jueves, 20 de enero de 2011

OBLIGACIÓN DE LOS CENTROS SANITARIOS DE ELABORAR UN DOCUMENTO DE SEGURIDAD


Una de las obligaciones que exige la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal es la de implementar unas medidas técnicas y organizativas que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida o accesos no autorizados. Las medidas de seguridad están recogidas en el Real Decreto 1720/2007, de 21 de diciembre, que aprueba el Reglamento de desarrollo de la citada Ley y una de ellas es la obligación de todas las organizaciones de disponer de un Documento de Seguridad.

En este documento deben quedar reflejadas las medidas de seguridad que la organización debe cumplir, que en el caso de hospitales y centros sanitarios serán de nivel alto puesto que se recaban datos de salud de los pacientes. Asimismo, se deben reflejar los protocolos adoptados a nivel interno para llevar a cabo las medidas de seguridad a las que están obligados, es decir, se deberán definir las políticas internas para la realización de copias de seguridad, para la asignación de contraseñas, para la destrucción del papel, etc…

En concreto, el artículo 88 del Reglamento que desarrolla la LOPD, establece que el Documento de Seguridad, deberá recoger como mínimo los siguientes aspectos:

Ámbito de aplicación del documento con especificación detallada de los recursos protegidos.
Medidas, normas, procedimientos de actuación, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en este reglamento.
Funciones y obligaciones del personal en relación con el tratamiento de los datos de carácter personal incluidos en los ficheros.
Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.
Procedimiento de notificación, gestión y respuesta ante las incidencias.
Los procedimientos de realización de copias de respaldo y de recuperación de los datos en los ficheros o tratamientos automatizados.
Las medidas que sea necesario adoptar para el transporte de soportes y documentos, así como para la destrucción de los documentos y soportes, o en su caso, la reutilización de estos últimos.

Si bien se trata de un documento interno de cada organización, puede ser requerido por la Agencia Española de Protección de Datos y en este caso deberá ser puesto a su disposición, motivo por el que su contenido debe estar siempre actualizado de manera que responda a la situación real del centro sanitario.

A efectos prácticos, la única forma de garantizar que este Documento se mantiene actualizado es asignar esta tarea a una persona de su organización, que en caso de ser un fichero que deba cumplir las medidas de seguridad de nivel medio o alto, será el responsable de seguridad. Esta figura, de conformidad con el artículo 3 del Reglamento que desarrolla la LOPD tiene la función de coordinar y controlar las medidas de seguridad aplicables. Así, se encargará de llevar un registro de todas las incidencias del personal con acceso a los datos, de verificar que se dispone de protocolos internos para el cumplimiento de las medidas de seguridad y que estos se llevan a cabo o de analizar los resultados obtenidos en las auditorías técnicas bienales, entre otras tareas.

Asimismo, cuando se produzcan cambios relevantes en la organización, en los sistemas de información o en los criterios organizativos de la información, se deberá proceder a la revisión del Documento de Seguridad y a su actualización.

Por tanto, para el correcto cumplimiento de la normativa de protección de datos no sólo es necesario cumplir con las medidas de seguridad que el Reglamento exige, sino que éstas deben quedar recogidas y definidas en el Documento de Seguridad, documento que debe mantenerse actualizado en todo momento y que puede ser requerido por la Agencia Española de Protección de Datos.

Publicado en Redacción Médica el martes, 20 de enero de 2011. Número 1379. Año VII.

No hay comentarios: