jueves, 6 de noviembre de 2008

LA LABOR DE LAS AGENCIAS EN LA CONCIENCIACIÓN DEL DERECHO A LA PROTECCIÓN DE DATOS

La Agencia Española de Protección de Datos ha publicado en su página web una Guía para facilitar la correcta implantación de las medidas de seguridad en los ficheros en los que se traten datos de carácter personal. No hay que olvidar que el art. 9 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) establece que se deben adoptar las medidas de índole técnicas y organizativas necesarias que garanticen la seguridad de los datos y el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD recoge un listado de medidas de seguridad aplicables a los ficheros tanto en formato manual como informatizado.

En el caso de tratamiento de datos de salud, nos encontramos con que se deben aplicar las medidas de seguridad de nivel alto, que implica, dado el carácter acumulativo que tienen, tener que aplicar las medidas de seguridad de nivel básico, las de nivel medio y las de nivel alto.

Esta labor de difusión que están realizando tanto la Agencia Española de Protección de Datos como la Agencia de Protección de Datos de la Comunidad de Madrid, publicando libros o impartiendo conferencias para dar a conocer las obligaciones que deben cumplir las empresas es de vital importancia, puesto que dada la elevada cuantía de las multas y que las medidas de seguridad son aplicables por igual a todas las empresas, independientemente de su tamaño, parece imprescindible que gocen de una mayor seguridad jurídica en la aplicación de la normativa que regula este derecho fundamental a la protección de datos que no deja de ser relativamente reciente.

Son varias las Resoluciones que se han dictado por las dos Agencias mencionadas por no disponer los hospitales o centros sanitarios, públicos y privados, de las medidas de seguridad adecuadas para proteger los datos de salud de los pacientes. Así, recientemente la Agencia Española de Protección de Datos ha impuesto una multa de 12.000 euros a un centro sanitario privado por no disponer de un sistema de control de accesos al sistema informático (Resolución R/00493/2008, dictada en el Procedimiento Nº PS/00470/2007). En el mismo sentido, se ha impuesto una multa de 6.000 euros por no disponer del documento de seguridad. (Resolución R/00011/2008, dictada en el Procedimiento Nº PS/00241/2007). Más elevada ha sido la multa impuesta a un Hospital privado por extravío de parte de la Historia clínica, cuya sanción asciende a 60.101,21 euros (Resolución R/00136/2006, dictada en el Procedimiento Nº PS/00216/2005).

La Guía publicada por la Agencia Española de Protección de Datos sobre la implantación de las medidas de seguridad incluye un resumen de las medidas de seguridad aplicables según los niveles correspondientes, un modelo de documento de seguridad, un modelo de evaluación para que las organizaciones tengan conocimiento del grado de cumplimiento de las medidas de seguridad y lo que desde nuestro punto de vista es más interesante, un listado de preguntas frecuentes entre las que se explica el alcance de alguna de las medidas de seguridad, ya que no se debe olvidar que los responsables de los ficheros no son expertos en informática y en ocasiones la comprensión de la medida de seguridad aplicable no es sencilla, necesitando una apoyo externo.

De acuerdo con la Memoria de 2007 elaborada por la Agencia Española de Protección de Datos, existe un mayor conocimiento del derecho a la protección de datos por parte de los ciudadanos, lo que implica una mayor concienciación que debe ir acompañada de un apoyo de la Agencia Española de Protección de Datos a las empresas que tratan datos de carácter personal, objetivo que poco a poco se va cumpliendo con la publicación de Guías como la comentada o con la mayor presencia de la Agencia en los medios de comunicación no especializados.

Publicado en Redacción Médica el Jueves, 6 de noviembre de 2008. Número 882. Año IV.

No hay comentarios: