Comparte:
eHealth
2 de febrero de 2012

Ehealth y LOPD

Ehealth y LOPD

Ehealth y LOPD

Escrito por , 2/02/2012

Estamos siendo espectadores del avance de la tecnología en el entorno sanitario y observamos cómo la telemedicina va ocupando un lugar cada vez mas destacado en la prestación de atención sanitaria a pacientes. Ante este escenario nos surge una cuestión recurrente en este tipo de entornos, una cuestión muy viva en todos los entornos relativos a la virtualización y al Cloud Computing. Esta cuestión no es otra que el impacto de la Ley de Protección de Datos (LOPD) en esta nueva forma de entender la prestación sanitaria. Despejar esta cuestión no siempre clara, es crucial para poder continuar avanzando con paso firme en la implantación de esta nueva tecnología.

Pues bien, la Ley de Protección de Datos vigente España, manifiesta que los datos relativos a la salud de las personas deben ser protegidos por medidas del más alto nivel y que únicamente los profesionales sanitarios (instituciones, centros sanitarios privados y públicos) podrán hacer uso de esa información (recogida, proceso y tratamiento de los datos) y son ellos los únicos responsables de mantener las medidas de seguridad adecuadas.

Por lo tanto, estos profesionales deberán implementar un sistema de gestión de seguridad de la información suficientemente robusto que impida la pérdida de información de pacientes. Para ello deberán seleccionar proveedores de tecnología que garanticen unos mecanismos de protección de datos acordes a los recogidos en el Reglamento de Desarrollo de la LOPD. A continuación se extraen las medidas de seguridad para este tipo de datos recogidas en la Ley:

Artículo 101. Gestión y distribución de soportes.

…la distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte…

…asimismo, se cifrarán los datos que contengan los dispositivos portátiles cuando estos se encuentren fuera de las instalaciones que están bajo el control del responsable del fichero.

Deberá evitarse el tratamiento de datos de carácter personal en dispositivos portátiles que no permitan su cifrado. En caso de que sea estrictamente necesario se hará constar motivadamente en el documento de seguridad y se adoptarán medidas que tengan en cuenta los riesgos de realizar tratamientos en entornos desprotegidos.

Artículo 102. Copias de respaldo y recuperación.

Deberá conservarse una copia de respaldo de los datos y de los procedimientos de recuperación de los mismos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan, que deberá cumplir en todo caso las medidas de seguridad exigidas en este título, o utilizando elementos que garanticen la integridad y recuperación de la información, de forma que sea posible su recuperación.

Artículo 103. Registro de accesos.

De cada intento de acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.

En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

Los mecanismos que permiten el registro de accesos estarán bajo el control directo del responsable de seguridad competente sin que deban permitir la desactivación ni la manipulación de los mismos.

El período mínimo de conservación de los datos registrados será de dos años.

El responsable de seguridad se encargará de revisar al menos una vez al mes la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados.

No será necesario el registro de accesos definido en este artículo en caso de que concurran las siguientes circunstancias:

Que el responsable del fichero o del tratamiento sea una persona física.

Que el responsable del fichero o del tratamiento garantice que únicamente él tiene acceso y trata los datos personales.

La concurrencia de las dos circunstancias a las que se refiere el apartado anterior deberá hacerse constar expresamente en el documento de seguridad.

Artículo 104. Telecomunicaciones.

Cuando, conforme al artículo 81.3 deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.”

Ante este escenario tan exigente en materia de seguridad, los prestadores de servicios de salud deberán disponer de conocimiento y capacidades suficientes para asegurarse de que las soluciones ehealth adoptadas siguen todas estas premisas ó elegir partners que les garanticen tecnologías ehealth alineadas con la LOPD vigente en España.

Para más información:

RAMIÓ AGUIRRE, J. La protección de datos de carácter personal en el sector de la salud: un enfoque hacia la e-salud. [en línea]. Madrid: “Opinión de los expertos” Revista digital

Datospersonales.org. Madrid: APDCM, 30 de septiembre de 2010, Número 47.

Real Decreto por el que aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999 de 13 de Diciembre de Protección de Datos de Carácter Personal. B.O.E núm. 17. 19 de enero de 2008.

Sobre el autor

Gema Maqueda

Gema Maqueda

Curiosa y apasionada de la tecnología, consultora hasta la médula y siempre alerta de las necesidades del mercado. Mi debilidad son ehealth, las aplicaciones en movilidad y las redes sociales.
Ver todos sus artículos »