• Saltar al contenido principal
  • Saltar a la barra lateral principal
  • Saltar al pie de página

Una al Día

Boletín de noticias de Seguridad Informática ofrecido por Hispasec

Usted está aquí: Inicio / General / Ficheros automatizados con datos sobre Salud

Ficheros automatizados con datos sobre Salud

11 marzo, 2000 Por Hispasec Deja un comentario

Desde HispaSec ya se viene hablando de la seguridad en los datos
personales desde que salieron las leyes que lo regulaban, así la
antigua LORTAD de 1992 vigente hasta principios de año, y la actual
LPD que también regula el tema. Esta última bastante continuista de
la anterior exige el consentimiento inequívoco (artículo. 6) del
particular cuando sus datos personales vayan a formar parte de un
fichero automatizado.
La ley regula para los llamados datos sensibles (la ideología,
religión, creencias, afiliación sindical, origen racial, salud, vida
sexual o comisión de infracciones penales o administrativas) un
sistema de protección reforzada.

¿Hay algún dato más privado que la historia clínica de una persona?.
Para la Ley, parece que no. De hecho le da el tratamiento de mayor
seguridad, veamos:

La especial naturaleza del fichero sanitario, se demuestra en la
regulación que recibía en la LORTAD y sigue otorgándole la LOPD.

La ley permite el tratamiento de datos relativos a la salud cuando
éste resulte necesario «para la prevención o para el diagnóstico
médico o la gestión de servicios sanitarios» (artículo 7.6) o «para
salvaguardar el interés vital del afectado o de otra persona, en el
supuesto de que el afectado esté física o jurídicamente incapacitado
para dar su consentimiento» (artículo 7.6.2).

La ley exige que el tratamiento de los datos se realice por un
profesional sanitario sujeto al secreto médico o por otro persona
igualmente sujeta «a una obligación equivalente de secreto».
El secreto médico abarca hoy día según la doctrina y la
jurisprudencia al equipo clínico y médico, teniendo el paciente
derecho a la confidencialidad de toda la información relacionada con
su enfermedad e incluso con su estancia en el centro sanitario
(art. 10.3 y 61 Ley General Sanidad).

Este es el refuerzo legal que establece, es decir, además de tratarlo
como «dato sensible» obligado a todas las medidas legales que se
establecen, está protegido también por el secreto profesional. Lo
cual quiere decir que en caso de violación del mismo, el enfermo
tendría dos vías de defensa como mínimo, así la propia L.P.D
(protección de datos), la LGS (y deontología profesional), y la Ley
Orgánica de Protección al Honor, la Intimidad y la Propia Imagen.

La ley dedica el artículo octavo, a la recogida y tratamiento de los
datos de salud, y completa la regulación del artículo 7.3 al añadir
que los centros sanitarios y los profesionales (médicos privados)
podrán proceder a la automatización de los datos de salud «de las
personas que a ellos acudan o hayan de ser tratados en los mismos»
de acuerdo con lo dispuesto en la legislación sanitaria estatal (es
decir, Ley General de Sanidad , Ley del Medicamento, Ley de Medidas
Especiales en materia de Salud Pública). En otras palabras, se
pueden establecer Bases de datos Sanitarios de la población.

Para la comunicación a terceros de los datos personales sobre salud
se establece un requisito doble: el consentimiento del afectado por
un lado, y la legitimidad y relación íntima del fin al que va a
servir la entrega, por otro.

Excepción a la regla.- No será necesario el consentimiento cuando
los destinatarios de los ficheros sean la Justicia (Ministerio
Fiscal, y/o Jueces), ni cuando la cesión se produce entre
Administraciones Públicas y los fines de la cesión sean
estadísticos o científicos, me pregunto hasta que punto esto puede
ser constitucional, sobre todo la cesión para materias estadísticas.
Existe también la excepción para los casos de estudio epidemiológico
y para los casos de urgencia, aunque la ley no especifica que sea un
caso de urgencia (supongo que quedará al arbitrio del médico
establecer si es o no urgente, es decir se introduce un aspecto
subjetivo totalmente peligroso para dicho tratamiento de datos).

El artículo 9 habla de la seguridad de los ficheros, y dice que por
vía reglamentaria se establecerán los requisitos y condiciones que
deberán reunir tanto las personas que intervengan en el tratamiento
de los datos especialmente protegidos (o sensibles) como los
propios ficheros. Es decir, se esperan modificaciones en breve, y
mientras tanto sigue en vigor el Reglamento de Medidas de Seguridad
de los Ficheros Automatizados. Lo cual quiere decir que sobre estos
datos pesan las siguientes medidas de seguridad a tomar por
empresas, organismos públicos y administradores de sistemas o bases
de datos.

Al ser datos sobre salud, requieren el «nivel alto de seguridad»,
se han de identificar las personas que pueden acceder a los
ficheros, informar de la existencia de copias de seguridad o de
respaldo, hay normas propias sobre traslado y guarda de ficheros.
Además, es necesario realizar una auditoría cada dos años para
verificar el cumplimiento de las normas de seguridad. La auditoría
puede realizarse de tres formas: a través del autodiagnóstico, con
una auditoría interna y con un servicio de auditoría externo. La
no incorporación de estos sistemas de seguridad tiene establecido
multas de 10 a 50 millones de pts.

Por supuesto, además, estos datos tienen la protección del Código
Penal, así su artículo 197.4 que se aplica a los responsables de
ficheros con penas de 3 a 5 años, regula este artículo el
apoderamiento, utilización y modificación de datos de carácter
personal o familiar, en perjuicio de tercero y sin estar
autorizado, y también regula-prohibe el acceso a sistemas sin
autorización aunque no haya perjuicio. Como agravante se establece
la difusión, revelación o cesión a terceros, y el ánimo de lucro.
Las penas van de 1 a 5 años.

Eusebio del Valle
evalle@hispasec.com

Acerca de Hispasec

Hispasec Ha escrito 6939 publicaciones.

  • View all posts by Hispasec →
  • Blog

Compártelo:

  • Twitter
  • Facebook
  • LinkedIn
  • Reddit
  • Telegram
  • WhatsApp

Publicaciones relacionadas

Publicado en: General

Interacciones con los lectores

Deja una respuesta Cancelar la respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.

Barra lateral principal

Buscar

Síguenos

siguenos en twitter

UAD360 EDICIÓN 2022

https://www.youtube.com/watch?v=go_CSWK56yU

Populares de UAD

  • Vulnerabilidad zero-day en AWS Glue
  • Tamagotchi para hackers: Flipper Zero
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Técnica permite modificar ficheros PDF con firma digital
  • Evasión de CloudTrail en AWS a través de API no documentada

Entradas recientes

  • Vulnerabilidad zero-day en AWS Glue
  • Evasión de CloudTrail en AWS a través de API no documentada
  • Parches de enero 2023: Microsoft corrige 98 vulnerabilidades
  • UAD se abre a la comunidad
  • Campañas de phishing utilizan Flipper Zero como cebo
  • Vulnerabilidades críticas en productos de Synology
  • Más de dos docenas de errores de WordPress explotados por un nuevo malware de Linux
  • Correo electrónico
  • Facebook
  • LinkedIn
  • RSS
  • Twitter

Footer

UAD

UAD nació a raíz de un inocente comentario en un canal IRC hace 24 años. A través de los archivos, un lector curioso puede ver cómo ha cambiado (o no) la seguridad de la información desde entonces.

Aviso Legal

  • Aviso Legal
  • Términos y Condiciones
  • Política de Privacidad
  • Política de Cookies

Copyright © 2023 · Hispasec Sistemas, S.L. Todos los derechos reservados

Este sitio web utiliza cookies propias y de terceros para fines analíticos y para mostrarte publicidad (tanto general como personalizada) relacionada con tus preferencias en base a un perfil elaborado a partir de tus hábitos de navegación (por ejemplo, páginas visitadas), para optimizar la web y para poder valorar las opiniones de los servicios consultados por los usuarios. Para administrar o deshabilitar estas cookies haz clic en: Configurar Cookies


Rechazar todo Aceptar Todo
Configurar Cookies

Resumen de privacidad

Este sitio web utiliza cookies para mejorar su experiencia mientras navega por el sitio web. De estas, las cookies que se clasifican como necesarias se almacenan en su navegador, ya que son esenciales para el funcionamiento de las funcionalidades básicas del sitio web. También utilizamos cookies de terceros que nos ayudan a analizar y comprender cómo utiliza este sitio web. Estas cookies se almacenarán en su navegador solo con su consentimiento. También tiene la opción de optar por no recibir estas cookies. Pero la exclusión voluntaria de algunas de estas cookies puede afectar su experiencia de navegación.
Necesaria
Siempre activado
Las cookies necesarias son absolutamente esenciales para que el sitio web funcione correctamente. Estas cookies garantizan funcionalidades básicas y características de seguridad del sitio web, de forma anónima.
CookieDuraciónDescripción
cookielawinfo-checkbox-analytics11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Análisis".
cookielawinfo-checkbox-functional11 monthsLa cookie está configurada por el consentimiento de cookies de GDPR para registrar el consentimiento del usuario para las cookies en la categoría "Funcional".
cookielawinfo-checkbox-necessary11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. Las cookies se utilizan para almacenar el consentimiento del usuario para las cookies en la categoría "Necesario".
cookielawinfo-checkbox-others11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Otro.
cookielawinfo-checkbox-performance11 monthsEsta cookie está configurada por el complemento de consentimiento de cookies de GDPR. La cookie se utiliza para almacenar el consentimiento del usuario para las cookies en la categoría "Rendimiento".
viewed_cookie_policy11 monthsLa cookie está configurada por el complemento de consentimiento de cookies de GDPR y se utiliza para almacenar si el usuario ha dado su consentimiento o no para el uso de cookies. No almacena ningún dato personal.
Analítica
Las cookies analíticas se utilizan para comprender cómo interactúan los visitantes con el sitio web. Estas cookies ayudan a proporcionar información sobre métricas, el número de visitantes, la tasa de rebote, la fuente de tráfico, etc.
GUARDAR Y ACEPTAR