS

Claves y control de accesos:

•Establecer claves de acceso a equipos y programas.

•Modificar las claves al menos una vez al año.

•Activar el control de intentos de acceso no autorizado.

•Habilitar un registro de acceso de usuarios. (obligatorio salvo en caso de un único usuario)

MEDIDAS DE SEGURIDAD

Copia de seguridad:

• Es obligatorio realizar copia de respaldo al menos de forma semanal.

• Se habrá de conservar copia de seguridad fuera del sistema informático.

• El soporte utilizado (USB, CD/DVD, Disco Duro Externo) habrá de estar protegido con clave de acceso y/o encriptado.

FICHEROS AUTOMATIZADOS

MEDIDAS DE SEGURIDAD

Redes de comunicación:

•Enviar datos de carácter personal solo por cuentas de correo electrónico controladas por usuarios autorizados

•Encriptar datos en envíos por correo electrónico cuando contengan datos de nivel alto (salud, vida sexual, origen étnico, etc)* Los sistemas de encriptado permiten que los datos solo puedan ser leídos por quien conoce las claves.

FICHEROS AUTOMATIZADOS

MEDIDAS DE SEGURIDAD

•Mantener criterios de archivo sencillos y que permitan la conservación y localización de las historias.

•Guardar la documentación en armarios, archivadores, cajoneras … SIEMPRE bajo LLAVE

•La documentación relativa a Historias Clínicas habrá de estar a su vez en zonas con puertas y llave.

•Uso de destructoras de papel para la eliminación de documentación en papel.

FICHEROS NO AUTOMATIZADOS

Consecuencias Incumplimiento• Infracciones Leves: 600 > 60.000

Ej.: No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos

• Infracciones Graves: 60.000 > 300.000

Ej.: Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.

• Infracciones Muy Graves: 300.000 > 600.000

Ej.: La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas

Recomendaciones Generales

Anotaciones subjetivas del Médico: Se permite al profesional sanitario que sus comentarios o impresiones personales que puede reflejar en la historia en un momento determinado queden excluidos del derecho de acceso.

Uso de la historia clínica en ponencias, etc: El uso de la historia clínica con estos fines obliga a preservar los datos de identificación personal del paciente de manera que como regla general quede asegurado el anonimato, salvo que el propio paciente haya dado su consentimiento para no separarlos de su historial sanitario.

Recomendaciones Generales

Justificantes de prestación de asistencia sanitaria: no podrán contener, con carácter general, referencias directas o indirectas al concreto problema de salud del paciente o usuario.No sería adecuado al Principio de Calidad de los Datos la inclusión en el justificante, entre otros posibles datos, de los relativos al diagnóstico, prueba realizada o denominación del servicio que ha atendido al paciente

Cese de actividad, jubilación, etc: solo podrán cederse las historias clínicas de los pacientes a otro facultativo cuando exista el consentimiento inequívoco de cada paciente.