Download Actuación inspectora y la protección de datos

page
1
page
2
page
3
page
4
page
5
page
6
page
7
page
8
page
9
page
10
page
11
page
12
page
13
page
14
page
15
page
16
page
17
page
18
page
19
page
20
page
21
page
22
page
23
Document related concepts
no text concepts found
Transcript 
LEGISLACIÓN DE PROTECCIÓN DE DATOS
CONSTITUCIÓN ESPAÑOLA 1978, ARTÍCULO 18.4
LEY ORGÁNICA 5/1992, DE 29 DE OCTUBRE, DE REGULACIÓN DEL TRATAMIENTO
AUTOMATIZADO DE DATOS DE CARÁCTER PERSONAL.
REAL DECRETO 428/1993, DE 26 DE MARZO, ESTATUTO DE LA APD
REAL DECRETO 1332/1994, DE 20 DE JUNIO, DE DESARROLLO DE LA LORTAD
INSTRUCCIONES:
–
–
–
–
–
–
1/1995, DE 1 DE MARZO, SOLVENCIA PATRIMONIAL Y CRÉDITO.
2/1995, DE 4 DE MAYO, CONTRATACIÓN SEGURO DE VIDA Y CRÉDITO.
1/1996, DE 1 DE MARZO, ACCESO A EDIFICIOS.
2/1996, DE 1 DE MARZO, ACCESO A CASINOS Y SALAS DE BINGO.
1/1998, DE 19 DE ENERO, ACCESO, RECTIFICACIÓN Y CANCELACIÓN.
1/2000, TRANSFERENCIAS INTERNACIONALES
REAL DECRETO 994/1999, DE 11 DE JUNIO, REGLAMENTO DE MEDIDAS DE SEGURIDAD
LEY ORGÁNICA 15/1999, DE 13 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER
AGENCIA PROTECCIÓN DATOS
PERSONAL.
Cristina Gómez Piqueras
AGENCIA DE PROTECCIÓN DE DATOS
ENTE DE DERECHO PÚBLICO
PERSONALIDAD JURÍDICA PROPIA
PLENA CAPACIDAD PÚBLICA Y PRIVADA
INDEPENDENCIA DE LAS ADMINISTRACIONES PÚBLICAS EN EL EJERCICIO DE SUS FUNCIONES
PUESTOS DE TRABAJO: FUNCIONARIOS Y CONTRATADOS
ELABORA Y APRUEBA ANTEPROYECTO DE PRESUPUESTOS
AGENCIA PROTECCIÓN DATOS
Cristina Gómez Piqueras
AGENCIA DE PROTECCIÓN DE DATOS
DIRECTOR - CONSEJO CONSULTIVO
SECRETARÍA GENERAL
REGISTRO GENERAL DE PROTECCIÓN DE DATOS
INSPECCIÓN DE DATOS
AGENCIA PROTECCIÓN DATOS
Cristina Gómez Piqueras
DEFINICIONES
DATOS DE CARÁCTER PERSONAL / DATOS DISOCIADOS
DATOS DE SALUD / DATOS MÉDICOS / DATOS GENÉTICOS
FICHEROS PÚBLICOS (APDCM) / FICHEROS PRIVADOS (APD)
AGENCIA PROTECCIÓN DATOS
Cristina Gómez Piqueras
PRINCIPIOS BÁSICOS DERECHOS PACIENTE
• LEY 41/2002
• LOPD
• DIGNIDAD DE LA
PERSONA
• RESPETO A LA
AUTONOMIA DE SU
VOLUNTAD
• RESPETO A SU INTIMIDAD
• GARANTÍA DEL HONOR
• INTIMIDAD PERSONAL Y
FAMILIAR
• LEGÍTIMO EJERCICIO DE
SUS DERECHOS.
AGENCIA PROTECCIÓN DATOS
Cristina Gómez Piqueras
PRINCIPIOS BÁSICOS DERECHOS PACIENTE
•
•
•
•
•
•
•
•
•
•
•
CONSENTIMIENTO VERBAL
DECIDIR ENTRE OPCIONES
CLÍNICAS
NEGARSE A RECIBIR
TRATAMIENTO
CONFIDENCIALIDAD
INFORMACIÓN
NO INFORMACIÓN
INFORMACIÓN EPIDEMIOLÓGICA
INTIMIDAD
ELECCIÓN DE MÉDICO Y CENTRO
RECIBIR INFORME DE ALTA
CERTIFICAR ESTADO SALUD
•
•
•
•
•
•
CESIÓN DATOS
CONSENTIMIENTO AFECTADO
EXCEPCIONES
ESTABLECIDA POR LEY
SOLUCIONAR URGENCI QUE
REQUIERA ACCEDER A UN
FICHERO O REALIZAR
ESTUDIOS EPIDEMIOLÓGICOS.
REVOCABLE
AGENCIA PROTECCIÓN DATOS
Cristina Gómez Piqueras
CONSENTIMIENTO
•
•
•
•
•
•
•
CONSENTIMIENTO
REVOCABLE, ESCRITO E
INFORMADO
INT. QUIRÚRGICA
PROCED. DIAGNÓSTICOS
INVASORES.
PROCED. TERAPÉUTICOS
INVASORES.
EXCEPCIONES
RIESGO SALUD PÚBLICA.
RIESGO SALUD PACIENTE
INMEDIATO O GRAVE.
•
DATOS DE SALUD
•
RECABADOS, TRATADOS Y
CEDIDOS CUANDO LO DISPONGA
UNA LEY O EL AFECTADO
CONSIENTA
•
EXCEPCIONES:
•
TRATAMIENTO NECESARIO
PREVENCIÓN O DIAGNÓSTICO
MÉDICO.
PRESTACIÓN ASISTENCIA
SANITARIA, GESTIÓN SERVICIOS
SANITARIOS.
SALVAGUARDAR INTERÉS VITAL
AFECTADO O 3ª PERSONA
REVOCABLE
•
•
•
AGENCIA PROTECCIÓN DATOS
Cristina Gómez Piqueras
HISTORIA CLÍNICA - ACCESO
•
•
•
•
•
FINALIDAD:FACILITAR
ASISTENCIA SANITARIA
ACCESO
PROFESIONALES PARA
ASISTENCIA ADECUADA,
JUSTIFICADOS
FINES JUDICIALES,
EPIDEMIOLÓGICOS, SALUD
PÚBLICA, INVESTIGACIÓN Y
DOCENCIA. DISOCIADOS
INSPECTORES CON RESPETO A
LOS DERECHOS PACIENTES Y
DEBER SECRETO.
•
•
•
•
LO PIDE AFECTADO UNA VEZ
AL AÑO, SALVO INTERÉS
LEGÍTIMO ACREDITADO
GRATUITO
CONTESTACIÓN EN UN MES
RECTIFICACIÓN Y
CANCELACIÓN:
CONTESTACIÓN 10 DÍAS
AGENCIA PROTECCIÓN DATOS
Cristina Gómez Piqueras
HISTORIA CLÍNICA - ACCESO
•
•
•
•
•
•
CONSERVACIÓN: MÍNIMO 5 AÑOS
DESDE EL ALTA
MEDIDAS SEGURIDAD: LOPD
ACCESO PACIENTES
SIN PERJUICIO DEL Dº TERCERAS
PERSONAS, INTERÉS
TERAPÉUTICO, EXCEPTO
ANOTACIONES SUBJETIVAS
PROFESIONAL
FALLECIDOS A FAMILIARES SALVO
PROHIBICIÓN EXPRESA
FALLECIDO
Dº A LA CUSTODIA HISTORIA
CLÍNICA
• OBLIGACIÓN
CONFIDENCIALIDAD DE
QUIEN TRATA DATOS.
• JUSTIFICACIÓN EN EL
TRATAMIENTO DATOS DE
SALUD
AGENCIA PROTECCIÓN DATOS
Cristina Gómez Piqueras
¿Qué datos se incluyen en la comunicación de inscripción?
1º . Titular del fichero.
2º . Dirección.
3º. Nombre y descripción del fichero.
4º. Ubicación del fichero.
5º. Sistemas de tratamiento.
6º Identificación de los datos que se van a tratar.
7º. Finalidad y usos del fichero.
8º. Origen de los datos.
9º. Procedimiento de recogida.
10º. Cesiones de datos.
11º. Transferencias internacionales:
12º. Destinatarios de las cesiones o transferencias.
13º. Medidas de seguridad.
AGENCIA PROTECCIÓN DATOS
Cristina Gómez Piqueras
MEDIDAS DE SEGURIDAD. PLAZO DE IMPLANTACIÓN.
Real decreto 994/1999
Medidas de índole técnica y organizativas necesarias que garanticen la
seguridad de los datos de carácter personal y evite su adulteración,
pérdida, tratamiento o acceso no autorizado, habida cuenta del
estado de la tecnología, la naturaleza de los datos almacenados y los
riesgos a que están expuestos, ya provengan de la acción humana
del medio físico o natural.
Nivel básico: 26 de abril de 2000
Nivel Medio: 26 de junio de 2000
Nivel alto: 26 de junio de 2002.
AGENCIA PROTECCIÓN DATOS
Cristina Gómez Piqueras
¿Cuáles son las medidas de seguridad que exige el nivel básico?
Documento de seguridad
- El responsable del fichero debe elaborar e implantar una normativa de
seguridad.
- La normativa de seguridad se recoge en el documento de seguridad.
- Debe mantenerse actualizado y revisarse cuando se produzcan
cambios relevantes en el sistema.
- Debe ser conocido por el personal con acceso a datos personales.
¿Qué debe contener el documento de seguridad?
1. Identificación del fichero y los recursos protegidos.
2. Estructura de los ficheros y descripción del sistema de
tratamiento.
3. Procedimiento de seguridad.
4. Procedimientos de notificación, gestión y respuesta ante
incidencias: registro de incidencias.
5. Procedimiento de copias.
6. Funciones y obligaciones
del personal
AGENCIA PROTECCIÓN
DATOS con acceso.
Cristina Gómez Piqueras
Personal con acceso:
- Deben establecerse procesos de identificación y
autenticación.
- Cuando el mecanismo de autenticación se base en la
existencia de contraseñas debe haber un procedimiento de
asignación, distribución y almacenamiento que garantice su
confidencialidad.
- Las contraseñas se cambiarán con la periodicidad que
marque el documento de seguridad.
- Debe indicarse el acceso permitido a cada usuario.
AGENCIA PROTECCIÓN DATOS
Cristina Gómez Piqueras
Nivel medio
Deben implantarse con datos relativos a:
- Comisión de infracciones administrativas.
- Comisión de infracciones penales.
- Hacienda Pública.
- Servicios financieros y de solvencia.
- Datos que faciliten el perfil del individuo.
Las medidas de nivel medio suponen la implantación de las de nivel
básico más:
- Nombramiento de uno o más responsables de seguridad.
- El documento de seguridad más completo:
- Identificación del responsable de seguridad.
- Verificación periódica de su cumplimiento.
- Medidas en caso de deshecho o reutilización de soporte.
Procesos de identificación AGENCIA
más exigentes.
PROTECCIÓN DATOS
Cristina Gómez Piqueras
- Sistemas informáticos e instalaciones de tratamiento
deben auditarse cada dos años.
- Control de acceso físico
- Gestión de soportes: Registro de entrada y de salida, en el
que queda registrado la fecha y hora de entrada o salida; tipo
y número de soportes; emisor o destinatario y forma de
envío; información que contiene y responsable de la
recepción o de la entrega.
Nivel alto
Ideología, religión, creencias religiosas.
Origen racial.
Salud, vida sexual
Datos recabados para fines policiales.
AGENCIA PROTECCIÓN DATOS
Cristina Gómez Piqueras
Medidas
de
nivel
alto:
básico,
medio,
más:
- La distribución de soportes se hará cifrando o utilizando
cualquier otro medio que garantice que la información no es
inteligible ni manipulable.
- Mecanismos técnicos que registren todos los accesos:
- Identificación del usuario, fecha y hora.
- Fichero accedido y tipo de acceso.
- Si ha sido autorizado o denegado.
Los registros de acceso se conservarán dos años.
El responsable de seguridad revisará la información y
elaborará un informe mensual.
AGENCIA PROTECCIÓN DATOS
Cristina Gómez Piqueras
Dº INFORMACIÓN EN LA RECOGIDA DE DATOS.
- Existencia de un fichero o tratamiento de datos de carácter
personal, de la finalidad de la recogida de éstos y de los
destinatarios de la información.
- Carácter obligatorio o facultativo de su respuesta a las
preguntas que les sean planteadas.
- Consecuencias de la obtención de los datos o de la negativa
a suministrarlos.
- Posibilidad de ejercitar los derechos de acceso,
rectificación, cancelación y oposición.
- Identidad y dirección del responsable del tratamiento o, en
su caso, de su representante.
AGENCIA PROTECCIÓN DATOS
Cristina Gómez Piqueras
CONSENTIMIENTO.
INEQUÍVOCO.
Los datos de carácter personal que hagan referencia a la salud sólo podrán ser recabados, tratados
y cedidos cuando, por razones de interés general, así lo disponga una Ley o el afectado
consienta expresamente.
REVOCABLE
EXCEPCIONES
-
-
Prevención o diagnóstico médico, prestación de asistencia sanitaria o tratamientos médicos
o la gestión de servicios sanitarios, siempre que el tratamiento lo realice un profesional
sanitario sujeto a secreto profesional o persona sujeta a obligación equivalente.
Salvaguardar el interés vital del afectado.
Instituciones sanitarias y profesionales de acuerdo con la legislación sanitaria, respecto a las
personas que acudan a ellas o sean tratados en los mismos.
AGENCIA PROTECCIÓN DATOS
Cristina Gómez Piqueras
¿QUÉ DATOS PODEMOS RECABAR?
ADECUADOS
PERTINENTES
NO EXCESIVOS
NO USAR FINALIDADES INCOMPATIBLES
ACTUALIZADOS
CANCELACIÓN CUANDO NO SEAN PERTINENTES PARA FINALIDAD CON LA QUE SE
RECABARON.
AGENCIA PROTECCIÓN DATOS
Cristina Gómez Piqueras
DERECHOS DEL INTERESADO
Acceso: Solicitud de sus datos de carácter personal sometidos a tratamiento, origen,
comunicaciones realizadas a que se prevén. Plazo contestación de un mes.
Rectificación y cancelación: En caso de datos inexactos o incompletos o de tratamiento no
ajustado a la Ley. Conservación durante los plazos previstos en las disposiciones aplicables o
en relaciones contractuales. Plazo contestación 10 días.
Oposición: El interesado se opone al tratamiento de sus datos, salvo que una Ley prevea la
inclusión de datos.
Indemnización: Por los daños o perjuicios causados como consecuencia del incumplimiento de la
Ley.
AGENCIA PROTECCIÓN DATOS
Cristina Gómez Piqueras
COMUNICACIONES A TERCEROS O CESIÓN DE DATOS
Consentimiento del afectado.
Excepciones al consentimiento
Cesión autorizada por una Ley
Datos recogidos de fuentes de acceso público
Tratamiento que responde a una relación jurídica libremente aceptada cuando la comunicación es
necesaria para su desarrollo, cumplimiento o control.
Cesiones de datos de salud para solucionar urgencias que requieran acceder a estudios
epidemiológicos.
AGENCIA PROTECCIÓN DATOS
Cristina Gómez Piqueras
CONFIDENCIALIDAD DE LOS DATOS
El responsable del fichero y quienes intervengan en cualquier
fase del tratamiento de los datos de carácter personal están
obligados al secreto profesional respecto de los mismos y al
deber de guardarlos, obligaciones que subsistirán después
de finalizar sus relaciones con el titular del fichero o, en su
caso, con el responsable del mismo.
Vulneración del deber de guardar secreto de los datos de salud:
comisión de infracción muy grave, pudiendo ser sancionada
con multa de 50.000.000
a 100.000.000 de pesetas.
AGENCIA PROTECCIÓN DATOS
Cristina Gómez Piqueras
AGENCIA DE PROTECCIÓN DE DATOS
www.agenciaprotecciondatos.org
GABINETE JURÍDICO – INFORMES
ATENCIÓN AL CIUDADANO 913996200
REGISTRO DE FICHEROS 913996229.
AGENCIA PROTECCIÓN DATOS
Cristina Gómez Piqueras
Related documents
DISOCIACIÓN/ANONIMIZACIÓN DE LOS DATOS DE SALUD
DISOCIACIÓN/ANONIMIZACIÓN DE LOS DATOS DE SALUD
el ejercicio de los derechos sobre la historia clínica
el ejercicio de los derechos sobre la historia clínica
Guía de buenas prácticas en protección de datos
Guía de buenas prácticas en protección de datos
Protección de Datos de Carácter Personal
Protección de Datos de Carácter Personal
Aplicacion de la LOPD en el ambito de la Salud Mental
Aplicacion de la LOPD en el ambito de la Salud Mental
guía básica para el cumplimiento de la ley orgánica de protección
guía básica para el cumplimiento de la ley orgánica de protección
guía básica para el cumplimiento de la ley orgánica de protección
guía básica para el cumplimiento de la ley orgánica de protección
guía básica para el cumplimiento de la ley orgánica de protección
guía básica para el cumplimiento de la ley orgánica de protección
la protección de los datos sanitarios. la historia clínica.
la protección de los datos sanitarios. la historia clínica.
Anexo 18 - Centro de Investigación Biomédica de La Rioja
Anexo 18 - Centro de Investigación Biomédica de La Rioja
consentimiento informado
consentimiento informado
Presentación de PowerPoint
Presentación de PowerPoint
Agencia de Protección de Datos
Agencia de Protección de Datos
Ficheros de datos de caracter personal inscritos
Ficheros de datos de caracter personal inscritos