DOCUMENTO DE SEGURIDAD

27/05/13 Joan Escandell Salvador

INTRODUCCIN

El artculo 9 de la Ley Orgnica 15/1999, de 13 de diciembre, de Proteccin de Datos de Carcter personal, establece en su punto 1 que "el responsable del fichero, y, en su caso, el encargado del tratamiento, debern adoptar las medidas de ndole tcnica y organizativas necesarias que garanticen la seguridad de los datos de carcter personal y eviten su alteracin, prdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnologa, la naturaleza de los datos almacenados y los riesgos a que estn expuestos, ya provengan de la accin humana o del medio fsico o natural". El Real Decreto 994 /1999, de 11 de junio (BOE 25 de junio) aprob el Reglamento de medidas de seguridad de los ficheros que contengan datos de carcter personal (Reglamento de Seguridad). El Reglamento tiene por objeto establecer las medidas de ndole tcnica y organizativa necesarias para garantizar la seguridad que deben reunir los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de los datos de carcter personal. Entre estas medidas, se encuentra la elaboracin e implantacin de la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos de carcter personal. El presente Documento y sus Anexos, redactados en cumplimiento de lo dispuesto en el Reglamento de Medidas de Seguridad (Real Decreto 994/1999 de 11 de Junio), recogen las medidas de ndole tcnica y organizativas necesarias para garantizar la proteccin, confidencialidad, integridad y disponibilidad de los recursos afectados por lo dispuesto en el citado Reglamento y en la Ley Orgnica 15/1999 de 13 de diciembre, de Proteccin de Datos de Carcter Personal. Este Documento deber mantenerse permanente actualizado. Cualquier modificacin relevante en los sistemas de informacin automatizados o no, en la organizacin de los mismos, o en las disposiciones vigentes en materia de seguridad de los datos de carcter personal conllevar la revisin de la normativa incluida y, si procede, su modificacin total o parcial.

El contenido principal de este Documento queda estructurado como sigue: 1. mbito de aplicacin del documento. 2. Medidas, normas, procedimientos, reglas y estndares encaminados a garantizar los niveles de seguridad exigidos en este documento. 3. Procedimiento general de informacin al personal. 4. Funciones y obligaciones del personal. 5. Procedimiento de notificacin, gestin y respuestas ante las incidencias. 6. Procedimientos de revisin. 7. Consecuencias del incumplimiento del Documento de Seguridad.

Anexo I . Aspectos relativos al fichero Anexo II. Nombramientos Anexo III. Inventario de soportes Anexo IV. Modelo registro incidencias

1. MBITO DE APLICACIN DEL DOCUMENTO

El presente documento ser de aplicacin a los ficheros que contienen datos de carcter personal que se hallan bajo la responsabilidad del Psiclogo Joan Escandell Salvador, como Responsable de Seguridad, y que han obtenido a travs de su prctica profesional en su consultorio de psicologa. Estos ficheros incluyen los sistemas de informacin, soportes y equipos empleados para el tratamiento de datos de carcter personal, que deban ser protegidos de acuerdo a lo dispuesto en normativa vigente. Las medidas de seguridad se clasifican en tres niveles acumulativos (bsico, medio y alto) atendiendo a la naturaleza de los datos. Atendiendo a la actividad que nos ocupa, los datos que se van a manejar son de nivel alto de seguridad, se entiende por nivel alto de seguridad a los ficheros que contengan datos de ideologa, religin, creencias, origen racial, salud o vida sexual o los recabados para fines policiales sin consentimiento (en este ltimo caso, tambin debern ser de titularidad pblica).

En concreto, los ficheros sujetos a las medidas de seguridad establecidas en este documento, con indicacin del nivel de seguridad correspondiente, son los siguientes: 1. PACIENTES/INFORMES -papel2. PACIENTES/INFORMES -Informatizado-

En el Anexo I se describen detalladamente cada uno de los ficheros o tratamientos, junto con los aspectos que les afecten de manera particular.

MEDIDAS, NORMAS PROCEDIMIENTOS, REGLAS Y ESTNDARES ENCAMINADOS A GARANTIZAR LOS NIVELES DE SEGURIDAD EXIGIDOS EN ESTE DOCUMENTO

Medidas y normas relativas a la identificacin y autenticacin del personal autorizado a acceder a los datos personales

En la actividad que es razn de este Documento de Seguridad, la nica persona con acceso a los datos de carcter personal, y por tanto Responsable de Seguridad de todos los ficheros es el psiclogo Joan Escandell Salvador col. nmero B-01894. En el caso del acceso de los documentos en soporte papel, estos estn almacenados en una armario de seguridad, titularidad del Responsable de Seguridad, en el despacho profesional situado en la calle Quart de Portmany, Edificio Lido, local 9, 07800 Ibiza. El despacho no dispone de manera de ser cerrado, solo cuando se cierra el recinto, activando tambin una alarma de seguridad anti ladrones. En el caso de los documentos informatizados, estos estn alojados en un equipo informtico propiedad del Responsable de Seguridad. Estn alojados en un usuario especial y especfico del equipo informtico, llamado Psicoeivissa, al que se accede a travs de clave. Una vez accedido al men de este usuario, el fichero PACIENTES/INFORMES est protegido mediante encriptacin de 128 bits, a travs del programa AxCrypt. Todas las contraseas las gestiona el Responsable de Seguridad, Joan Escandell Salvador. Por otra parte este fichero PACIENTES/INFORMES no se encuentra conectado a ninguna red que permita algn tipo de acceso remoto, solo se utiliza localmente. Cada 3 meses se asignan nuevas contraseas para todos los procedimientos mencionados. nicamente Joan Escandell Salvador, como Responsable de Seguridad puede conceder, anular o alterar el acceso autorizado sobre los datos y los recursos, y nicamente a su propia persona. nica y exclusivamente el psiclogo JOAN ESCANDELL SALVADOR, como Responsable de seguridad tiene acceso y puede realizar operaciones dentro del marco de la legalidad con los datos de carcter personal. El acceso de cualquier otra persona a travs de cualquier medio sera una violacin de la ley, inmediatamente denunciada por dicho responsable ante las autoridades.

REGISTRO DE ACCESOS En los accesos a los datos de los ficheros de nivel alto, los accesos al directorio PACIENTES/INFORMES quedan en el equipo informtico quedan registrados a travs del programa Monitor Activity, de cara e registrar por cada acceso la identificacin del usuario, la fecha y hora en que se realiz, el fichero accedido, el tipo de acceso y si ha sido autorizado o

almacenndose tambin la informacin que permita identificar el registro accedido. El sistema de registro de accesos, el Programa Monitor Activity funciona bajo responsabilidad del Responsable de Seguridad Joan Escandell Salvador. El Responsable de Seguridad revisar peridicamente la informacin de control registrada y elaborar un informe segn se detalla en el Captulo VI de este documento.

GESTIN DE SOPORTES Existen 2 soportes que contiene datos de carcter personal: El armario de seguridad para los documentos en soporte papel y el equipo informtico para los documentos en soporte digital. Ambos estn etiquetados de acuerdo a la funcin que cumplen e inventariados en este documento de seguridad: Armario: etiquetado como PACIENTES/INFORMES I Equipo Informtico: etiquetado como PACIENTES/INFORMES II La salida de ficheros con datos personales -en papel o en soporte informtico- solo podrn ser realizadas por el Responsable de Seguridad Joan Escandell Salvador, nica y exclusivamente, y permanecern en todo momento bajo su custodia cualquier otro tratamiento diferente consiste una violacin de la legislacin vigente que ser denunciado lo antes posible. Dado que es obligatorio realizar copias de respaldo de los ficheros automatizados que contengan datos de carcter personal, en este caso para el archivo PACIENTES/INFORMES, procedimientos establecidos son los siguientes: Las copias sern realizadas automticamente con una periodicidad mensual por el programa COBIAN y la informacin de los ficheros (encriptados previamente a travs de AxCrypt) ser guardada en un servicio de alojamiento en lnea, tambin bajo contrasea, que gestiona tambin el Responsable de Seguridad Joan Escandell Salvador garantizando de esta manera poder recuperar la informacin en el mismo estado en que se encontraba al tiempo de producirse su prdida destruccin. En la actividad que nos ocupa, el Responsable de Seguridad de los ficheros, es a la vez el titular de dichos ficheros, inscritos en la Asociacin Espaola de Proteccin de Datos www.agpd.es Los

TELECOMUNICACIONES La transmisin de datos de carcter personal de los ficheros PACIENTES/ARCHIVOS se realizar nica y exclusivamente por parte del Responsable de Seguridad Joan Escandell Salvador, que los transmitir de manera cifrada -a travs del programa AxCrypt-, que garantiza que no puedan ser inteligibles ni manipulados por terceros.

2. PROCEDIMIENTO GENERAL DE INFORMACIN AL PERSONAL

En la actividad que nos ocupa solo el titular de los ficheros y Responsable de Seguridad Joan Escandell Salvador esta autorizado a manejar los ficheros donde consten datos de carcter personal por lo que no es nadie mas puede acceder a ellos.

3. FUNCIONES Y OBLIGACIONES DEL PERSONAL El titular y Responsable de Seguridad de los ficheros Joan Escandell Salvador, al ser la nica persona con acceso, esta obligada a guardar confidencialidad de los datos de carcter personal que conozca, as como a observar las reglas y procedimientos descritos en este manual.

4. PROCEDIMIENTO DE NOTIFICACIN, GESTIN Y RESPUESTA ANTE LAS

INCIDENCIAS.
Se considerarn como "incidencias de seguridad", entre otras, cualquier incumplimiento de la normativa desarrollada en este Documento de Seguridad, as como a cualquier anomala que afecte o pueda afectar a la seguridad de los datos de carcter personal. El registro de incidencias se gestionar mediante un formulario de incidencias rellenable de manera informtica o manual bajo la supervisin y gestin del Responsable de Seguridad Joan Escandell Salvador. La carpeta donde se archivan los formularios de incidencias con las conclusiones y consecuencias correspondientes estarn en el soporte inventariado INFORMES/PACIENTES I (armario de seguridad)

5. PROCEDIMIENTOS DE REVISIN Revisin del Documento de Seguridad. El Responsable de Seguridad y titular delos ficheros Joan Escandell Salvador es el responsable de mantener en todo momento actualizado y revisado este documento siempre que se produzcan cambios relevantes en sistema de informacin o en la organizacin del mismo. Asimismo, deber adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carcter personal El responsable de seguridad y titular de los ficheros Joan Escandell Salvador tendr el control de los accesos dado que es la nica persona legalmente autorizada. Ademas se llevara un control automtico del acceso a los datos informticos a travs del programa Monitor Activity. 6. CONSECUENCIAS

DEL INCUMPLIMIENTO

DEL DOCUMENTO

DE

SEGURIDAD
Joan Escandell Salvador, Responsable de Seguridad y titular de los ficheros, queda expuesto a las sanciones previstas por la ley en caso de incumplimiento de algunas de las medidas o preceptos que constan en este documento.

ANEXO 1ASPECTOS RELATIVOS AL FICHERO PACIENTES/INFORMES

Actualizado 27/5/2013 El fichero con datos de carcter personal a gestionar, inscrito en la Agencia Espaola de Proteccin de Datos es el archivo llamado PACIENTES/INFORMES Solo tiene acceso a l su titular Joan Escandell Salvador en calidad de Responsable de Seguridad Identificador y nombre del fichero en el Registro General de Proteccin de Datos de la Agencia Espaola de Proteccin de Datos: 1. Nombre fichero: Pacientes/Informes 2. Cdigo inscripcin: 213560410 3. Descripcin: Gestin de datos de los pacientes y de su Historia Clnica 4. Nivel de medidas de seguridad a adoptar: ALTO 5. Administrador y titular: Joan Escandell Salvador 6. Responsable de Seguridad: Joan Escandell Salvador

Estructura del fichero principal: DATOS BSICOS: NOMBRE, FECHA DE NACIEMIENTO, DIRECCIN, TELEFONO, CORREO ELECTRNICO. DATOS NECESARIOS PARA LA GESTION DE HISTORIAS CLNICAS Y EXPEDIENTES: DATOS DE CARCTER BIOGRFICO, EVOLUTIVO, ESCOLAR, MDICO, SEXUAL, IDEOLGICO: Datos de Nivel de Seguridad Alto.

Informacin sobre el fichero o tratamiento:

Finalidad y usos previstos: Gestin de pacientes y administracin de Historias Clnicas.

Personas o colectivos sobre los que se pretenda obtener o que resulten obligados a suministrar los datos personales: Pacientes y/o padres o tutores.

Procedencia de los datos: Pacientes y/o padres o tutores

Procedimiento de recogida: Formularios en papel, entrevistas, registro informtico.

Soporte utilizado para la recogida de datos: Papel e informtico

Servicio o Unidad ante el que puedan ejercitarse los derechos de acceso, rectificacin, cancelacin y oposicin: Joan Escandell Salvador, C/Quart de Portmany 2, Edificio Lido, Bajo 9. 07800, Eivissa.

ANEXO II NOMBRAMIENTOS
Joan Escandell Salvador, con DNI 41461750H, psiclogo colegiado B-01894, titular de los ficheros de carcter personal derivados de su actividad profesional e inscritos en la Agencia Espaola de Proteccin de Datos, queda nombrado Responsable de Seguridad de los datos, nica persona fsica o jurdica con autorizacin de acceso y/o modificacin de los datos de carcter personal. Firma el titular de los datos:

Joan Escandell Salvador Eivissa 27 de Mayo de 2013.

ANEXO III INVENTARIO DE SOPORTES

Existen 2 soportes que contiene datos de carcter personal:

EL ARMARIO DE SEGURIDAD para los documentos en soporte papel Armario: etiquetado e inventariado como PACIENTES/INFORMES I

EQUIPO INFORMTICO para los documentos en soporte digital. Equipo Informtico: etiquetado e inventariado como PACIENTES/INFORMES II

ANEXO IV. MODELO FORMULARIO INCIDENCIAS.

Tipo de incidencia:............................................................................................................................. Fecha y hora en que se produjo o detect:.......................................................................................... Persona que notifica la incidencia:..................................................................................................... Efectos derivados de la misma:.......................................................................................................... Medidas correctoras aplicadas: Procedimiento de recuperacin realizado :......................................................................................... Datos restaurados :.............................................................................................................................. Tiempo de resolucin :.......................................................................................................................

Firma Responsable de Seguridad.