03. D. Iñaki Pariente de Prada [Modo de compatibilidad]€¦ · Dispositivos de almacenamiento - mecanismos apertura Art. 108. Custodia de los soportes - en el proceso de tramitación

“Las implicaciones del uso de “Las implicaciones del uso de “Las implicaciones del uso de “Las implicaciones del uso de herramientas informáticas en herramientas informáticas en herramientas informáticas en herramientas informáticas en

el ámbito sanitario para la el ámbito sanitario para la el ámbito sanitario para la el ámbito sanitario para la protección de los datos protección de los datos protección de los datos protección de los datos

personales de los pacientes: personales de los pacientes: personales de los pacientes: personales de los pacientes: una visión desde la seguridad.”una visión desde la seguridad.”una visión desde la seguridad.”una visión desde la seguridad.”

Iñaki Pariente de PradaDirector. Agencia Vasca de

protección de Datos.

EMPEZANDO POR EL FINAL

• LA PROTECCIÓN DE DATOS COADYUVA A LA SEGURIDAD Y AL BUEN FUNCIONAMIENTO DE

LAS ORGANIZACIONES SANITARIAS.

http://www.avpd.es 2

DEBEMOS PASAR DE…

• «ESTO NO SE PUEDE HACER POR

PROTECCIÓN DE DATOS»


http://www.avpd.es Privacy by Design 4

“Esto no se puede hacer por Protección de Datos”

a…



La protección de datos y la seguridad nos benefician a todos

y mejoran el funcionamiento de la ORGANIZACIÓN


Guión de la exposición

1. Marco de referencia de la protección de datos personales.2. La seguridad vista desde la privacidad.3. Informática y medios electrónicos.4. Conclusiones.


1. Framework de la Privacidad (Principios de la

LOPD)1.1.1.1. InformaciónInformaciónInformaciónInformación en la recogidaen la recogidaen la recogidaen la recogida

2.2.2.2. ConsentimientoConsentimientoConsentimientoConsentimiento del afectadodel afectadodel afectadodel afectado

3.3.3.3. Tratamiento de los datos. Principio de Tratamiento de los datos. Principio de Tratamiento de los datos. Principio de Tratamiento de los datos. Principio de CalidadCalidadCalidadCalidad (minimización)(minimización)(minimización)(minimización)

4.4.4.4. Especial protecciónEspecial protecciónEspecial protecciónEspecial protección de algunos datosde algunos datosde algunos datosde algunos datos

5.5.5.5. LimitaciónLimitaciónLimitaciónLimitación de las cesiones de datosde las cesiones de datosde las cesiones de datosde las cesiones de datos

6.6.6.6. Cumplimiento Cumplimiento Cumplimiento Cumplimiento derechos Aderechos Aderechos Aderechos A----RRRR----CCCC----OOOO----

7.7.7.7. Deber de Deber de Deber de Deber de secretosecretosecretosecreto

8.8.8.8.Seguridad de los datosSeguridad de los datosSeguridad de los datosSeguridad de los datos

9

Datos de carácter personalDatos de carácter personalDatos de carácter personalDatos de carácter personal

Dato de Carácter Personal (art. 3 LOPD):

• Cualquier información (numérica, alfabética, gráfica, fotográfica, acústica, etc.) relativa a una persona física identificada o identificable utilizada por Administraciones o Empresas

• No se aplica la normativa sobre PDCP si la información es anónima (datos disociados) o si se presenta como datos agregados o sociales (perfiles o características de colectivos, no de individuos)

Datos especialmente protegidos (art. 7 LOPD)• Pertenecen a nuestra esfera más íntima y su comunicación a terceros

puede hacernos vulnerables. Su tratamiento conlleva un plus de medidaspara garantizar la seguridad .

• Revelan ideología, afiliación sindical, religión, creencias, origen racial, SALUD, vida sexual, infracciones.

10

DATO DE SALUDDATO DE SALUDDATO DE SALUDDATO DE SALUD

• La LOPD no lo define• Art. 5.1 g) del Reglamento “las

informaciones concernientes a la salud pasada,presente y futura, física o mental, de unindividuo. En particular, se consideran datosrelacionados con la salud de las personas losreferidos a su porcentaje de discapacidad y asu información genética”.

11

¿Qué significa ¿Qué significa ¿Qué significa ¿Qué significa tratamiento de tratamiento de tratamiento de tratamiento de datosdatosdatosdatos, sea manual o automático?, sea manual o automático?, sea manual o automático?, sea manual o automático?La expresión tratamiento de datos incluye las

siguientes operaciones con datos personales: Recogida, Conservación, Combinación, ComunicaciónSe suelen combinar métodos manuales e

informáticos en el tratamiento de datos personales (en la recogida, archivo, etc.).

ES LA ORGANIZACIÓN LA QUE DEBE DEFINIR LOS TRATAMIENTOS A

REALIZAR CON LOS DATOS PERSONALES.


II. LA Seguridad de los Datos DESDE LA PRIVACIDAD(art. 9

LOPD)• Se adoptarán las medidas técnicas y

organizativas necesarias para garantizar la seguridad de los datos,– evitando su alteración o pérdida– y su tratamiento o acceso no autorizado

• Teniendo en cuenta:– el estado de la tecnología– la naturaleza de los datos almacenados– los riesgos a que estén expuestos

Ma

rc

o d

e

Re

fe

re

nc

ia

http://www.avpd.es Privacy by Design 13Nivel Básico: Todos los ficherosNivel Básico: Todos los ficherosNivel Básico: Todos los ficherosNivel Básico: Todos los ficheros

Nivel Medio: ficheros conNivel Medio: ficheros conNivel Medio: ficheros conNivel Medio: ficheros con•Infracciones administrativas o penales•Información sobre solvencia patrimonial•Administraciones Tributarias•Entidades financieras•Seguridad Social•Elaboración de perfiles

Nivel Alto: ficheros conNivel Alto: ficheros conNivel Alto: ficheros conNivel Alto: ficheros con•Datos especialmente protegidos•Fines policiales •Violencia de género

Niveles de seguridad


Resumen medidas nivel Básico

Ficheros automatizados y no automatizados

Art. 89. Funciones y obligaciones del personalArt. 90. Registro de incidenciasArt. 91. Control de accesoArt. 92. Gestión de soportes y documentos

Sólo automatizados Sólo no automatizados

Art. 93. Identificación y autenticación

Art. 94. Copias de respaldo y recuperación

Art. 106. Criterios de archivo- posibilitar derechos ARCO

Art. 107. Dispositivos de almacenamiento- mecanismos apertura

Art. 108. Custodia de los soportes- en el proceso de tramitación

Niv

el

es

de

S

eg

ur

ida

d


Resumen medidas nivel Medio

Ficheros automatizados y no automatizados

Arts. 95 y 109: Responsable de seguridadArts. 96 y 110: Auditoria


Art. 97. Gestión de soportesArt. 98. Identificación y autenticaciónArt. 99. Control de acceso físicoArt. 100. Registro de incidenciasN

ive

le

s d

e

Se

gu

rid

ad


Resumen medidas nivel Alto


Art. 101. Gestión y distribución de soportes

–Cifrado de datos. Evitar dispositivos que no permitan el cifrado

Art. 102. Copias de respaldo y recuperaciónArt. 103. Registro de accesos

–Excepción: Responsable persona física y único usuario

Art. 104. Telecomunicaciones– Cifrado en redes públicas o inalámbricas

Art. 111. Almacenamiento de la información

–Archivadores, áreas restringidas

Art. 112. Copia o reproducción–Personal autorizado

Art. 113. Acceso a la documentación–Mecanismo identificación accesos por diferentes usuarios

Art. 114. Traslado de documentación–Impedir acceso, manipulación

Niv

el

es

de

S

eg

ur

ida

d

3. Y ADEMÁS…. LAS APLICACIONES informáticas, LA TECNOLOGÍA y LOS medios

electrónicos

• ¿Cuál es la situación actual del uso de internet?


Uso de internet en el país vasco



Special Eurobarometer 404 CYBER SECURITY REPORT

Fieldwork: May - June 2013


Seguridad en empresas país vasco


Informática y uso de medios electrónicos en el ámbito

sanitario.

• Aplicaciones informáticas dirigidas a la gestión de la historia clínica: accesos, trazabilidad, seguridad.

• Aplicaciones móviles en el ámbito de la salud: evaluación previa.

• Aplicaciones de mensajería instantánea.• Otros problemas: la movilidad.


LAS APLICACIONES EN EL ÁMBITO DE LA SALUD







LOS DISPOSITIVOS MÓVILES

• Características: tamaño reducido, interfaz inalámbrico, memoria interna y múltiples aplicaciones.

• + posicionamiento GPS, cámara digital, micrófono y sistema de grabación, y mecanismos de sincronización con servidores.


DATOS SOBRE INTEGRACIÓN DE DISPOSITIVOS MÓVILES

• En 2014, el 90 % de las organizaciones desplegarán sus aplicaciones corporativas en los dispositivos móviles y el 80 % de los profesionales utilizará al menos dos dispositivos móviles.

• En 2016 se comprarán más de 1600 millones de dispositivos móviles


• ¿CUANTOS DE USTEDES TIENEN UN TELÉFONO MÓVIL (CORPORATIVO O NO) Y LO UTILIZAN O HAN UTILIZADO

CON FINES PROFESIONALES?


MAYORES RIESGOS

• Los dispositivos móviles tienen un riesgo mucho mayor y

requiere medidas de seguridad adicionales debido sobre todo a

que se utilizan fuera de las instalaciones.


AMENAZAS FRECUENTES DE DISPOSITIVOS MÓVILES

• Acceso no autorizado al dispositivo.• Acceso no autorizado a la información.• Código dañino.• Uso de aplicaciones o servicios no

aceptados por la organización.• Uso inadecuado en compartición prof/per• Reutilización inadecuada• Utilización de BYOD en la organización.


MEDIDAS DE SEGURIDAD RECOMENDABLES

• Pin robusto de acceso al dispositivo• Métodos de autenticación más robustos.• Encriptación de dispositivo.• Prohibiciones específicas: no descarga de

determinadas aplicaciones, no permitir uso de determinadas aplicaciones, no acumulación de información en la memoria, etc.


Un problema indirecto: las redes no seguras

• Si el acceso se realiza desde redes públicas, y por definición no confiables, el riesgo aumenta.

• Es normal el acceso mediante mecanismos wifi que posibilita ataques tipo man in the middle, atacando los datos en tránsito.

• Esto exige la adopción de mecanismos expresos para esta contingencia.


EL MAYOR RIESGO: LA DESCARGA Y USO DE

APLICACIONES NO CONFIABLES.• Ante este riesgo, qué medidas:• Prohibir totalmente la descarga de aplicaciones• Permitir las aplicaciones mediante listas blancas.• Prohibir determinadas aplicaciones lista negra.• Ejecutar un análisis de riesgos de cada una de las

aplicaciones.• Otros.

36

Otros sistemas

• Monitorización• Implementación de medidas de seguridad

específicas.• Sistemas de autenticación complejos.• Adopción de normativa de seguridad

específica.


4. RECOMENDACIONES

• Evaluación previa, evaluación de impacto• Evaluación de riesgos • Evaluación de productos y servicios en todo

caso• Auditoría / Consultoría• Aumentar la seguridad• Descartar productos o servicios no beneficiosos

para la seguridad o que generen riesgos


CONCLUSIÓN:

• LA PROTECCIÓN DE DATOS COADYUVA A LA SEGURIDAD Y AL BUEN FUNCIONAMIENTO DE

LAS ORGANIZACIONES SANITARIAS.



http://www.flickr.com/photos/rosino/3658259716/

AGENCIA VASCA DE PROTECCIÓN DE DATOS

[email protected]

Documents

03. D. Iñaki Pariente de Prada [Modo de compatibilidad]€¦ · Dispositivos de almacenamiento - mecanismos apertura Art. 108. Custodia de los soportes - en el proceso de tramitación