Seguridad de los datos personales en el ámbito sanitario

La normativa en materia de protección de datos de carácter personal establece que para la correcta protección de los derechos y libertades de las personas, en relación con el tratamiento de sus datos de carácter personal, es necesario que las entidades públicas adopten una serie de medidas técnicas y organizativas que tienen como finalidad última garantizar el cumplimiento de lo dispuesto en la legislación vigente.

En la antigua normativa se establecida una serie de niveles de seguridad (bajo, medio o alto) y las diferentes medidas establecida en dichos niveles se debían aplicar en función de los datos personales que se pretendía proteger.

En la nueva normativa de protección de datos esto ya no es así. 

Ahora se debe partir de un análisis de riesgo inicial de los tratamientos y, en función del resultado que arroje dicho análisis, se deberán establecer las medidas de seguridad.

Nueva concepción de las medidas de seguridad

Análisis de riesgos

Con la finalidad de mantener la seguridad y evitar que los tratamientos de datos de carácter personal infrinjan lo dispuesto en la normativa, el responsable o el encargado del tratamiento debe evaluar los riesgos inherentes al tratamiento y aplicar una serie de medidas técnicas y organizativas tendentes a minimizar el impacto de dichos riesgos.

Dichas medidas deben garantizar un adecuado nivel de seguridad teniendo en cuenta el estado de la técnica y el coste de su aplicación, con relación a los riesgos y a la naturaleza de los datos de carácter personal que deben ser protegidos.

El análisis de riesgos no se encuentra definido expresamente, ni en la normativa europea, ni en la normativa nacional. No obstante, puede deducirse, implícitamente, de lo establecido en relación con la privacidad desde el diseño y por defecto, que tendremos oportunidad de ver en un próximo apartado.

Podemos decir que el análisis de riesgos no es ni más ni menos que la obligación, para los responsables del tratamiento, de llevar a cabo un examen o análisis que les permitan detectar los posibles riesgos que acechan a sus tratamientos así como las medidas de carácter técnico y organizativo necesarias para anular o minimizar el impacto que dichos riesgos pueden tener en sus tratamientos.

Por tanto, el análisis de riesgos nos permite detectar las medidas que un responsable del tratamiento debe aplicar para que sus tratamientos sean adecuados con relación a lo establecido en la normativa de protección de datos de carácter personal.

Análisis de riesgos

Medidas de Seguridad

Como ya hemos comentado anteriormente, el nuevo Reglamento Europeo de Protección de Datos no establece unos controles mínimos de obligado cumplimiento, tal y como sucedía con la anterior Ley Orgánica y su Reglamento de Desarrollo que establecía una serie de niveles en función de las categorías de datos de carácter personal objeto de protección.

En su lugar, la nueva normativa deriva la responsabilidad en el responsable del tratamiento, quien deberá determinar e implementar aquellas medidas de seguridad que considere necesarias para garantizar la confidencialidad, la integridad y la disponibilidad de los datos de carácter personal.

Tal y como establece el Reglamento General de Protección de datos:

Teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, el alcance, el contexto y los fines del tratamiento, así como riesgos de probabilidad y gravedad variables para los derechos y libertades de las personas físicas, el responsable y el encargado del tratamiento aplicarán medidas técnicas y organizativas apropiadas para garantizar un nivel de seguridad adecuado al riesgo, que en su caso incluya, entre otros:

  • La seudonimización y el cifrado de datos personales.
  • La capacidad de garantizar la confidencialidad, integridad, disponibilidad y resiliencia permanentes de los sistemas y servicios de tratamiento.
  • La capacidad de restaurar la disponibilidad y el acceso a los datos personales de forma rápida en caso de incidente físico o técnico.
  • Un proceso de verificación, evaluación y valoraciones regulares de la eficacia de las medidas técnicas y organizativas para garantizar la seguridad del tratamiento.

En este sentido, interesa destacar lo establecido por la normativa española de protección de datos de carácter personal que establece que el Esquema Nacional de Seguridad incluirá las medidas que deban implantarse en caso de tratamiento de datos personales para evitar su pérdida, alteración o acceso no autorizado, adaptando los criterios de determinación del riesgo en el tratamiento de los datos.

¿Quieres acceder al Esquema Nacional de Seguridad?

Puedes acceder a través del presente enlace: Esquema Nacional de Seguridad

Responsables del tratamiento que deberán aplicar las medidas de seguridad establecidas en el Esquema Nacional de Seguridad.

También aplicable a sus encargados del tratamiento. 

  • Los órganos constitucionales o con relevancia constitucional y las instituciones de las comunidades autónomas análogas a los mismos.
  • Los órganos jurisdiccionales.
  • La Administración General del Estado, las Administraciones de las comunidades autónomas y las entidades que integran la Administración Local.
  • Los organismos públicos y entidades de Derecho público vinculadas o dependientes de las Administraciones públicas.
  • Las autoridades administrativas independientes.
  • El Banco de España.
  • Las corporaciones de Derecho público cuando las finalidades del tratamiento se relacionen con el ejercicio de potestades de derecho público.
  • Las fundaciones del sector público.
  • Las Universidades Públicas.
  • Los consorcios.
  • Los grupos parlamentarios de las Cortes Generales y las Asambleas Legislativas autonómicas, así como los grupos políticos de las Corporaciones Locales.

Comunicación de la violación de la seguridad de los datos

También conocida como quiebra, la violación de la seguridad de los datos o, mejor dicho, su notificación, es una parte esencial de la normativa en materia de protección de datos de carácter personal.

¿Qué supone la presente acción?

Cuando se produzca una violación en la seguridad de los datos personales el responsable del tratamiento, es decir, la entidad pública que la sufra, deberá notificarlo (siempre que exista riesgo para los derechos y libertades de las personas) tanto a la autoridad de control (Agencia Española de Protección de Datos y Homólogas Autonómicas) como a las personas físicas cuyos datos personales se hayan visto afectados por la quiebra de seguridad.

¿En cuánto tiempo deberán comunicarlo? Con la mayor brevedad posible y, en todo caso, en un plazo máximo de 72 horas.

Contenido de la Comunicación
Con relación a la notificación se deberán tener en cuenta las estipulaciones contenidas en el Esquema Nacional de Seguridad así como en las Instrucciones Técnicas que sean aplicables a la violación de la seguridad de los datos.

Excepciones a la comunicación de la violación de seguridad de los datos a los afectados.

Notificación de las violaciones de seguridad

Notificación por parte de los encargados del tratamiento

Cuando un encargado del tratamiento sufre una violación de seguridad, se encuentra en la obligación de notificar sin dilación indebida, dicha violación al responsable del tratamiento.

La norma es parca en este sentido y, por tanto, debemos entender que, en el contrato de encargo del tratamiento, será el responsable quien deba fijar una obligación temporal de notificación de las violaciones de seguridad sufridas por el encargado del tratamiento.

Solo de esta forma, el responsable del tratamiento podrá cumplir con las obligaciones establecidas sobre su personal en la normativa de protección de datos de carácter personal.