InformeEIPD08 12 2019

Clínica Dental SOS - Informe de Análisis de Riesgos Simplificado
INFORME DE EVALUACIÓN DE
IMPACTO EN MATERIA DE
PROTECCIÓN DE DATOS
Clínica Dental SOS
ADAPTADO AL RGPD
8 de diciembre de 2019
Página 1 de 28
Índice
Pulsar el botón derecho del ratón encima de esta línea y seleccionar
"Actualizar campos" si desea ver el índice de contenidos
Página 2 de 28
1. Identificación del Proyecto
RESPONSABLE DEL TRATAMIENTO
Clínica Dental SOS
TÍTULO DE PROYECTO DE EIPD
EVALUACION INICIAL EN LA CLINICA DENTAL SOS
NÚMERO DE REGISTRO DE EIPD
2/2019
FECHA EIPD
20 de diciembre de 2019 - 26 de febrero de 2021
RESPONSABLE/S DEL PROYECTO
Juan Perez Patiño

Cargo: Delegado de Protección de Datos (DPD)
Función: COMITE DE SEGURIDAD
2. Análisis del motivo por el que se realiza la EIPD
LOS SIGUIENTES TRATAMIENTOS ESTÁN OBLIGADOS A REALIZAR LA

EIPD
- HISTORIAL CLÍNICO
3. Flujos de Datos Personales 08-12-2019
A continuación se muestra la información relativa a las siguientes

categorías de actividades de tratamiento, llevadas a cabo por parte de
Clínica Dental SOS conforme a lo dispuesto en el artículo 30 RGPD.
Página 3 de 28
3.1. Tratamiento - HISTORIAL CLÍNICO
FICHEROS CON DATOS ASOCIADOS
Clientes
ARCHIVOS AUTOMATIZADOS
Bbdd historial clínico
Encargado del Tratamiento
No problem s. l
CATEGORÍAS DE DATOS PERSONALES
CATEGORÍAS DE DATOS DE CARÁCTER IDENTIFICATIVO

NIF/DNI
Nº SS / Mutualidad
Nombre y Apellidos
Tarjeta Sanitaria
Dirección Postal
Teléfono
Imagen / Voz
Firma Electrónica
CATEGORÍAS DE DATOS NO SENSIBLES

Académicos y profesionales
Económicos, financieros y de seguros
CATEGORÍAS ESPECIALES DE DATOS

Datos relativos a la salud
CATEGORÍAS DE DATOS DE MENORES

Datos en relación con los servicios de la sociedad de la información de
menores de 16 años
COLECTIVOS O CATEGORIAS DE INTERESADOS
Pacientes
Página 4 de 28
FINALIDADES
1.- Responder a las consultas y/o proporcionar informaciones requeridas

por el usuario
2.- Utilizar sus datos para contactarlo, tanto por vía electrónica como no
electrónica, para obtener la confirmación sobre citas medicas
programadas
3.- Comunicarle acerca de temas asociados a los servicios que ofrece la
clínica dental
4.- Gestionar el cumplimiento de las obligaciones legales que involucren
datos personales
5.- Realizar la consulta y verificación de datos o referencias con terceros
6.- Asegurar la gestión de la seguridad en nuestras instalaciones
7.- Fines históricos o estadísticos
8.- Cumplir con requisitos contables fiscales y administrativos
INTERESADOS OBJETO DEL TRATAMIENTO
El número de afectados es de 0 a 10.000
EXTENSIÓN GEOGRÁFICA DEL TRATAMIENTO
Nacional
OPERACIONES
HISTORIAL CLÍNICO
1.- Toma de datos de los pacientes mediante formularios físicos o
mediante pagina web
2.- Registro de pacientes clasificados por su nivel socio económico
3.- Registro de enfermedades
4.- Registro de procedimientos
5.- Registro de consultas
6.- Registro de enfermedades
7.- Registro de receta medicas
BASE LEGITIMADORA
Cumplimiento de una obligación legal

Protección de los intereses vitales del interesado
Interés legítimo del Responsable del tratamiento o de un tercero
Página 5 de 28
4. Plan de proyecto
Las fases que se han seguido han sido las siguientes:
1. Definición de alcance y planificación

2. Preparación
3. Necesidad y proporcionalidad
4. Gestión de riesgos:
4.1.Apreciación de riesgos
4.2.Identificación de riesgos
4.3.Análisis de riesgos
4.4.Evaluación de riesgos
5.Consultas
6. Tratamiento del riesgo
7. Emisión de informe
5. Consultas efectuadas
A continuación se indican los datos de los consultados así como las

opiniones manifestadas por estos.
CUESTIÓN
Los Controles del tratamiento de la información se realizan de manera

periódica siguiendo las reglamentación de la RGPD y las normativas
propias de la Clinica
FECHA 20 de diciembre de 2019
RESPONSABLE DE DAR RESPUESTA Juan Perez
ESTADO Contestada
RESPUESTA
De manera parcial sectorizada en los procesos críticos
Página 6 de 28
6. Metodología
6.1. Requisitos de la Metodología
Toda metodología de gestión de riesgos debe cumplir los siguientes

requisitos:
Metódica No deje lugar a la improvisación.
Objetiva El método utilizado debe ser objetivo y no depender de la

arbitrariedad.
Repetible Debe permitir conseguir resultados repetibles en el

tiempo.
Documentad Toda modificación, concreción o criterio adoptado

a respecto de la presente metodología deberá registrarse en
este documento al objeto de que cualquier persona
autorizada pueda consultarla y continuarla.
Por tanto los riesgos que inicialmente están por encima de dicho nivel y
deben ser tratados son los que se listan a continuación:
6.2. Tipo de Metodología
Para la elaboración de la presente metodología se ha considerado lo

establecido en la "ISO 31000:2009 Gestión del Riesgo- Principios y
Directrices".
Se han seguido las siguientes fases:

1. Apreciación del riesgo, lo que incluye:
a) Identificación de riesgos.
b) Análisis de riesgos.
c) Evaluación de riesgos.
2. Tratamiento de los riesgos.
Página 7 de 28
6.3. Análisis de los Escenarios de Riesgo
Una vez determinado los diferentes escenarios de riesgo, hay que estimar
cuán vulnerable es el tratamiento de datos, en dos sentidos:
 Frecuencia: Cada cuánto se materializa el escenario del riesgo.

 Impacto: Supuesta la materialización del escenario del riesgo,
estimación del daño o perjuicio que ocasionará.
6.3.1. Criterio de valoración de la frecuencia de materialización de una

amenaza
La frecuencia pone en perspectiva la degradación, pues una amenaza

puede ser de terribles consecuencias pero de muy improbable
materialización; mientras que otra amenaza puede ser de muy bajas
consecuencias, pero tan frecuente como para acabar acumulando un daño
considerable.
Se valora la frecuencia de materialización de una amenaza en base a la

siguiente escala y criterio con la correspondiente equivalencia:
NOMBRE DESCRIPCIÓN
>= 1 vez cada 100 años Se produce al menos una vez cada
100 años
>= 1 vez cada 10 años Se produce al menos una vez cada

10 años
>= 1 vez al año Se produce al menos una vez al año
>= 10 veces al año Se produce al menos 10 veces al

año
>= 100 veces al año Se produce al menos 100 veces al

año
6.4. Criterios de impacto
Concepto. El impacto mide (o estima) el daño causado por un escenario del

riesgo en el supuesto de que ocurriera.
Página 8 de 28
Valoración. Al respecto se valora el impacto en un tratamiento caso de

verse afectado por escenario de riesgo en base a la siguiente escala (por
defecto) y criterio:
A la hora de evaluar los posibles impactos, se han considerado los

siguientes criterios: Pena, pérdida de clientes, pérdidas económicas y
daños reputacionales. Como criterio general, se atenderá a lo dispuesto en
la siguiente tabla:
Sanciones
IMPACTO NOMBRE DESCRIPCIÓN
N/A N/A
Apercibimi Apercibimi Apercibimiento o sin sanción

ento o sin ento o sin
sanción sanción
Grave Grave 10.000.0000€ ó 2% facturación anual
Muy Grave Muy Grave 20.000.0000€ ó 4% facturación anual
Derechos y libertades
IMPACTO NOMBRE DESCRIPCIÓN
N/A N/A
Desprecia Desprecia Los interesados no se verán prácticamente

ble ble afectados o encontrarán alguna pequeña
inconveniencia
Limitado Limitado Los interesados podrán encontrar

inconveniencias no significativas.
Significati Significati Los interesados encontrarán consecuencias

vo vo significativas que deberían poder superar sin
dificultades serias
Máximo Máximo Los interesados encontrarán consecuencias

significativas o incluso irreversibles, que no
podrán llegar a superarse.
Página 9 de 28
6.5. Evaluación de los escenarios de riesgo
El valor del riesgo es el resultado de poner en unión para cada escenario

de riesgo la probabilidad y el posible impacto.
La fórmula utilizada para el cálculo del Riesgo Inicial es: RI=PXIRIESGO =

FRECUENCIA x IMPACTO
De esta manera, se genera la siguiente matriz de riesgo:
IMPACTO
Muy Bajo Medio Alto Muy Alto

Bajo
F >= 1 vez cada Muy Bajo Bajo Medio Medio

R 100 años Bajo
E
>= 1 vez cada Bajo Bajo Medio Medio Alto
C
10 años
U
E
>= 1 vez al año Bajo Medio Medio Alto Alto
N
C >= 10 veces al Medio Medio Alto Alto Muy Alto
I año
A
>= 100 veces al Medio Alto Alto Muy Alto Muy Alto
año
El umbral de riesgos determinado como aceptable es el siguiente: MEDIO
6.6. tratamiento del Riesgo
El análisis de riesgos determina impactos y riesgos.

 Los impactos recogen daños absolutos, independientemente de que
sea más o menos probable que se dé la circunstancia.
 El riesgo pondera la probabilidad de que ocurra.
 El impacto refleja el daño posible, mientras que el riesgo refleja el
daño probable.
Si los riesgos obtenidos son despreciables, se ha terminado. Si no,
debemos de tomar las medidas necesarias para minimizar en lo posible el
riesgo.
Para cada uno de los Riesgos relevantes, que no entren en los Criterios de
Aceptación, deberemos adoptar una decisión sobre su tratamiento.
Página 10 de 28
A estos efectos, para cada riesgo decidiremos:
Ignorar el No hacer nada, aunque hay que tener en cuenta que

riesgo ignorar el riesgo, siempre es arriesgada y hay que
tomarla con prudencia y justificación.
Las razones que pueden llevar a esta aceptación son:
 Cuando el impacto es asumible.
 Cuando el riesgo es asumible.
 Cuando el coste de las salvaguardas oportunas es
desproporcionado en comparación al impacto y
riesgo.
Mitigar Mediante la implantación de controles que reduzcan el

riesgo por debajo del umbral establecido. Esta reducción
o mitigación del riesgo se refiere a una de dos opciones:
 Reducir el impacto causado por un escenario del
riesgo.
 Reducir la probabilidad de que un escenario del
riesgo se materialice.
Evitarlo Anulando, excluyendo o sustituyendo el elemento o

funcionalidad del diseño. No siempre es posible ya que
puede provocar una pérdida esencial de funcionalidad.
Las distintas opciones de tratamiento del riesgo serán denominadas

comúnmente "salvaguardas".
A efectos prácticos, dependiendo de la decisión tomada, ésta afectará al

cálculo del riesgo de dos formas:
 Reduciendo la frecuencia de los escenarios del riesgo.
 Se llaman salvaguardas preventivas. Las ideales llegan a impedir
completamente que el escenario del riesgo se materialice.
 Hay salvaguardas que directamente limitan el posible impacto,
mientras que otras permiten detectar inmediatamente el origen para
frenar el daño avance. En cualquiera de las versiones, la amenaza se
materializa; pero las consecuencias se limitan.
El valor del riesgo final obtenido tras aplicarle el tratamiento adecuado es

el Riesgo Final.
 Si éste se encuentra por debajo del nivel de riesgo aceptable, se
considera aceptado.
 En caso contrario, si todavía supera dicho nivel, podemos seguir
aplicando soluciones posibles, o bien ignorarlo, si lo consideramos
necesario, en cuyo caso se requerirá una justificación explícita de
esa decisión.
Página 11 de 28
7. Evaluación de Riesgos
Por tanto los riesgos que inicialmente están por encima de dicho nivel y
deben ser tratados son los que se listan a continuación:
ESCENARIOS DE RIESGOS A TRATAR RIESGO

INICIAL
Falta de auditoria a las base de datos por parte del proveedor Medio
para proteger la integridad de los datos
Principio de Calidad de los Datos: Existencia de errores Alto

técnicos u organizativos que propicien la falta de integridad
de la información, permitiendo la existencia de registros
duplicados con informaciones diferentes o contradictorias, lo
que puede derivar en la toma de decisiones erróneas Ej: que
la aplicación que gestiona los datos de usuarios permita dar
de alta dos usuarios con el mismo NIF
Principio de Calidad de los Datos: Garantías insuficientes para Alto

el uso de datos personales con fines históricos, científicos o
estadísticos Ej: que los datos que se utilizan para hacer
estadísticas no estén anonimizados
Datos especialmente protegidos: No registrar los accesos a Muy Alto

las Historias Clínicas
Datos especialmente protegidos: Enviar información clínica, a Muy Alto

través de redes de telecomunicaciones, sin cifrar
Carencia de conocimiento por parte del personal de qué hacer Medio

si recibe una petición de acceso a historia clínica o a
documentación clínica
Seguridad en Redes y comunicaciones: El acceso remoto al Alto

sistema de TI debería evitarse en general. En los casos en que
esto sea absolutamente necesario, debe realizarse solo bajo
el control y monitorización de una persona específica de la
Organización, a través de VPN
Página 12 de 28
8. Tratamiento de Riesgos
La forma en que se trata cada riesgo, los controles a adoptar, las personas
encargadas, el plazo y el nivel de riesgo residual que se alcanzará una vez
adoptados los mismos son los siguientes:
ESCENARIO DE RIESGO
Falta de auditoria a las base de datos por parte del proveedor para
proteger la integridad de los datos
NIVEL DE RIESGO INICIAL Medio
TRATAMIENTO DEL RIESGO Mitigar
CONTROLES
C.MAN.0097 - Exigir al proveedor que se haga las auditorias

semestralmente de manera que se dará un plazo prudente para tomar
accione, en caso que no accedan a este requerimiento
Responsable de Implantación: Juan Perez Patiño
Supervisor: William Rodriguez Santos
NIVEL DE RIESGO Bajo

RESIDUAL
ESCENARIO DE RIESGO
Principio de Calidad de los Datos: Existencia de errores técnicos u

organizativos que propicien la falta de integridad de la información,
permitiendo la existencia de registros duplicados con informaciones
diferentes o contradictorias, lo que puede derivar en la toma de
decisiones erróneas Ej: que la aplicación que gestiona los datos de
usuarios permita dar de alta dos usuarios con el mismo NIF
NIVEL DE RIESGO INICIAL Alto
CONTROLES
C.RGPD-AEPD.CAL.7.a - Establecer mecanismos y procedimientos que
Página 13 de 28
permitan resolver de una manera rápida y eficaz los errores que se hayan
podido cometer
Fecha Límite Implantación: 22-ene-2020
C.U.E.05.01.f - Establecer medidas para garantizar la confidencialidad y la

integridad de la información.
C.RGPD.SAN.RGPD.SAN.CAL.09 - Calidad de los datos: Establecer

mecanismos y procedimientos que permitan resolver de una manera
rápida y eficaz los errores que se hayan podido cometer.
C.MAN.0098 - Controlar y exigir al proveedor que se realice un parche al

aplicativo que solucione este problema, adicional a este control se debe
configurar un contador diario dentro del aplicativo
Responsable de Implantación: ROLDO PERICO PEÑA
NIVEL DE RIESGO Medio

RESIDUAL
ESCENARIO DE RIESGO
Principio de Calidad de los Datos: Garantías insuficientes para el uso de

datos personales con fines históricos, científicos o estadísticos Ej: que
los datos que se utilizan para hacer estadísticas no estén anonimizados
CONTROLES
C.RGPD-AEPD.ARCO.1.a - Implantar sistemas que permitan a los
Página 14 de 28
afectados acceder de forma fácil, directa y con la apropiada seguridad a

sus datos personales, así como ejercitar sus derechos ARCO
C.RGPD.VIDEO-CAN.01 - Los datos (imágenes) serán suprimidos en el

plazo máximo de un mes desde su captación, salvo cuando hubieran de
ser conservadas para acreditar la comisión de actos que atenten contra
la integridad de personas, bienes o instalaciones.
C.RGPD.VIDEO-CAN.02 - Cuando hubieran de ser conservadas para

acreditar la comisión de actos que atenten contra la integridad de
personas, bienes o instalaciones.
C.RGPD.SAN.VV.05 - Elaborar un procedimiento que obligue a que los

datos (imágenes) serán suprimi-dos en el plazo máximo de un mes desde
su captación, salvo cuando hubieran de ser conservadas para acreditar la
comisión de actos que atenten contra la integridad de per-sonas, bienes
o instalaciones.

RESIDUAL
ESCENARIO DE RIESGO
Datos especialmente protegidos: No registrar los accesos a las Historias

Clínicas
NIVEL DE RIESGO INICIAL Muy Alto
CONTROLES
C.RGPD-APDCAT.OBGL.12 - El Responsable deberá velar por el

cumplimiento, por parte del encargado de tratamiento, de las
Página 15 de 28
obligaciones derivadas del contrato de acceso a datos formalizado

C.RGPD.SAN.SEG.03 - Seguridad: Políticas estrictas de need to know

(necesidad de conocer o acceder a la información) para la concesión de
accesos a la información y de clean desks (escritorios limpios) para
minimizar las posibilidades de acceso no autorizado a los datos
personales
C.MAN.0002 - Disponer al Proveedor realizar perfiles de usuarios para

cada persona que tenga acceso a la información al Historia Clínico
mediante, usuarios y password con un control del DPD de la compañía,
de manera que el otorgue los accesos a la aplicación y de de baja a los
usuarios dentro del sistema que ya no laboren en la Clínica.

RESIDUAL
ESCENARIO DE RIESGO
Datos especialmente protegidos: Enviar información clínica, a través de

redes de telecomunicaciones, sin cifrar
NIVEL DE RIESGO INICIAL Muy Alto
CONTROLES
C.RGPD-AEPD.SEG.6.a - Adoptar medidas de cifrado –adecuadas al riesgo

y al estado de la tecnología– de los datos personales almacenados y
compartidos a través de redes de telecomunicaciones (en particular, si
son públicas y/o inalámbricas) para minimizar el riesgo de que terceros
no autorizados accedan a ellos ante un hipotético fallo de seguridad
Página 16 de 28
Responsable de Implantación: William Rodriguez Santos

Supervisor: Juan Perez Patiño
C.RGPD.SAN.SEG.12 - Seguridad: Adoptar medidas de cifrado - adecuadas

al riesgo y al estado de la tecnología - de los datos personales
almacenados y compartidos a través de redes de telecomunicaciones (en
particular, si son públicas y/o inalámbricas) para minimizar el riesgo de
que terceros no autorizados accedan a ellos ante un hipotético fallo de
seguridad
Fecha Límite Implantación: 31-dic-2019
C.RGPD.SAN.SEG.38 - Implementación de protocolos de cifrado de

comunicaciones en todos los servicios con salida a internet
Fecha Límite Implantación: 31-dic-2020
C.RGPD.SAN.SEG.43 - Implementar mecanismos de cifrado para el envío,

a través de redes de telecomunicaciones, de información sensible

RESIDUAL
ESCENARIO DE RIESGO
Carencia de conocimiento por parte del personal de qué hacer si recibe

una petición de acceso a historia clínica o a documentación clínica
NIVEL DE RIESGO INICIAL Medio
CONTROLES
C.RGPD-AEPD.GEN.1.a - Formación apropiada del personal sobre

protección de datos
Página 17 de 28


protección de datos en el sector específico de que se trate

seguridad y uso adecuado de las TIC
C.RGPD-AEPD.CAL.1.a - Revisar de forma exhaustiva los flujos de

información para detectar si se solicitan datos personales que luego no
son utilizados en ningún proceso
NIVEL DE RIESGO Bajo

RESIDUAL
ESCENARIO DE RIESGO
Seguridad en Redes y comunicaciones: El acceso remoto al sistema de TI

debería evitarse en general. En los casos en que esto sea absolutamente
necesario, debe realizarse solo bajo el control y monitorización de una
persona específica de la Organización, a través de VPN
TRATAMIENTO DEL RIESGO Evitar
JUSTIFICACIÓN
Por cuestiones de seguridad informática y seguridad de la información

en las Políticas de Seguridad internas de la Clínica Dental SOS, tiene
estrictamente prohibido el uso de programa con accesos remotos los
cuales estan bloqueados en las políticas del Firewall de la Clínicia.
NIVEL DE RIESGO Alto

RESIDUAL
Página 18 de 28
9. Conclusiones
Riesgo final ACEPTABLE.
De la EIPD realizada se concluye que el RIESGO FINAL es ACEPTABLE y por

tanto la organización será capaz de rebajar el nivel de riesgo del
tratamiento a un nivel aceptable y que no entrañe un nivel de riesgo
elevado en el derecho a la protección de los datos de los interesados.
Página 19 de 28
ANEXO I: SEGUIMIENTO Y CONTROL
Escenario de RGPD.SAN.CAL.02 - Principio de Calidad de los Datos:

Riesgo Existencia de errores técnicos u organizativos que
propicien la falta de integridad de la información,
permitiendo la existencia de registros duplicados con
informaciones diferentes o contradictorias, lo que
puede derivar en la toma de decisiones erróneas Ej:
que la aplicación que gestiona los datos de usuarios
permita dar de alta dos usuarios con el mismo NIF
Control C.RGPD-AEPD.CAL.7.a - Establecer mecanismos y

procedimientos que permitan resolver de una manera
rápida y eficaz los errores que se hayan podido
cometer
Responsable de Juan Perez Patiño

Implementación
Supervisor William Rodriguez Santos
Fecha Límite 22 de enero de 2020
Completado (%) 0%

Control C.U.E.05.01.f - Establecer medidas para garantizar la

confidencialidad y la integridad de la información.

Implementación
Página 20 de 28
Completado (%) 0%

Control C.RGPD.SAN.RGPD.SAN.CAL.09 - Calidad de los datos:

Establecer mecanismos y procedimientos que
permitan resolver de una manera rápida y eficaz los
errores que se hayan podido cometer.

Implementación
Completado (%) 0%

Control C.MAN.0098 - Controlar y exigir al proveedor que se

realice un parche al aplicativo que solucione este
problema, adicional a este control se debe configurar
un contador diario dentro del aplicativo
Responsable de ROLDO PERICO PEÑA

Implementación
Página 21 de 28
Completado (%) 0%

Riesgo Garantías insuficientes para el uso de datos
personales con fines históricos, científicos o
estadísticos Ej: que los datos que se utilizan para
hacer estadísticas no estén anonimizados
Control C.RGPD-AEPD.ARCO.1.a - Implantar sistemas que

permitan a los afectados acceder de forma fácil,
directa y con la apropiada seguridad a sus datos
personales, así como ejercitar sus derechos ARCO

Implementación
Fecha Límite
Completado (%) 0%

Control C.RGPD.VIDEO-CAN.01 - Los datos (imágenes) serán

suprimidos en el plazo máximo de un mes desde su
captación, salvo cuando hubieran de ser conservadas
para acreditar la comisión de actos que atenten
contra la integridad de personas, bienes o
instalaciones.

Implementación
Fecha Límite
Completado (%) 0%
Página 22 de 28

Control C.RGPD.VIDEO-CAN.02 - Cuando hubieran de ser

conservadas para acreditar la comisión de actos que
atenten contra la integridad de personas, bienes o
instalaciones.

Implementación
Fecha Límite
Completado (%) 0%

Control C.RGPD.SAN.VV.05 - Elaborar un procedimiento que

obligue a que los datos (imágenes) serán suprimi-dos
en el plazo máximo de un mes desde su captación,
salvo cuando hubieran de ser conservadas para
acreditar la comisión de actos que atenten contra la
integridad de per-sonas, bienes o instalaciones.

Implementación
Fecha Límite
Completado (%) 0%
Escenario de RGPD.SAN.DEP.06 - Datos especialmente protegidos:

Riesgo No registrar los accesos a las Historias Clínicas
Página 23 de 28
Control C.RGPD-APDCAT.OBGL.12 - El Responsable deberá

velar por el cumplimiento, por parte del encargado de
tratamiento, de las obligaciones derivadas del
contrato de acceso a datos formalizado

Implementación
Completado (%) 0%

Control C.RGPD.SAN.SEG.03 - Seguridad: Políticas estrictas de

need to know (necesidad de conocer o acceder a la
información) para la concesión de accesos a la
información y de clean desks (escritorios limpios) para
minimizar las posibilidades de acceso no autorizado a
los datos personales

Implementación
Completado (%) 0%

Control C.MAN.0002 - Disponer al Proveedor realizar perfiles

de usuarios para cada persona que tenga acceso a la
información al Historia Clínico mediante, usuarios y
password con un control del DPD de la compañía, de
manera que el otorgue los accesos a la aplicación y de
de baja a los usuarios dentro del sistema que ya no
laboren en la Clínica.
Página 24 de 28
Implementación
Completado (%) 0%

Riesgo Enviar información clínica, a través de redes de
telecomunicaciones, sin cifrar
Control C.RGPD-AEPD.SEG.6.a - Adoptar medidas de cifrado –

adecuadas al riesgo y al estado de la tecnología– de
los datos personales almacenados y compartidos a
través de redes de telecomunicaciones (en particular,
si son públicas y/o inalámbricas) para minimizar el
riesgo de que terceros no autorizados accedan a ellos
ante un hipotético fallo de seguridad
Responsable de William Rodriguez Santos

Implementación
Supervisor Juan Perez Patiño
Completado (%) 0%

Control C.RGPD.SAN.SEG.12 - Seguridad: Adoptar medidas de

cifrado - adecuadas al riesgo y al estado de la
tecnología - de los datos personales almacenados y
compartidos a través de redes de telecomunicaciones
(en particular, si son públicas y/o inalámbricas) para
minimizar el riesgo de que terceros no autorizados
accedan a ellos ante un hipotético fallo de seguridad

Implementación
Página 25 de 28
Fecha Límite 31 de diciembre de 2019
Completado (%) 0%

Control C.RGPD.SAN.SEG.38 - Implementación de protocolos

de cifrado de comunicaciones en todos los servicios
con salida a internet

Implementación
Fecha Límite 31 de diciembre de 2020
Completado (%) 0%

Control C.RGPD.SAN.SEG.43 - Implementar mecanismos de

cifrado para el envío, a través de redes de
telecomunicaciones, de información sensible

Implementación
Completado (%) 0%
Escenario de RGPD.SAN.DEP.14 - Carencia de conocimiento por

Riesgo parte del personal de qué hacer si recibe una petición
de acceso a historia clínica o a documentación clínica
Control C.RGPD-AEPD.GEN.1.a - Formación apropiada del

personal sobre protección de datos
Página 26 de 28

Implementación
Fecha Límite
Completado (%) 0%


personal sobre protección de datos en el sector
específico de que se trate

Implementación
Fecha Límite
Completado (%) 0%


personal sobre seguridad y uso adecuado de las TIC

Implementación
Fecha Límite
Completado (%) 0%

Página 27 de 28
Control C.RGPD-AEPD.CAL.1.a - Revisar de forma exhaustiva

los flujos de información para detectar si se solicitan
datos personales que luego no son utilizados en
ningún proceso

Implementación
Fecha Límite
Completado (%) 0%
Escenario de MAN.0001 - Falta de auditoria a las base de datos por

Riesgo parte del proveedor para proteger la integridad de los
datos
Control C.MAN.0097 - Exigir al proveedor que se haga las

auditorias semestralmente de manera que se dará un
plazo prudente para tomar accione, en caso que no
accedan a este requerimiento

Implementación
Fecha Límite
Completado (%) 0%
Página 28 de 28

InformeEIPD08 12 2019

Cargado por

Información del documento

Título original

Derechos de autor

Formatos disponibles

Compartir este documento

Compartir o incrustar documentos

Opciones para compartir

¿Le pareció útil este documento?

¿Este contenido es inapropiado?

Copyright:

Formatos disponibles

InformeEIPD08 12 2019

Cargado por

Copyright:

Formatos disponibles

Clínica Dental SOS - Informe de Análisis de Riesgos Simplificado

Clínica Dental SOS

1. Identificación del Proyecto

RESPONSABLE DEL TRATAMIENTO

Clínica Dental SOS

TÍTULO DE PROYECTO DE EIPD

EVALUACION INICIAL EN LA CLINICA DENTAL SOS

NÚMERO DE REGISTRO DE EIPD

20 de diciembre de 2019 - 26 de febrero de 2021

RESPONSABLE/S DEL PROYECTO

Juan Perez Patiño

2. Análisis del motivo por el que se realiza la EIPD

LOS SIGUIENTES TRATAMIENTOS ESTÁN OBLIGADOS A REALIZAR LA

3. Flujos de Datos Personales 08-12-2019

A continuación se muestra la información relativa a las siguientes

3.1. Tratamiento - HISTORIAL CLÍNICO

FICHEROS CON DATOS ASOCIADOS

Bbdd historial clínico

Encargado del Tratamiento

CATEGORÍAS DE DATOS PERSONALES

CATEGORÍAS DE DATOS DE CARÁCTER IDENTIFICATIVO

CATEGORÍAS DE DATOS NO SENSIBLES

CATEGORÍAS ESPECIALES DE DATOS

CATEGORÍAS DE DATOS DE MENORES

COLECTIVOS O CATEGORIAS DE INTERESADOS

1.- Responder a las consultas y/o proporcionar informaciones requeridas

INTERESADOS OBJETO DEL TRATAMIENTO

El número de afectados es de 0 a 10.000

EXTENSIÓN GEOGRÁFICA DEL TRATAMIENTO

Cumplimiento de una obligación legal

Las fases que se han seguido han sido las siguientes:

1. Definición de alcance y planificación

A continuación se indican los datos de los consultados así como las

Los Controles del tratamiento de la información se realizan de manera

FECHA 20 de diciembre de 2019

RESPONSABLE DE DAR RESPUESTA Juan Perez

De manera parcial sectorizada en los procesos críticos

6.1. Requisitos de la Metodología

Toda metodología de gestión de riesgos debe cumplir los siguientes

Metódica No deje lugar a la improvisación.

Objetiva El método utilizado debe ser objetivo y no depender de la

Repetible Debe permitir conseguir resultados repetibles en el

Documentad Toda modificación, concreción o criterio adoptado

6.2. Tipo de Metodología

Para la elaboración de la presente metodología se ha considerado lo

Se han seguido las siguientes fases:

6.3. Análisis de los Escenarios de Riesgo

 Frecuencia: Cada cuánto se materializa el escenario del riesgo.

6.3.1. Criterio de valoración de la frecuencia de materialización de una

La frecuencia pone en perspectiva la degradación, pues una amenaza

Se valora la frecuencia de materialización de una amenaza en base a la

>= 1 vez cada 10 años Se produce al menos una vez cada

>= 1 vez al año Se produce al menos una vez al año

>= 10 veces al año Se produce al menos 10 veces al

>= 100 veces al año Se produce al menos 100 veces al

6.4. Criterios de impacto

Concepto. El impacto mide (o estima) el daño causado por un escenario del

Valoración. Al respecto se valora el impacto en un tratamiento caso de

A la hora de evaluar los posibles impactos, se han considerado los

IMPACTO NOMBRE DESCRIPCIÓN

Apercibimi Apercibimi Apercibimiento o sin sanción

Grave Grave 10.000.0000€ ó 2% facturación anual

Muy Grave Muy Grave 20.000.0000€ ó 4% facturación anual