Está en la página 1de 24

SUPUESTO:

El supuesto que os presento es el más sencillo que puede ocurrir en lo que a clínicas

privadas se refiere:

Sani-To es una clínica privada compuesta por dos profesionales de la Medicina en la que prestan sus servicios realizando consultas médicas y pequeñas intervenciones

quirúrgicas. En Sani-To son algo tradicionales, y para las historias clínicas de sus pacientes utilizan fichas en papel como toda la vida; si les va bien…. ¿para que

cambiar? Hasta no hace mucho, pensaban que como no había ordenadores en la clínica, eso de la LOPD no iba con ellos, pero un aviso de inspección de la Consejería de Salud

les ha hecho ponerse alerta respecto a estos asuntos, así que se han puesto en contacto

con GC Consultores para que les hagan una auditoría de cumplimiento de la LOPD… a

ver qué sale.

El Reglamento de Medidas de Seguridad de los ficheros de carácter personal establece, cuando existen ficheros de nivel medio o alto:

Artículo 96. Auditoría.

1.- A partir del nivel medio, los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa, que verifique el cumplimiento del presente título. Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el apartado anterior. Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos años. 2.- El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley (LOPD) y su desarrollo reglamentario (RD 1720/2007), identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas. 3.- Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia de Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas.

El presente documento informará sobre el nivel de adecuación a la Ley Orgánica de Protección de Datos de Carácter personal, identificando las deficiencias o no cumplimientos detectados proponiendo las medidas correctoras oportunas para corregir las faltas de cumplimiento encontradas.

Se excluye expresamente de este documento la información relativa al nivel de adecuación al Real Decreto 1720/2007 de Medidas de Seguridad. El presente informe queda limitado a los hechos y observaciones encontrados en

Clínica.

La técnica empleada para la recolección de información será a través de entrevistas con los responsables identificados. Sin embargo, en la medida de lo posible, a través de correo electrónico, se recopilará información en forma de preguntas directas y sencillas de fácil resolución. La auditoría se llevará a cabo en las siguientes fases:

Inventario de Activos Identificación de Responsables Análisis de adecuación LOPD Informe de Auditoría Presentación La auditoría obligada por el Reglamento del R.D. 1720/2007 se ha realizado durante los días………… y ha constado de las siguientes fases:

Conocimiento genérico de la empresa, su ámbito de negocio, los sistemas de información de que disponen, su estructura administrativa, sus relaciones con organismos oficiales, asociaciones, instituciones y otras empresas, todo ello a través de formularios preestablecidos suministrados al responsable de los ficheros de la empresa objeto de auditoría, en los que se recopilan datos fundamentales para el conocimiento del nivel de adaptación a la normativa vigente en materia de seguridad de datos de carácter personal de la misma. Elaboración de un programa de trabajo en el que se detallan las actividades o tareas a auditar, teniendo para ello en cuenta, por un lado, los requisitos de revisión impuestos por el Reglamento en relación con la auditoría, y por el otro, el ámbito de negocio y sistemas de la empresa, recopilados a través de los formularios anteriormente mencionados, de los que se extraen las deficiencias detectadas a priori, y los datos a recopilar para confirmar el cumplimiento en los puntos en que se define el Responsable del Fichero acorde a la normativa vigente. Realización del trabajo de campo, esto es, la revisión práctica de las actividades incluidas en el plan de trabajo. Análisis de los puntos débiles y obtención de conclusiones y recomendaciones. Elaboración del informe. A partir del hecho de que la auditoría debe verificar el cumplimiento la LOPD, el Plan de Trabajo deberá incluir específicamente la comprobación de todos los artículos de aquel que sean de aplicación a tenor del tipo de ficheros de que disponga la empresa (medio, alto). Para la realización organizada de esta auditoría se han preparado unos formularios a modo de “checklist”. Estos formularios están divididos en 6 áreas de manera que se puedan identificar aquellos ítems a auditar de una manera lógica. De esta manera las áreas serán las siguientes:

NIVEL DE CUMPLIMIENTO SOBRE LEY DE PROTECCIÓN DE DATOS

o

o

o

o

o

Registro de Ficheros

Información y Consentimiento

Principios de Protección de Datos

Derechos ARCO

Relación con Terceros

o

Seguridad

Análisis de los Ficheros y Tratamientos realizados por la Clínica:

La Ley Orgánica de Protección de Datos tiene por objeto garantizar y proteger los derechos de las personas en lo que concierne al tratamiento de los datos personales. Por ello, por tratar datos personales deben cumplirse con las previsiones y principios de la Ley. Si además los datos se incorporan a ficheros, en la legislación española debe cumplirse con el deber de inscripción de los ficheros ante el Registro General de Protección de datos de la Agencia Española de Protección de Datos. Si se trata de una administración distinta de la Administración General del Estado, con sede en el País Vasco, Cataluña o la Comunidad de Madrid la inscripción se realizará en el Registro de las autoridades autonómicas de protección de datos. Se han verificado los siguientes puntos de control respecto de la Identificación de Ficheros y Tratamientos con las siguientes respuestas.

Registro de ficheros

 

ID

Control

Resp.

Evidencia

Comentarios

 

Con la información de la que dispone actualmente ¿Cree que

   

LOPD001

Vd. o su empresa realizan tratamientos de datos de carácter personal?

No

Entrevista

   

   

LOPD002

Si Vd. trata datos personales ¿los incluye en ficheros?

No

Entrevista

 

¿Se han notificado los ficheros

 

Registro

 

LOPD003

a la AEPD para su inscripción

No

inscripción

en el Registro General de Protección de Datos?

AEPD

La Ley Orgánica de Protección de Datos tiene por objeto garantizar y proteger los derechos de las personas en lo que concierne al tratamiento de los datos personales. Por ello, por tratar datos personales deben cumplirse con las previsiones y principios de la Ley. Si además los datos se incorporan a ficheros, en la legislación española debe cumplirse con el deber de inscripción de los ficheros ante el Registro General de Protección de datos de la Agencia Española de Protección de Datos. Si se trata de una administración distinta de la Administración General del Estado, con sede en el País Vasco, Cataluña o la Comunidad de Madrid la inscripción se realizará en el Registro de las autoridades autonómicas de protección de datos. De acuerdo con los controles realizados y las respuestas obtenidas se proponen las recomendaciones siguientes:

MEDIDAS CORRECTORAS

MEDIDAS CORRECTORAS MC001
MEDIDAS CORRECTORAS MC001

MC001

 

IDENTIFICACIÓN DE FICHEROS Y TRATAMIENTOS

 

Control

Tipo de fichero

Nivel de seguridad

Artículo

LOPD001

LOPD001 26 LOPD
LOPD001 26 LOPD

26 LOPD

26.1 Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal. Lo notificará previamente a la Agencia de Protección de Datos

Se tratan datos personales y se dispone de ficheros y/o sistemas de información.

Evidencia

Historias Clínicas de Pacientes en Papel.

 

Impacto

Infracción leve LOPD

Medidas correctoras

Se debe proceder a la inscripción del fichero ante el Registro General de Protección de Datos o el registro competente conforme a lo dispuesto en el artículo 26 LOPD

 

Infracción leve art. 44.2.c. No solicitar la inscripción del fichero de datos de carácter personal en el Registro General de Protección de Datos, cuando no sea constitutivo de infracción

grave…

Gravedad

Las infracciones leves serán sancionadas con multa de 601,01€ a 60.101,21€

Riesgo de otras infracciones a la LOPD debido a la falta de asesoramiento adecuada

NOTA: interpretación de los iconos utilizados en las tablas de Medidas Correctoras.

 

Tipos de ficheros

Fichero automatizado

Fichero automatizado

Fichero no Automatizado

Fichero no Automatizado

Todos los tipos de Ficheros

Todos los tipos de Ficheros

Niveles de Seguridad

Ficheros de Nivel Básico

Ficheros de Nivel Básico

Ficheros de Nivel Medio

Ficheros de Nivel Medio

Ficheros de Nivel Alto

Ficheros de Nivel Alto

Carácter de las Medidas Correctoras

Adopción Obligatoria de la medida

Adopción Obligatoria de la medida

Adopción Recomendable de la medida

Adopción Recomendable de la medida

Tipología de las Medidas Correctoras

Medida de Carácter Legal

Medida de Carácter Legal

Medida de Carácter Organizativo

Medida de Carácter Organizativo

Medida de Carácter Técnico

Medida de Carácter Técnico

Continuamos realizando la auditoría LOPD a Clinica, en esta ocasión analizamos los controles LOPD relativos a Información y consentimiento:

El consentimiento constituye el principal elemento de legitimación que permite a los responsables de un fichero o tratamiento tratar datos de carácter personal. Sólo en los casos en los que la Ley o una norma comunitaria de aplicación directa, exima del mismo pueden tratarse datos sin consentimiento. El consentimiento debe ser previo, libre, específico e informado. Por ello, es esencial informar siempre que se recaban datos personales. La información previa no sólo es relevante para conocer, para qué tipo de tratamiento se consiente sino también quién va a tratar los datos, a quién se comunicarán o ante quién ejercer los derechos de acceso, rectificación, cancelación u oposición al tratamiento. Por otra parte, hay que tener en cuenta que respecto de determinadas tipologías de datos relativos a la ideología, la afiliación sindical, la religión o creencias, la salud, el origen racial o la vida sexual, el consentimiento de prestarse de modo expreso y en determinados casos además escrito. Se han verificado los siguientes puntos de control respecto de la Información y Consentimiento del afectado obteniendo las siguientes respuestas.

 

Información y Consentimiento

 

ID

Control

Resp.

Evidencia

 
 

¿Cómo obtiene sus datos? (Indique Su Respuesta)

     

LOPD 004

Me los proporciona directamente la persona a quien pertenecen.

X

Entrevista

EL PACIENTE

     

Entrevista

 

LOPD 005

Si le proporciona directamente los datos la persona a quien pertenecen…

Lo hace con su consentimiento

X

Procedimiento para obtener consentimiento

TÁCITO

LOPD 006

Los datos que trato me los proporciona directamente la persona a quien pertenecen sin su consentimiento porque los obtengo en el marco de la celebración de un contrato, precontrato o relación laboral, o negocial.

No

Entrevista

 

LOPD 007

Los datos que trato me los proporciona directamente la persona a quien pertenecen sin su consentimiento porque somos Administración Pública y los obtenemos en el marco del ejercicio de nuestras funciones.

No

Entrevista

 

LOPD 008

Trato los datos sin consentimiento porque los obtengo de una fuente accesible al público como la guía telefónica, un listado de profesionales, diarios y boletines oficiales o medios de comunicación social

No

Fuentes de acceso Público de donde obtiene los datos

 

LOPD 009

Los datos que trato me los proporciona directamente la persona a quien pertenecen, sin su consentimiento en virtud de una obligación legal.

No

Ley que regula el tratamiento sin consentimiento

 
 

Los datos que trato me los proporciona directamente la persona a quien pertenecen

 

Servicios que

 

LOPD 010

debido a que presto servicios sanitarios y/o debo proteger un interés vital del interesado.

X

presta

SANITARIOS

LOPD 011

Los datos que trato me los proporciona directamente la persona a quien pertenecen sin su consentimiento, porque tiene por objeto la satisfacción de un interés legítimo amparado por la Ley o una norma comunitaria de aplicación directa.

No

Ley o Norma que ampara el tratamiento

 

LOPD 012

Los datos que trato me los proporciona un tercero.

No

Entrevista

 

LOPD 013

Los datos que trato me los proporciona un tercero que los recoge por encargo mío.

No

Entrevista

 
 

Indique si trata alguno de los siguientes datos (Escoger entre los siguientes).

     

LOPD 014

Origen racial, salud o vida sexual

 

X

Entrevista

LOPD 015

Trato datos sobre ideología, afiliación sindical, religión o creencias y obtengo el consentimiento del interesado.

No

Entrevista

 
     

Entrevista

 

Trato datos sobre origen racial, salud o vida sexual y obtengo el consentimiento del interesado.

Modelo para

recogida del

CONSENTIMIENTO

LOPD 016

De modo expreso y por escrito, por ejemplo mediante una ficha que rellenan y firman.

No

consentimiento

TÁCITO (LEY 41/2002 DE

Modelo para

AUTONOMÍA DEL

Me facilitan el consentimiento por otros medios

recogida del

PACIENTE)

que no son escritos, pero que no ofrecen duda

Si

consentimiento

respecto del carácter expreso del mismo.

escrito

LOPD 017

Trata datos sobre comisión de infracciones penales o administrativas.

No

Entrevista

 
 

Trato datos distintos de los de ideología, afiliación sindical, religión o creencias, origen racial, salud o

 

Modelo para

 

LOPD 018

vida sexual, e infracciones administrativas o

recogida del

penales y obtengo el consentimiento del interesado.

No

consentimiento

 

¿

Trata datos de menores de edad?

 

Entrevista

 
 

LOPD 019

Tanto de mayores de 14 como de menores de 14 años.

Entrevista

 

Si trata datos de menores de 14 años o de mayores

 

Modelo de

CONSENTIMIENTO INFORMADO

LOPD 020

de 14, pero para un negocio que requiere que

Consentimiento

MÉDICO PARA

consientan sus padres, ¿Solicita el consentimiento a su padre, madre o tutor legal?

Menores

INTERVENCIONES QUIRÚRGICAS

     

Entrevista.

 
 

Cuando recoge datos de menores de edad para tratarlos.

Modelo

LOPD 021

 

INFORMACIÓN

 

información

Les informa de modo comprensible para su edad.

Menores.

VERBAL AL MENOR

LOPD 022

¿Dispone de un procedimiento para verificar la edad del menor cuyo consentimiento ha solicitado?

 

Procedimiento de verificación de edad de menores.

 
 

No

X

Entrevista.

 

LOPD 023

En el proceso de obtención de datos Ud. informa a la persona a la que pertenecen de los aspectos básicos de protección de datos:

 

Entrevista

 

No informo sobre estas cuestiones

X

Entrevista.

 

Cuando recibe Ud. datos de un tercero.

 

Entrevista

 

LOPD 024

No recibo datos cedidos por terceros.

X

Entrevista

 

Cuando los datos los recoge un tercero por

     

LOPD 025

encargo mío, informo a la persona a la que pertenecen de los aspectos básicos sobre

No

Contrato Tercero

NO SE RECOGEN DATOS DE

protección de datos…

TERCEROS

 

No recibo datos obtenidos en mi nombre por un encargado.

X

Entrevista

 

LOPD 026

He obtenido los datos de una fuente accesible al público

No

Fuente de Acceso Público

NO SE OBTIENEN DATOS

No utilizo datos obtenidos de una fuente accesible al público.

X

Entrevista

La Ley Orgánica de Protección de Datos tiene por objeto garantizar y proteger los derechos de las personas en lo que concierne al tratamiento de los datos personales. Por ello, por tratar datos personales deben cumplirse con las previsiones y principios de la Ley. Si además los datos se incorporan a ficheros, en la legislación española debe cumplirse con el deber de inscripción de los ficheros ante el Registro General de Protección de datos de la Agencia Española de Protección de Datos. Si se trata de una administración distinta de la Administración General del Estado, con sede en el País Vasco, Cataluña o la Comunidad de Madrid la inscripción se realizará en el Registro de las autoridades autonómicas de protección de datos. De acuerdo con los controles realizados y las respuestas obtenidas se proponen las recomendaciones siguientes:

MEDIDAS CORRECTORAS

MEDIDAS CORRECTORAS MC002
MEDIDAS CORRECTORAS MC002

MC002

 

INFORMACIÓN Y CONSENTIMIENTO

 

Control

Tipo de fichero

Nivel de seguridad

Artículo

LOPD023

LOPD023 5 LOPD
LOPD023 5 LOPD

5 LOPD

5.1. Los interesados a los que se soliciten datos personales deberán ser previamente

 

informados de modo expreso, preciso e inequívoco…

 

Se constata que no se cumple con el deber de información al afectado previo al consentimiento en los términos exigidos en el artículo 5 LOPD. La información en la recogida de datos constituye un deber inexcusable salvo que exista una excepción fundamental en una norma legal o constitucional. Al contrario que para el consentimiento,

no es éste el caso.

Evidencia

No se evidencia procedimiento.

Impacto

Infracción leve LOPD

 

Se debe de elaborar procedimiento para informar a los pacientes en los términos establecidos en la LOPD:

Medidas correctoras

  • a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

  • b) De la identidad y dirección del responsable del

tratamiento o, en su caso, de su representante. NOTA: Se sugiere cartel informativo a la vista de ltodos los

pacientes de forma que resulte imposible no verlo.

 

Infracción leve art. 44.2.d. Proceder a la recogida de datos de carácter personal de los propios afectados sin proporcionarles la información que señala el artículo 5 de la presente Ley.

Gravedad

Las infracciones leves serán sancionadas con multa de 601,01€ a 60.101,21€

Riesgo de otras infracciones a la LOPD debido a la falta de asesoramiento adecuada

MEDIDAS CORRECTORAS

MEDIDAS CORRECTORAS MC003
MEDIDAS CORRECTORAS MC003

MC003

 

INFORMACIÓN Y CONSENTIMIENTO

 

Control

Tipo de fichero

Nivel de seguridad

Artículo

LOPD022

LOPD022 13.4 RDLOPD
LOPD022 13.4 RDLOPD

13.4 RDLOPD

Corresponderá al responsable del fichero o tratamiento, articular los procedimientos que garanticen que se ha comprobado de modo efectivo la edad del menor y la autenticidad del consentimiento prestado en su caso, por los padres, tutores o representantes legales.

No se dispone de un procedimiento específico para la verificación de la edad del menor.

Evidencia

No se evidencia procedimiento.

 

Impacto

Infracción Grave LOPD

 

Medidas correctoras

Resulta muy recomendable diseñar procedimientos que garanticen que ha verificado la edad y que el padre, madre o tutor legal que ha autorizado el tratamiento goza de una representación suficiente. En tal sentido se debería disponer de copia de un documento oficial que lo identifique así como copia del Libro de Familia o documento que acredite capacidad para autorizar el tratamiento de los datos personales del menor.

Gravedad

Infracción grave art. 44.3.d. Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan

 

las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.

Las infracciones leves serán sancionadas con multa de 601,01€

a 60.101,21€

Riesgo de otras infracciones a la LOPD debido a la falta de asesoramiento adecuada

Además de la información y el consentimiento existen en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal un conjunto de principios que definen como deben tratarse los datos, para que finalidades, durante cuánto tiempo y de qué modo. Se trata del principio de calidad de los datos y del deber de secreto y confidencialidad.

El responsable del fichero debe adecuar su actuación de modo que trate los datos adecuados, leales y lícitamente, procurar que se encuentren actualizados y utilizarlos exclusivamente para las finalidades para las que se recogieron.

Se han verificado los siguientes puntos de control respecto de los principios que rigen el tratamiento de los datos personales, obteniendo las siguientes respuestas.

 

Información y Consentimiento

 

ID

Control

Resp.

Evidencia

 

LOPD 028

Usted recoge y trata

     
 

Los datos estrictamente necesarios para las

 

Datos recogidos,

 

finalidades propias de su organización de las que informó al interesado en la recogida

  • X copia de HC anonimizada

NO INFORMA SOBRE LOPD

LOPD 029

Una vez que deja de existir la finalidad que justifique el tratamiento de los datos personales que ha recogido y tratado:

 

Entrevista

 
 

Los sigue conservando

 
  • X Entrevista

 

LOPD 030

Respecto de la actualización de los datos:

 

Entrevista

 
 

Dispone de un método que le permite corregir errores y cancelar los datos cuando dejan de ser necesarios.

No

Procedimiento

SE CORRIGE SOBRE EL PAPEL

LOPD 031

Si cedió datos a otra persona u organización y estos resultaran ser inexactos o debe cancelarlos.

 

Entrevista

NO SE CEDEN DATOS A ASEGURADORAS NI OTRAS INSTITUCIONES SANITARIAS

 

No dispone de ningún método para notificar la rectificación o cancelación al cesionario.

 
  • X Entrevista

 

LOPD 032

Respecto de los datos personales que trata conoce su deber de secreto y confidencialidad

     
 

 
  • X Entrevista

Nº DE TRABAJADORES (MÉDICOS)

Se recogen y tratan los datos estrictamente necesarios para las finalidades propias de su organización. Esta práctica es adecuada siempre que se informe previamente al

interesado de dicha finalidad. En el caso de que dichas finalidades cambien o se requiera tratar los datos personales para una nueva finalidad se debería modificar la inscripción de su fichero, e informar y obtener el consentimiento de los interesados en los casos en los que proceda.

Sin necesidad de que lo solicite el interesado, el principio de calidad de los datos obliga al responsable a corregir errores cuando se constatan y a cancelar los datos cuando dejan de ser necesarios.

El deber del responsable de cancelar o rectificar de oficio obliga al responsable a notificar al cesionario estas acciones a fin de garantizar que éste pueda proceder a actualizar los datos personales que le fueron cedidos.

Clínica no realiza cesiones de datos a aseguradoras u otras instituciones sanitarias ni de otro tipo, es por tanto que no es necesario un procedimiento de notificación de rectificación o cancelación de datos a cesionarios. El deber de secreto no sólo afecta al responsable sino a todas y cada una de las personas de la organización relacionadas con el tratamiento de datos personales.

MEDIDAS CORRECTORAS

MEDIDAS CORRECTORAS MC004
MEDIDAS CORRECTORAS MC004

MC004

PRINCIPIOS QUE RIGEN EL TRATAMIENTO DE LOS DATOS PERSONALES

 

Control

Tipo de fichero

Nivel de seguridad

Artículo

LOPD029

LOPD029 4.5 LOPD
LOPD029 4.5 LOPD

4.5 LOPD

4.5. Los datos de carácter personal serán cancelados cuando hayan dejado de ser necesario o pertinentes para la finalidad para la cual hubieran sido recabados o registrados. No serán conservados en forma que permita la identificación del interesado durante un periodo superior al necesario para los fines en base a los cuales hubieran sido recabados o registrados. Reglamentariamente se determinará el procedimiento por el que, por excepción, atendidos los valores históricos, estadísticos o científicos de acuerdo con la legislación específica, se decida el mantenimiento íntegro de determinados datos.

La satisfacción de la finalidad define el momento a partir del cual, el responsable debe cesar en el tratamiento. Por ello, no cabe conservar los datos y, salvo que una norma lo autorice, los datos deberán cancelarse. La Cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de Administraciones Públicas, Jueces y Tribunales, para la atención de posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo, deberá procederse a la supresión. Tenga en cuenta que el periodo de bloqueo previo a la supresión, depende de la naturaleza del dato y de la Ley aplicable. De acuerdo al artículo 17.1 y 17.2 de la Ley 41/2002 (disposición final 4.2 de la Ley 19/2015) de Autonomía del paciente:

1. Los centros sanitarios tienen la obligación de conservar la documentación clínica en condiciones que garanticen su correcto mantenimiento y seguridad, aunque no necesariamente en el soporte original, para la debida asistencia al paciente durante el tiempo adecuado a cada caso y, como mínimo, cinco años contados desde la fecha del alta de cada proceso asistencial.

No obstante, los datos de la historia clínica relacionados con el nacimiento del paciente, incluidos los resultados de las pruebas biométricas, médicas o analíticas que en su caso resulten necesarias para determinar el vínculo de filiación con la madre, no se destruirán, trasladándose una vez conocido el fallecimiento del paciente, a los archivos definitivos de la Administración correspondiente, donde se conservarán con las debidas

medidas de seguridad a los efectos de la legislación de protección de datos.

2. La documentación clínica también se conservará a efectos judiciales de conformidad con la legislación vigente. Se conservará, asimismo, cuando existan razones epidemiológicas, de investigación o de organización y funcionamiento del Sistema Nacional de Salud. Su tratamiento se hará de forma que se evite en lo posible la identificación de las personas afectadas.

Sin perjuicio del derecho al que se refiere el artículo siguiente, los datos de la historia clínica relacionados con las pruebas biométricas, médicas o analíticas que resulten necesarias para determinar el vínculo de filiación con la madre del recién nacido, sólo podrán ser comunicados a petición judicial, dentro del correspondiente proceso penal o en caso de reclamación o impugnación judicial de la filiación materna.

Evidencia

No se evidencia procedimiento de bloqueo-cancelación de datos.

Impacto

Infracción Grave LOPD

Medidas correctoras

Se debe establecer un procedimiento para el bloqueo de datos, y definir adecuadamente el periodo de bloqueo (Historias Clínicas Pasivas) que deberá ser a partir de los cinco años del último episodio asistencial (Ley 41/2002 de Autonomía del Paciente). Así mismo, se establece un plazo adecuado para la conservación de las Historias Clínicas a efectos (algunas comunidades autónomas lo ha regulado a 20 años) tras el cual la Historia clínica deberá ser cancelada.

Gravedad

Infracción grave art. 44.3.d. Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave. Las infracciones leves serán sancionadas con multa de

60.101,21€ a 300.506,05€.

Riesgo de otras infracciones a la LOPD debido a la falta de asesoramiento adecuada

MEDIDAS CORRECTORAS

MEDIDAS CORRECTORAS MC005
MEDIDAS CORRECTORAS MC005

MC005

Principios que Rigen el Tratamiento de los Datos Personal

 

Control

Tipo de fichero

Nivel de seguridad

Artículo

LOPD032

LOPD032 10 LOPD
LOPD032 10 LOPD

10 LOPD

10. El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal, están obligados al secreto profesional respecto de los mismo y al deber de guardarlos, obligaciones que subsistirán aún después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

El deber de secreto es conocido por todos los socios de ……………… exigido además en el

artículo 2.7 de la Ley 41/2002 de Autonomía del Paciente. Sin embargo, no es suficiente

con que el responsable conozca dicho deber, sino que es fundamental notificar este deber y formar adecuadamente a todos los usuarios de los sistemas de información y a cualquier persona de la organización que eventualmente pueda acceder a datos.

Evidencia

No se evidencia procedimientos de la información/formación sobre funciones y obligaciones de los usuarios de los Sistemas de Información.

Impacto

Infracción Grave LOPD

Medidas correctoras

Se debe establecer un procedimiento para la difusión/formación de los deberes y obligaciones de los usuarios de los sistemas de información.

Gravedad

Infracción grave art. 44.3.d. Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave. Las infracciones leves serán sancionadas con multa de

60.101,21€ a 300.506,05€.

Riesgo de otras infracciones a la LOPD debido a la falta de

asesoramiento adecuada

Ejercicio de Derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO).

Los llamados derechos ARCO forman parte del contenido esencial del derecho fundamental a la protección de datos. Mediante su ejercicio el interesado, la persona cuyos datos se tratan, puede ejercer control sobre los tratamientos efectivamente realizados por el responsable.

Se trata de derechos cuyo ejercicio es personalísimo, de carácter gratuito y sujetos a plazo. Por tanto es necesario establecer procedimientos para su satisfacción.

Deben tenerse como mínimo en cuenta los criterios que se indican a continuación:

DERECHO DE ACCESO

Resolución: Su denegación debe motivarse y procede indicar que cabe invocar la

tutela de la Agencia Española de Protección de Datos. Justificación: Debe indicarse el dato a cancelar y la causa que lo justifica,

aportando documentación. Plazo: 10 días hábiles.

DERECHO DE RECTIFICACIÓN

Resolución: Su denegación debe motivarse y procede indicar que cabe invocar la

tutela de la Agencia Española de Protección de Datos. Justificación: Debe indicarse el dato a rectificar y la causa que lo justifica,

aportando documentación. Plazo: 10 días hábiles

DERECHO DE CANCELACIÓN

Resolución: Su denegación debe motivarse y procede indicar que cabe invocar la

tutela de la Agencia Española de Protección de Datos. Justificación: Debe indicarse el dato a cancelar y la causa que lo justifica,

aportando documentación. Plazo: 10 días hábiles.

DERECHO DE OPOSICIÓN

Resolución: Su denegación debe motivarse y procede indicar que cabe invocar la tutela de la Agencia Española de Protección de Datos. Justificación: Concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique, siempre que una Ley no disponga lo contrario. Basta con ejercer el derecho cuando se trate de datos utilizados con fines de publicidad o prospección comercial. Cabe oposición a las decisiones basadas únicamente en un tratamiento automatizado de datos, aunque el tratamiento es posible si existe una relación contractual que lo justifique. Plazo: 10 días hábiles.

Se han verificado los siguientes puntos de control respecto de los derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO), obteniendo las siguientes respuestas.

 

Derechos ARCO

 

ID

Control

Resp.

Evidencia

Comentarios

LOPD 033

¿Conoce Vd. los derechos que la LOPD otorga a las personas cuyos datos trata?

 

Entrevista

 
 

No

 

CONOCE LA LEY Y UNA CIERTA IDEA

LOPD 034

¿Se han establecido los procedimientos para facilitar y garantizar el ejercicio de los derechos de oposición al tratamiento, acceso, rectificación y cancelación?

No

Procedimientos

 
 

No

   

LOPD 035

¿Sabría Vd. como actuar si alguien le solicita acceder a sus datos personales?

 

Entrevista

 
 

Contestar en cualquier caso, en el plazo máximo de un mes, tenga o no datos, y ofrecer en su caso el acceso en los 10 días siguientes.

 

ACEPTARÍA EN 30 DÍAS

LOPD 036

¿Sabría Vd. como actuar si alguien le solicita rectificar o cancelar sus datos personales?

 

Entrevista

 
 

Contestar en 10 días denegando o aceptando su petición y rectificando o cancelando en su caso el dato.

   

LOPD 037

¿Qué debe Vd. hacer si alguien le pide que deje de utilizar sus datos oponiéndose al tratamiento que realiza?

 

Entrevista

 
       

NO HAY

Atender su petición en 10 días, pues está

PROCEDIMIENTO

ejercitando su derecho de oposición

ESTABLECIDO

 

Si alguien consintió libremente en tratar sus datos

     

LOPD 038

y le notifica que revoca su consentimiento…

Entrevista

       

NO HAY

Atiende su petición en 10 días, pues está

PROCEDIMIENTO

ejercitando su derecho de revocación

ESTABLECIDO

LOPD 039

Los derechos de acceso, rectificación, cancelación y oposición.

 

Entrevista

 
 

Los satisface únicamente cuando los ejerce el afectado o interesado cuyos datos puede estar Vd. tratando, o su representante si es menor de u otorgó representación.

   

LOPD 040

Si alguien ejerce derechos de acceso, rectificación, cancelación y oposición

 

Entrevista

 
 

Estos derechos son gratuitos, no los factura, salvo que se escoja un modo de acceso distinto del que Vd. ofrece

   

LOPD 041

Tengo un servicio de atención al cliente en el que existe un procedimiento de identificación previa.

No

Entrevista

NO HAY SERVICIO DE ATENCIÓN AL USUARIO

 

Pero no permito el ejercicio de los derechos de acceso, rectificación, cancelación y oposición, a través de este medio.

   

LOPD 042

Tengo un encargado del tratamiento y…

No

Entrevista

NO HAY ENCARGADOS DE TRATAMIENTO

 

No he fijado ningún procedimiento

   

Cuando se satisface un derecho de acceso efectivamente debe contestarse en cualquier caso en el plazo máximo de un mes, se tenga o no datos. Tenga en cuenta que el objeto de este derecho se limita a los datos objeto de tratamiento y que dispone de un plazo de 10 días hábiles para hacerlo efectivo. Se Actúa correctamente ante el ejercicio de un derecho de rectificación o cancelación. No olvide que debe contestar siempre a los ciudadanos cuando ejerciten sus derechos con independencia de que se tengan datos personales o no en los ficheros, dentro del plazo previsto de 10 días hábiles. Si se deniega la petición deberá motivarlo, indicar la razón de la denegación, e informar al afectado que podrá invocar la tutela de la Agencia Española de Protección de Datos.

Su organización atiende las peticiones relativas al derecho de oposición en el plazo previsto. Recuerde el plazo se mide en días hábiles. Si el derecho se denegase deberá motivarlo, indicar la razón de la denegación, e informar al afectado que podrá invocar la tutela de la Agencia Española de Protección de Datos. Se atienden correctamente las peticiones de revocación del consentimiento para el tratamiento de los datos. Recuerde que el consentimiento para el tratamiento de los datos podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan efectos retroactivos.

MEDIDAS CORRECTORAS

MEDIDAS CORRECTORAS MC006
MEDIDAS CORRECTORAS MC006

MC006

 

Ejercicio de derechos ARCO

 

Control

Tipo de fichero

Nivel de seguridad

Artículo

LOPD033

LOPD033 TÍTULO III
LOPD033 TÍTULO III

TÍTULO III

TÍTULO III. DERECHOS DE LAS PERSONAS. Art. 13-19

 

Conocer los derechos ARCO resulta esencial para el cumplimiento de la Ley Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal y para garantizar el derecho fundamental a la protección de datos. La organización debe realizar un esfuerzo de cumplimiento en esta materia.

Evidencia

No se evidencia conocimiento de la LOPD sobre los derechos de los ciudadanos de Accesos, Rectificación, Cancelación y Oposición

Impacto

Riesgo de Infracción Grave LOPD

 

Medidas correctoras

Debe considerarse la formación adecuada sobre la Ley Orgánica de Protección de Datos.

 

Gravedad

Infracción grave art. 44.3.e. El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada. Las infracciones leves serán sancionadas con multa de

60.101,21€ a 300.506,05€.

 

MEDIDAS CORRECTORAS

MEDIDAS CORRECTORAS MC007
MEDIDAS CORRECTORAS MC007

MC007

 

Ejercicio de derechos ARCO

 

Control

Tipo de fichero

Nivel de seguridad

Artículo

LOPD034

LOPD034 17 LOPD
LOPD034 17 LOPD

17 LOPD

  • 1. Los procedimientos para ejercitar el derecho de oposición, acceso, así como los de

rectificación y cancelación serán establecidos reglamentariamente.

 
  • 2. No se exigirá contraprestación alguna por el ejercicio de los derechos de oposición,

acceso, rectificación o cancelación.

 

No basta solamente con conocer los derechos que tienen los ciudadanos, sino que hay que

hacer posible su ejercicio, para lo cual las personas de su organización dedicadas al tratamiento de datos personales deben conocer los derechos ARCO y saber cómo actuar ante una petición.

Evidencia

No se evidencia la existencia de procedimiento para el ejercicio de los derechos ARCO de los pacientes.

Impacto

Riesgo de Infracción Grave LOPD

Medidas correctoras

Debe elaborarse el procedimiento para el ejercicio de los derechos ARCO que a su vez deberá incluirse en el Documento de Seguridad exigido por el RD 1720/2007

Gravedad

Infracción grave art. 44.3.e. El impedimento o la obstaculización del ejercicio de los derechos de acceso y oposición y la negativa a facilitar la información que sea solicitada. Las infracciones leves serán sancionadas con multa de

60.101,21€ a 300.506,05€.

Nuestra modesta clínica no tiene empresas subcontratadas con acceso a sus datos y mucho menos aún realiza transferencias internacionales. El apartado correspondiente a las relaciones con terceros del informe de auditoría quedaría algo así como lo siguiente:

Las relaciones con terceros abarcan un conjunto de supuestos en las que una persona física o jurídica distinta de la organización del responsable, y distinta del interesado cuyos datos tratamos, usa, trata, accede o simplemente consulta los datos. Estos supuestos pueden ser de naturaleza muy distinta.

Una comunicación de datos es un tratamiento que supone su revelación a una persona distinta del interesado. Debe tenerse en cuenta que no es necesario apropiarse físicamente de un dato basta con que sea posible su consulta. Debe existir el consentimiento previo o habilitación en una ley que exima del mismo. Además el consentimiento deberá ser informado de forma que se conozca inequívocamente la finalidad a la que se destinarán los datos respecto de cuya comunicación se solicita el consentimiento y el tipo de actividad desarrollada por el cesionario.

En segundo lugar, existirá un encargado del tratamiento cuando se contrate una prestación externa de servicios que requiera acceder al sistema de información. Se define el encargado como persona física o jurídica, pública o privada, u órgano administrativo que, solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio. En este caso, el Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal y el artículo 12 LOPD establecen la necesidad de formalizar un contrato por escrito cuyo contenido establezca:

Las instrucciones a las que se someterá el encargado del tratamiento.

La prohibición de uso para fin distinto al que figure en dicho contrato.

La prohibición de comunicar los datos a otras personas.

Las medidas de seguridad. Las condiciones de subcontratación de los servicios por el encargado. Eventualmente, cuando resulte necesario podrá incluir las condiciones de conservación por el encargado, cuando exista obligación legal o resulte necesario por razones de responsabilidad, y las formas de destrucción o devolución de los datos como la entrega a un nuevo encargado. Es fundamental ser diligente en la elección del encargado. Por tanto, éste deberá acreditar de algún modo que se encuentra en condiciones de cumplir con los principios y requisitos que la LOPD establece para los tratamientos.

Por último en las transferencias internacionales de datos personales en la práctica existe una cesión o un encargo del tratamiento a una persona física o jurídica que se encuentra en un país distinto de los Estados Miembros de la Unión Europea o del Espacio Económico Europeo. Las transferencias en virtud de lo dispuesto en los artículos 33 y 34 LOPD se encuentran sujetas a autorización del Director de la Agencia Española de Protección de Datos cuando no se trate de un país seguro en materia de protección de datos o no se den las excepciones del artículo 34 LOPD.

Se han verificado los siguientes puntos de control respecto de las relaciones con terceros, obteniendo las siguientes respuestas:

 

Relación Terceros

 

ID

Control

Resp.

Evidencia

Comentarios

LOPD 043

¿los datos de carácter personal son comunicados a otras personas ajenas a la organización y distintas del interesado o del responsable del fichero?

     
 

No

Entrevista

NO SE COMUNICAN DATOS A TERCEROS

LOPD 044

¿Solicita Vd. el consentimiento para realizar la comunicación de datos?

     
 

No, en aquellos casos en los que conforme a la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, el consentimiento no es necesario.

   

LOPD 045

¿Se ha externalizado algún servicio o tarea de la organización que requiera que el prestador acceda o trate datos de carácter personal?

No

   
 

No

 

NO HAY SUBCONTRATACIONES CON ACCESO A DATOS

 

¿Se ha regulado la prestación del servicio en un

No

   

LOPD 046

contrato conforme a lo previsto por la LOPD?

procede

 

En caso de haber formalizado un contrato que

No

   

LOPD 047

permita el acceso a los datos por cuenta de terceros:

procede

LOPD 048

Si su prestado de servicios contrata o subcontrata

No

   

la prestación…

procede

 

¿Cede datos o externaliza servicios que

No

   

LOPD 049

comporten la transferencia de los mismos fuera

procede

 

de España?

     
 

¿Alguno de los destinatarios de la información, ya

No

   

LOPD 050

sea cesionarios o prestadores de servicio, se encuentra en un país fuera de la Unión Europea o del estado económico Europeo (Noruega, Islandia, Liechtenstein)?

procede

 

Las transferencias internacionales, ¿tienen como

No

   

LOPD 051

destino países que no proporcionan un nivel de protección equiparable al que presta la LOPD?

procede

 

En el caso de que la transferencia se deba a la

No

   

LOPD 052

contratación de un prestador de servicios en un país sin un nivel de protección equiparable, ¿ha formalizado un contrato con el destinatario de la transferencia internacional que garantice el cumplimiento de los principios y garantías que establece la legislación comunitaria y española?

procede

No se comunican datos a otras entidades o personas ajenas a la organización y no hay relaciones contractuales con terceros con acceso a datos. De igual manera no se realizan transferencias internacionales de datos.

No se proponen medidas correctivas ni preventivas en este apartado.

Las medidas de seguridad constituyen uno de los objetivos esenciales para garantizar el derecho a la protección de datos. El objetivo de la seguridad es garantizar:

La confidencialidad, que nadie no autorizado pueda acceder a los datos -, la integridad, que se impida alterar la información de modo que los datos sólo puedan ser modificados por usuarios autorizados y para las finalidades previstas -, y disponibilidad, que la organización sea capaz de restaurar los datos y mantener los sistemas de información en funcionamiento ante cualquier evento inesperado -. Estos objetivos se consiguen mediante la adopción de medidas técnicas y organizativas que deben lograr los objetivos dispuestos por el Título VIII del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal. Éste establece distintas medidas que se estructuran en tres niveles: básico, medio y alto que son acumulativos de modo que quienes deban aplicar el alto incluirán las medidas previstas en los dos niveles anteriores. Se han verificado los siguientes puntos de control respecto de las relaciones con terceros, obteniendo las siguientes respuestas:

 

Relación Terceros

 

ID

Control

Resp.

Evidencia

Comentarios

LOPD 053

Defina de acuerdo con la clasificación del R.D. 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre de

 

Datos

 
 

Protección de Datos de Carácter Personal, el máximo nivel de seguridad de sus ficheros.

     
 

Alto

X

 

SALUD

LOPD 054

¿Ha adoptado las medidas de seguridad de NIVEL BÁSICO previstas en el Reglamento de desarrollo de la LOPD?

 

Entrevista

 
 

No

X

 

ALGUNAS SI, BAJO LLAVE

LOPD 055

¿Ha adoptado las medidas de seguridad de NIVEL MEDIO previstas en el Reglamento de desarrollo de la LOPD?

 

Entrevista

 
 

No

X

   

LOPD 056

¿Ha adoptado las medidas de seguridad de NIVEL ALTO previstas en el Reglamento de desarrollo de la LOPD?

 

Entrevista

 
 

No

X

   
     

Documento

 

LOPD 057

Dispone Vd. de documento de seguridad.

seguridad

 

No

X

 

NO HAY DOCUMENTO DE SEGURIDAD

LOPD 058

¿Forma Vd. a sus empleados indicándoles cuáles son sus obligaciones de seguridad?

 

Certificación

 
 

X

 

CONCIENCIACIÓN LOPD, SIN EVIDENCIAS

LOPD 059

Cuando compra, contrata o diseña software ¿verifica si cumple con el nivel de seguridad que corresponda?

     
         

LOPD 060

¿Ha establecido medidas para los datos personales que trata en soportes no automatizados como el papel?

 

Inspección visual

 
 

X

 

ALGUNAS MEDIDAS PARA EL PAPEL (ARMARIOS BAJO LLAVE)

De acuerdo con los controles realizados y las respuestas obtenidas se proponen las recomendaciones siguientes:

MEDIDAS CORRECTORAS

MEDIDAS CORRECTORAS MC008
MEDIDAS CORRECTORAS MC008

MC008

 

Medidas de Seguridad

 

Control

Tipo de fichero

Nivel de seguridad

Artículo

LOPD053-LOPD056

LOPD053-LOPD056 9 LOPD
LOPD053-LOPD056 9 LOPD

9 LOPD

1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

  • 2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones

que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de

los centros de tratamiento, locales, equipos, sistemas y programas.

  • 3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los

ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley.

Adoptar medidas de seguridad es esencial, las resoluciones de la Agencia Española de Protección de Datos y la jurisprudencia, indican con claridad que forman parte de la garantía del derecho a la protección de datos. Deben adaptarse las medidas descritas a continuación para el caso del fichero o tratamientos no automatizados de nivel alto.

Evidencia

No se evidencia la existencia de las medidas de seguridad exigidas en el RD1720/2007 para los ficheros no automatizados de nivel alto.

Impacto

Infracción Grave LOPD

Medidas correctoras

Debe realizarse una auditoría específica y en detalle sobre el cumplimiento de las medidas de seguridad exigidas en el RD 1720/2007 respecto de los tratamientos no automatizados con datos de nivel alto.

Gravedad

Infracción grave art. 44.3.d. Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave. Las infracciones leves serán sancionadas con multa de

60.101,21€ a 300.506,05€.

Riesgo de otras infracciones a la LOPD debido a la falta de

asesoramiento adecuada

MEDIDAS CORRECTORAS

MEDIDAS CORRECTORAS MC009
MEDIDAS CORRECTORAS MC009

MC009

 

Medidas de Seguridad

 

Control

Tipo de fichero

Nivel de seguridad

Artículo

LOPD057

LOPD057 9 LOPD
LOPD057 9 LOPD

9 LOPD

  • 1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar

las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los

datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no

 

autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

  • 2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones

que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de

los centros de tratamiento, locales, equipos, sistemas y programas.

 
  • 3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los

ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el

artículo 7 de esta Ley.

El Responsable del Fichero tiene la obligación de desarrollar el Documento de Seguridad de acuerdo en lo establecido en el RD 1720/2007

Evidencia

No se evidencia la existencia del Documento de Seguridad exigido en el RD 1720/2007.

Impacto

Infracción Grave LOPD

Medidas correctoras

Debe realizarse una auditoría específica y en detalle sobre el cumplimiento de las medidas de seguridad exigidas en el RD 1720/2007. El informe de auditoría deberá determinar los aspectos que debe contener el Documento de Seguridad.

Gravedad

Infracción grave art. 44.3.d. Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave. Las infracciones leves serán sancionadas con multa de

60.101,21€ a 300.506,05€.

Riesgo de otras infracciones a la LOPD debido a la falta de asesoramiento adecuada

MEDIDAS CORRECTORAS

MEDIDAS CORRECTORAS MC010
MEDIDAS CORRECTORAS MC010

MC010

 

Medidas de Seguridad

 

Control

Tipo de fichero

Nivel de seguridad

Artículo

LOPD057

LOPD057 9 LOPD
LOPD057 9 LOPD

9 LOPD

  • 1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar

las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no

autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

  • 2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones

que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de

los centros de tratamiento, locales, equipos, sistemas y programas.

 
  • 3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los

ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el

artículo 7 de esta Ley.

El Responsable del Fichero tiene la obligación de conocer y difundir las medidas de seguridad aplicables a los tratamientos de los que es responsable

 

Evidencia

No se evidencia la existencia de certificaciones de formación sobre funciones y obligaciones del personal. Tampoco se encuentran evidencias de que las políticas de seguridad se encuentren descritas y difundidas entre los usuarios con acceso a los datos.

Impacto

Infracción Grave LOPD

 

Medidas correctoras

Debe realizarse una auditoría específica y en detalle sobre el cumplimiento de las medidas de seguridad exigidas en el RD 1720/2007. El informe de auditoría deberá determinar las funciones y obligaciones del personla así como sobre los mecanismos de difusión de las mismas.

Gravedad

Infracción grave art. 44.3.d. Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave. Las infracciones leves serán sancionadas con multa de

60.101,21€ a 300.506,05€.

Riesgo de otras infracciones a la LOPD debido a la falta de

asesoramiento adecuada

MEDIDAS CORRECTORAS

MEDIDAS CORRECTORAS MC011
MEDIDAS CORRECTORAS MC011

MC011

 

Medidas de Seguridad

 

Control

Tipo de fichero

Nivel de seguridad

Artículo

LOPD060

LOPD060 9 LOPD
LOPD060 9 LOPD

9 LOPD

  • 1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar

las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los

datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos

 

almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural.

  • 2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones

que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de

los centros de tratamiento, locales, equipos, sistemas y programas.

 
  • 3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los

ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el

artículo 7 de esta Ley.

El Responsable del Fichero tiene la obligación de adoptar las medidas de seguridad necesarias para garantizar la seguridad de los datos de acuerdo al tratamiento del que es responsable.

Evidencia

Hay evidencias de que las Historias Clínicas se encuentran bajo llave cuando no están siendo utilizados. Sin embargo, no se evidencia la existencia de otras medidas de seguridad relativas al tratamiento de ficheros no automatizados. (por ejemplo, el registro de accesos)

Impacto

Infracción Grave LOPD

 

Medidas correctoras

Debe realizarse una auditoría específica y en detalle sobre el cumplimiento de las medidas de seguridad exigidas en el RD 1720/2007. El informe de auditoría deberá determinar las medidas de seguridad aplicables a los ficheros no automatizados de nivel alto.

Gravedad

Infracción grave art. 44.3.d. Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave.

 

Las infracciones leves serán sancionadas con multa de

60.101,21€ a 300.506,05€.

Riesgo de otras infracciones a la LOPD debido a la falta de

asesoramiento adecuada.

 

RESUMEN DE MEDIDAS CORRECTORAS

ID

MEDIDA CORRECTORA

M001

Se debe proceder a la inscripción del fichero ante el Registro General de Protección de Datos o el registro competente conforme a lo dispuesto en el artículo 26 LOPD.

M002

Se debe de elaborar procedimiento para informar a los pacientes en los términos establecidos en la LOPD:

  • a) De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.

  • b) De la identidad y dirección del responsable del tratamiento o, en su

caso, de su representante. NOTA: Se sugiere cartel informativo a la vista de ltodos los pacientes de forma que

resulte imposible no verlo.

M003

Resulta muy recomendable diseñar procedimientos que garanticen que ha verificado la edad y que el padre, madre o tutor legal que ha autorizado el tratamiento goza de una representación suficiente. En tal sentido se debería disponer de copia de un documento oficial que lo identifique así como copia del Libro de Familia o documento que acredite capacidad para autorizar el tratamiento de los datos personales del menor.

M004

Se debe establecer un procedimiento para el bloqueo de datos, y definir adecuadamente el periodo de bloqueo (Historias Clínicas Pasivas) que deberá ser a partir de los cinco años del último episodio asistencial (Ley 41/2002 de Autonomía del Paciente). Así mismo, se establece un plazo adecuado para la conservación de las Historias Clínicas a efectos (algunas comunidades autónomas lo ha regulado a 20

años) tras el cual la Historia clínica deberá ser cancelada.

M005

Se debe establecer un procedimiento para la difusión/formación de los deberes y obligaciones de los usuarios de los sistemas de información.

M006

Debe considerarse la formación adecuada sobre la Ley Orgánica de Protección de

Datos.

M007

Debe elaborarse el procedimiento para el ejercicio de los derechos ARCO que a su vez deberá incluirse en el Documento de Seguridad exigido por el RD 1720/2007.

M008

Debe realizarse una auditoría específica y en detalle sobre el cumplimiento de las medidas de seguridad exigidas en el RD 1720/2007 respecto de los tratamientos no

automatizados con datos de nivel alto.

M009

Debe realizarse una auditoría específica y en detalle sobre el cumplimiento de las medidas de seguridad exigidas en el RD 1720/2007. El informe de auditoría deberá determinar los aspectos que debe contener el Documento de Seguridad.

M010

Debe realizarse una auditoría específica y en detalle sobre el cumplimiento de las

 

medidas de seguridad exigidas en el RD 1720/2007. El informe de auditoría deberá determinar las funciones y obligaciones del personla así como sobre los mecanismos

de difusión de las mismas.

M011

Debe realizarse una auditoría específica y en detalle sobre el cumplimiento de las medidas de seguridad exigidas en el RD 1720/2007. El informe de auditoría deberá determinar las medidas de seguridad aplicables a los ficheros no automatizados de

nivel alto.