AGENCIA PROTECCIÓN DATOS Cristina Gómez Piqueras
LEGISLACIÓN DE PROTECCIÓN DE DATOS CONSTITUCIÓN ESPAÑOLA 1978, ARTÍCULO 18.4 LEY ORGÁNICA 5/1992, DE 29 DE OCTUBRE, DE REGULACIÓN DEL TRATAMIENTO
AUTOMATIZADO DE DATOS DE CARÁCTER PERSONAL. REAL DECRETO 428/1993, DE 26 DE MARZO, ESTATUTO DE LA APD REAL DECRETO 1332/1994, DE 20 DE JUNIO, DE DESARROLLO DE LA LORTAD INSTRUCCIONES:
– 1/1995, DE 1 DE MARZO, SOLVENCIA PATRIMONIAL Y CRÉDITO.– 2/1995, DE 4 DE MAYO, CONTRATACIÓN SEGURO DE VIDA Y CRÉDITO.– 1/1996, DE 1 DE MARZO, ACCESO A EDIFICIOS.– 2/1996, DE 1 DE MARZO, ACCESO A CASINOS Y SALAS DE BINGO.– 1/1998, DE 19 DE ENERO, ACCESO, RECTIFICACIÓN Y CANCELACIÓN.– 1/2000, TRANSFERENCIAS INTERNACIONALES
REAL DECRETO 994/1999, DE 11 DE JUNIO, REGLAMENTO DE MEDIDAS DE SEGURIDAD LEY ORGÁNICA 15/1999, DE 13 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER
PERSONAL.
AGENCIA PROTECCIÓN DATOS Cristina Gómez Piqueras
AGENCIA DE PROTECCIÓN DE DATOS
ENTE DE DERECHO PÚBLICO PERSONALIDAD JURÍDICA PROPIA PLENA CAPACIDAD PÚBLICA Y PRIVADA INDEPENDENCIA DE LAS ADMINISTRACIONES PÚBLICAS EN EL EJERCICIO DE SUS FUNCIONES PUESTOS DE TRABAJO: FUNCIONARIOS Y CONTRATADOS ELABORA Y APRUEBA ANTEPROYECTO DE PRESUPUESTOS
AGENCIA PROTECCIÓN DATOS Cristina Gómez Piqueras
AGENCIA DE PROTECCIÓN DE DATOS
DIRECTOR - CONSEJO CONSULTIVO
SECRETARÍA GENERAL
REGISTRO GENERAL DE PROTECCIÓN DE DATOS
INSPECCIÓN DE DATOS
AGENCIA PROTECCIÓN DATOS Cristina Gómez Piqueras
DEFINICIONES
DATOS DE CARÁCTER PERSONAL / DATOS DISOCIADOS
DATOS DE SALUD / DATOS MÉDICOS / DATOS GENÉTICOS
FICHEROS PÚBLICOS (APDCM) / FICHEROS PRIVADOS (APD)
AGENCIA PROTECCIÓN DATOS Cristina Gómez Piqueras
PRINCIPIOS BÁSICOS DERECHOS PACIENTE
• LEY 41/2002• DIGNIDAD DE LA
PERSONA• RESPETO A LA
AUTONOMIA DE SU VOLUNTAD
• RESPETO A SU INTIMIDAD
• LOPD• GARANTÍA DEL HONOR• INTIMIDAD PERSONAL Y
FAMILIAR• LEGÍTIMO EJERCICIO DE
SUS DERECHOS.
AGENCIA PROTECCIÓN DATOS Cristina Gómez Piqueras
PRINCIPIOS BÁSICOS DERECHOS PACIENTE
• CONSENTIMIENTO VERBAL• DECIDIR ENTRE OPCIONES
CLÍNICAS• NEGARSE A RECIBIR
TRATAMIENTO• CONFIDENCIALIDAD• INFORMACIÓN• NO INFORMACIÓN• INFORMACIÓN EPIDEMIOLÓGICA• INTIMIDAD• ELECCIÓN DE MÉDICO Y CENTRO• RECIBIR INFORME DE ALTA• CERTIFICAR ESTADO SALUD
• CESIÓN DATOS• CONSENTIMIENTO AFECTADO• EXCEPCIONES• ESTABLECIDA POR LEY• SOLUCIONAR URGENCI QUE
REQUIERA ACCEDER A UN FICHERO O REALIZAR ESTUDIOS EPIDEMIOLÓGICOS.
• REVOCABLE
AGENCIA PROTECCIÓN DATOS Cristina Gómez Piqueras
CONSENTIMIENTO
• CONSENTIMIENTO REVOCABLE, ESCRITO E INFORMADO
• INT. QUIRÚRGICA• PROCED. DIAGNÓSTICOS
INVASORES.• PROCED. TERAPÉUTICOS
INVASORES.• EXCEPCIONES• RIESGO SALUD PÚBLICA.• RIESGO SALUD PACIENTE
INMEDIATO O GRAVE.
• DATOS DE SALUD• RECABADOS, TRATADOS Y
CEDIDOS CUANDO LO DISPONGA UNA LEY O EL AFECTADO CONSIENTA
• EXCEPCIONES:• TRATAMIENTO NECESARIO
PREVENCIÓN O DIAGNÓSTICO MÉDICO.
• PRESTACIÓN ASISTENCIA SANITARIA, GESTIÓN SERVICIOS SANITARIOS.
• SALVAGUARDAR INTERÉS VITAL AFECTADO O 3ª PERSONA
• REVOCABLE
AGENCIA PROTECCIÓN DATOS Cristina Gómez Piqueras
HISTORIA CLÍNICA - ACCESO
• FINALIDAD:FACILITAR ASISTENCIA SANITARIA
• ACCESO• PROFESIONALES PARA
ASISTENCIA ADECUADA, JUSTIFICADOS
• FINES JUDICIALES, EPIDEMIOLÓGICOS, SALUD PÚBLICA, INVESTIGACIÓN Y DOCENCIA. DISOCIADOS
• INSPECTORES CON RESPETO A LOS DERECHOS PACIENTES Y DEBER SECRETO.
• LO PIDE AFECTADO UNA VEZ AL AÑO, SALVO INTERÉS LEGÍTIMO ACREDITADO
• GRATUITO• CONTESTACIÓN EN UN MES• RECTIFICACIÓN Y
CANCELACIÓN: CONTESTACIÓN 10 DÍAS
AGENCIA PROTECCIÓN DATOS Cristina Gómez Piqueras
HISTORIA CLÍNICA - ACCESO
• CONSERVACIÓN: MÍNIMO 5 AÑOS DESDE EL ALTA
• MEDIDAS SEGURIDAD: LOPD• ACCESO PACIENTES• SIN PERJUICIO DEL Dº TERCERAS
PERSONAS, INTERÉS TERAPÉUTICO, EXCEPTO ANOTACIONES SUBJETIVAS PROFESIONAL
• FALLECIDOS A FAMILIARES SALVO PROHIBICIÓN EXPRESA FALLECIDO
• Dº A LA CUSTODIA HISTORIA CLÍNICA
• OBLIGACIÓN CONFIDENCIALIDAD DE QUIEN TRATA DATOS.
• JUSTIFICACIÓN EN EL TRATAMIENTO DATOS DE SALUD
AGENCIA PROTECCIÓN DATOS Cristina Gómez Piqueras
¿Qué datos se incluyen en la comunicación de inscripción?1º . Titular del fichero.2º . Dirección.3º. Nombre y descripción del fichero.
4º. Ubicación del fichero. 5º. Sistemas de tratamiento. 6º Identificación de los datos que se van a tratar.7º. Finalidad y usos del fichero. 8º. Origen de los datos. 9º. Procedimiento de recogida.10º. Cesiones de datos.11º. Transferencias internacionales: 12º. Destinatarios de las cesiones o transferencias.13º. Medidas de seguridad.
AGENCIA PROTECCIÓN DATOS Cristina Gómez Piqueras
MEDIDAS DE SEGURIDAD. PLAZO DE IMPLANTACIÓN.Real decreto 994/1999
Medidas de índole técnica y organizativas necesarias que garanticen la
seguridad de los datos de carácter personal y evite su adulteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana del medio físico o natural.
Nivel básico: 26 de abril de 2000Nivel Medio: 26 de junio de 2000Nivel alto: 26 de junio de 2002.
AGENCIA PROTECCIÓN DATOS Cristina Gómez Piqueras
¿Cuáles son las medidas de seguridad que exige el nivel básico?Documento de seguridad - El responsable del fichero debe elaborar e implantar una normativa de
seguridad. - La normativa de seguridad se recoge en el documento de seguridad. - Debe mantenerse actualizado y revisarse cuando se produzcan
cambios relevantes en el sistema. - Debe ser conocido por el personal con acceso a datos personales.¿Qué debe contener el documento de seguridad? 1. Identificación del fichero y los recursos protegidos. 2. Estructura de los ficheros y descripción del sistema de
tratamiento. 3. Procedimiento de seguridad. 4. Procedimientos de notificación, gestión y respuesta ante
incidencias: registro de incidencias. 5. Procedimiento de copias. 6. Funciones y obligaciones del personal con acceso.
AGENCIA PROTECCIÓN DATOS Cristina Gómez Piqueras
Personal con acceso:
- Deben establecerse procesos de identificación y autenticación.
- Cuando el mecanismo de autenticación se base en la existencia de contraseñas debe haber un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad.
- Las contraseñas se cambiarán con la periodicidad que marque el documento de seguridad.
- Debe indicarse el acceso permitido a cada usuario.
AGENCIA PROTECCIÓN DATOS Cristina Gómez Piqueras
Nivel medio Deben implantarse con datos relativos a: - Comisión de infracciones administrativas. - Comisión de infracciones penales. - Hacienda Pública. - Servicios financieros y de solvencia. - Datos que faciliten el perfil del individuo.Las medidas de nivel medio suponen la implantación de las de nivel básico
más: - Nombramiento de uno o más responsables de seguridad.- El documento de seguridad más completo: - Identificación del responsable de seguridad. - Verificación periódica de su cumplimiento. - Medidas en caso de deshecho o reutilización de soporte.Procesos de identificación más exigentes.
AGENCIA PROTECCIÓN DATOS Cristina Gómez Piqueras
- Sistemas informáticos e instalaciones de tratamiento deben auditarse cada dos años.
- Control de acceso físico - Gestión de soportes: Registro de entrada y de salida, en el
que queda registrado la fecha y hora de entrada o salida; tipo y número de soportes; emisor o destinatario y forma de envío; información que contiene y responsable de la recepción o de la entrega.
Nivel alto Ideología, religión, creencias religiosas.Origen racial.Salud, vida sexualDatos recabados para fines policiales.
AGENCIA PROTECCIÓN DATOS Cristina Gómez Piqueras
Medidas de nivel alto: básico, medio, más: - La distribución de soportes se hará cifrando o utilizando cualquier otro medio que garantice que la información no es inteligible ni manipulable.
- Mecanismos técnicos que registren todos los accesos:- Identificación del usuario, fecha y hora.- Fichero accedido y tipo de acceso.- Si ha sido autorizado o denegado.- Los registros de acceso se conservarán dos años.- El responsable de seguridad revisará la información y
elaborará un informe mensual.
AGENCIA PROTECCIÓN DATOS Cristina Gómez Piqueras
Dº INFORMACIÓN EN LA RECOGIDA DE DATOS.
- Existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.- Carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.- Consecuencias de la obtención de los datos o de la negativa a suministrarlos.- Posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.- Identidad y dirección del responsable del tratamiento o, en su caso, de su representante.
AGENCIA PROTECCIÓN DATOS Cristina Gómez Piqueras
CONSENTIMIENTO.
INEQUÍVOCO.
Los datos de carácter personal que hagan referencia a la salud sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente.
REVOCABLE
EXCEPCIONES - Prevención o diagnóstico médico, prestación de asistencia sanitaria o tratamientos médicos o
la gestión de servicios sanitarios, siempre que el tratamiento lo realice un profesional sanitario sujeto a secreto profesional o persona sujeta a obligación equivalente.
- Salvaguardar el interés vital del afectado.- Instituciones sanitarias y profesionales de acuerdo con la legislación sanitaria, respecto a las
personas que acudan a ellas o sean tratados en los mismos.
AGENCIA PROTECCIÓN DATOS Cristina Gómez Piqueras
¿QUÉ DATOS PODEMOS RECABAR?
ADECUADOS
PERTINENTES
NO EXCESIVOS NO USAR FINALIDADES INCOMPATIBLES ACTUALIZADOS CANCELACIÓN CUANDO NO SEAN PERTINENTES PARA FINALIDAD CON LA QUE SE
RECABARON.
AGENCIA PROTECCIÓN DATOS Cristina Gómez Piqueras
DERECHOS DEL INTERESADO
Acceso: Solicitud de sus datos de carácter personal sometidos a tratamiento, origen, comunicaciones realizadas a que se prevén. Plazo contestación de un mes.
Rectificación y cancelación: En caso de datos inexactos o incompletos o de tratamiento no ajustado
a la Ley. Conservación durante los plazos previstos en las disposiciones aplicables o en relaciones contractuales. Plazo contestación 10 días.
Oposición: El interesado se opone al tratamiento de sus datos, salvo que una Ley prevea la
inclusión de datos. Indemnización: Por los daños o perjuicios causados como consecuencia del incumplimiento de la
Ley.
AGENCIA PROTECCIÓN DATOS Cristina Gómez Piqueras
COMUNICACIONES A TERCEROS O CESIÓN DE DATOS
Consentimiento del afectado.
Excepciones al consentimiento
Cesión autorizada por una Ley
Datos recogidos de fuentes de acceso público Tratamiento que responde a una relación jurídica libremente aceptada cuando la comunicación es
necesaria para su desarrollo, cumplimiento o control. Cesiones de datos de salud para solucionar urgencias que requieran acceder a estudios
epidemiológicos.
AGENCIA PROTECCIÓN DATOS Cristina Gómez Piqueras
CONFIDENCIALIDAD DE LOS DATOS
El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.
Vulneración del deber de guardar secreto de los datos de salud:
comisión de infracción muy grave, pudiendo ser sancionada con multa de 50.000.000 a 100.000.000 de pesetas.
AGENCIA PROTECCIÓN DATOS Cristina Gómez Piqueras
AGENCIA DE PROTECCIÓN DE DATOS
www.agenciaprotecciondatos.org GABINETE JURÍDICO – INFORMES ATENCIÓN AL CIUDADANO 913996200 REGISTRO DE FICHEROS 913996229.