AAPP-00061-2015_Resolucion-de-fecha-18-04-2016_Art-ii-culo-9-LOPD

Recommendations

Info

12/17 información, en el sistema de tratamiento empleado, en su organización, en el contenido de la información incluida en los ficheros o tratamientos o, en su caso, como consecuencia de los controles periódicos realizados. En todo caso, se entenderá que un cambio es relevante cuando pueda repercutir en el cumplimiento de las medidas de seguridad implantadas. 8. El contenido del documento de seguridad deberá adecuarse, en todo momento, a las disposiciones vigentes en materia de seguridad de los datos de carácter personal.” Con independencia del aplicativo utilizado o de su próxima mejora, es indispensable contar con un documento de seguridad, y que este sea puesto en conocimiento de los empleados para su efectivo conocimiento y cumplimiento, circunstancias que no se dan en el presente caso. Lo mencionado es lo mínimo exigible, pero en este caso se están tramitando datos de salud, por lo que el nivel de seguridad y el documento de seguridad ha de acoplarse a lo que el Reglamento consigna para dicho tipo de ficheros y seguridad, en concreto los artículos 101 y siguientes. Ello, abarcando también el nivel básico y medio, pues así lo determina el artículo 81.3.a) del RLOPD, que indica: “3. Además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal: a) Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.” III En cuanto al tratamiento de los datos de salud, el artículo 7.3 y 7.6 de la LOPD indica: “3. Los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente. 6. No obstante lo dispuesto en los apartados anteriores, podrán ser objeto de tratamiento los datos de carácter personal a que se refieren los apartados 2 y 3 de este artículo, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto. También podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior cuando el tratamiento sea necesario para salvaguadar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.” Se desprende del literal, que no se necesita poseer una titulación relacionada con el ámbito de la salud para efectuar el tratamiento de los datos de salud. IV El artículo 93.3 del RLOPD indica en un epígrafe titulado “Identificación y autenticación”, aplicable desde el nivel básico de seguridad: “3. Cuando el mecanismo de autenticación se base en la existencia de contraseñas C/ Jorge Juan, 6 www.agpd.es 28001 – Madrid sedeagpd.gob.es
13/17 existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. 4. El documento de seguridad establecerá la periodicidad, que en ningún caso será superior a un año, con la que tienen que ser cambiadas las contraseñas que, mientras estén vigentes, se almacenarán de forma ininteligible.” Durante la visita de Inspección, el Centro manifestó que: “El perfil Administrador o monitor informático únicamente permite las altas y bajas al aplicativo SANIT. También es la persona encargada de dar de alta la contraseña de los diferentes usuarios que acceden al sistema dado que el aplicativo no permite a un usuario cambiar por sí mismo una contraseña sino que tiene que hacerlo el Administrador y ser este el que introduzca en el sistema la contraseña que desea el usuario” La asignación de contraseñas conociéndose por el Administrador al ser el mismo el que las asigna, infringe la confidencialidad del acceso a los datos y contraria el principio de uso por su titular, ya que la misma tiene como función la identificación de forma inequívoca y personalizada del usuario. V La denunciada incumple otra medida del nivel medio de seguridad, la auditoría de fichero, artículo 96 que indica: “1. A partir del nivel medio los sistemas de información e instalaciones de tratamiento y almacenamiento de datos se someterán, al menos cada dos años, a una auditoría interna o externa que verifique el cumplimiento del presente título. Con carácter extraordinario deberá realizarse dicha auditoría siempre que se realicen modificaciones sustanciales en el sistema de información que puedan repercutir en el cumplimiento de las medidas de seguridad implantadas con el objeto de verificar la adaptación, adecuación y eficacia de las mismas. Esta auditoría inicia el cómputo de dos años señalado en el párrafo anterior. 2. El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles a la Ley y su desarrollo reglamentario, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y las recomendaciones propuestas. 3. Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero o tratamiento para que adopte las medidas correctoras adecuadas y quedarán a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las Comunidades Autónomas.” El RLOPD se aprobó en 2007, el fichero SANIT figura inscrito desde 2005. La denunciada no aporta ni dispone de la citada Auditoría sobre el fichero. El artículo 99 determina: “Control de acceso físico”: “Exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los lugares donde se hallen instalados los equipos físicos que den soporte a los sistemas de información.” VI Referido al posible uso de correos electrónicos que contengan datos de salud, el artículo 104, titulado “ Telecomunicaciones” determina que “Cuando, conforme al C/ Jorge Juan, 6 www.agpd.es 28001 – Madrid sedeagpd.gob.es
Page 1 and 2: 1/17 Procedimiento Nº AP/00061/201
Page 3 and 4: 3/17 los correos y directorios para
Page 5 and 6: 5/17 los Facultativos y enfermeros,
Page 7 and 8: 7/17 detallar las razones por las q
Page 9 and 10: 9/17 de disponer de documentos que
Page 11: 11/17 tratamientos, o bien individu
Page 15 and 16: 15/17 3. El acceso de personas no i
Page 17: 17/17 Sin embargo, el responsable d

AAPP-00061-2015_Resolucion-de-fecha-18-04-2016_Art-ii-culo-9-LOPD

Create successful ePaper yourself

Delete template?

Save as template?