PROTECCIÓN DATOS Y SEGURIDAD
EN LA INFORMACIÓN SECTOR SALUD

PROTECCIÓN DATOS Y SEGURIDAD EN LA INFORMACIÓN SECTOR SALUD

El Reglamento (UE) 2016/679 de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos junto con la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales suponen todo un quebradero de cabeza para las empresas e instituciones de la sector sanitario.

Los sistemas de gestión que deben implantarse para el cumplimiento de estas dos normas resultan especialmente complejas de cumplir en el ámbito sanitario, dado el ingente volumen de datos de carácter personal que se manejan, como la cantidad de cautelas que deben adoptarse, dada la sensibilidad de los datos relativos a la salud de las personas.

El área de Compliance y análisis de riesgos de Lentisco tiene como una de sus misiones ayudar a las empresas e instituciones públicas sanitarias en la plena  adaptación de las organizaciones al RGPD y a la LOPD GDD, haciendo un seguimiento de la implantación de los procesos necesarios con el fin de asegurar su efectivo cumplimiento.

Así mismo, podemos brindar un asesoramiento o soporte continuo en cualquier duda relacionada con la protección de datos dentro de las organizaciones, ofreciendo la participación o servicios de nuestro Delegado de Protección de Datos cuando sea necesario.

Entre los servicios especializados que Lentisco presta en la materia, se encuentran:

  1. Analizar los distintos tratamientos de datos personales que se llevan a cabo dentro de las organizaciones sanitarias.
  2. Elaboración de la política de seguridad de instituciones y empresas. 
  3. Redacción de procedimientos de seguridad e implantación de las medidas necesarias para garantizar la seguridad de los datos de carácter personal.
  4. Elaborar un registro de las actividades exigidas por el RGPD.
  5. Realizar análisis de riesgos y colaborar en la realización de evaluaciones de impacto para el tratamiento de datos que las requieran.
  6. Identificación de las medidas técnicas y organizativas necesarias para asegurar el tratamiento de datos.
  7. Redacción de contratos y revisión de cláusulas de protección de datos. 
  8. Redacción de procedimientos para la gestión de los distintos procesos implicados en el tratamiento de datos personales.
  9. Notificación de violaciones de seguridad.
  10. Diseño y documentación de los procedimientos de notificación a la Agencia Española de Protección de Datos y a los interesados en eventuales violaciones de seguridad.
  11. Formación a los responsables y empleados en aspectos y consecuencias legales.
  12. Análisis de aplicaciones informáticas para el el tratamiento de datos,, páginas web, envío de comunicaciones y las tomas de datos, etc.

i. Soporte continuado al DPD y servicio de DPE externalizado (Outsourcing)

El RGPD y la LOPD GDD imponen a determinadas empresas la designación de una nueva figura, el Delegado de Protección de Datos (DPD). Este DPD tendrá la función de asesorar a las organizaciones acerca del cumplimiento de la normativa en protección de datos, supervisando, los distintos procesos de tratamiento de datos personales.

El DPD debe demostrar su competencia en materia de Protección de datos. No es necesario que el DPD forme parte de la organización, esta persona o entidad podrá ser contratada de forma externa. Para ello, tampoco es necesario que el DPD realice sus funciones de forma exclusiva para una entidad, sino que puede realizar su trabajo a tiempo parcial dependiendo del tamaño de la entidad, cantidad de tratamientos realizados o datos sensibles que se manejen.

En Lentisco le damos asesoramiento continuo por medio de nuestro Delegado de Protección de Datos en todas aquellas cuestiones necesarias, supervisando la adaptación a la normativa y dando cumplimiento al artículo 39 del RGPD, todo ello bajo un estándar de excelencia basado en la experiencia y el conocimiento.

La externalización del Delegado de Protección de Datos es una interesante opción sobre todo para aquellas empresas que no cuentan en sus plantillas con personal que pueda cumplir con los requisitos que exige la normativa y con los conocimientos específicos y concretos para desarrollar la labor con rectitud y sin indecentes.

La externalización del servicio con Lentisco le garantiza la atención de personal formado específicamente para estas funciones de DPD.

Lentisco ofrece la externalización del DPD en función de las necesidades de las organizaciones, ofreciendo labores de:

  • Asesoramiento
  • Supervisión del cumplimiento normativo.
  • Cooperación y gestión ante la Agencia Española de Protección de Datos.

Estas funciones genéricas del DPD se pueden concretar en tareas de asesoramiento y supervisión que serán, entre otras, relativas a las siguientes áreas:  

  • Cumplimiento de principios relativos al tratamiento, como los de limitación de finalidad, minimización o exactitud de los datos. 
  • Identificación de las bases jurídicas de los tratamientos.
  • Valoración de compatibilidad de finalidades distintas de las que originaron la recogida inicial de los datos. 
  • Existencia de normativa sectorial que pueda determinar condiciones de tratamiento específicas distintas de las establecidas por la normativa general de protección de datos.
  • Diseño e implantación de medidas de información a los afectados por los tratamientos de datos.
  • Establecimiento de mecanismos de recepción y gestión de las solicitudes de ejercicio de derechos por parte de los interesados.
  • Valoración de las solicitudes de ejercicio de derechos por parte de los interesados.
  • Contratación de encargados de tratamiento, incluido el contenido de los contratos o actos jurídicos que regulen la relación responsable-encargado  Identificación de los instrumentos de transferencia internacional de datos adecuados a las necesidades y características de la organización y de las razones que justifiquen la transferencia.
  • Diseño e implantación de políticas de protección de datos.
  • Auditoría de protección de datos.
  • Establecimiento y gestión de los registros de actividades de tratamiento  Análisis de riesgo de los tratamientos realizados.
  • Implantación de las medidas de protección de datos desde el diseño y protección de datos por defecto adecuadas a los riesgos y naturaleza de los tratamientos .
  • Implantación de las medidas de seguridad adecuadas a los riesgos y naturaleza de los tratamientos.
  • Establecimiento de procedimientos de gestión de violaciones de seguridad de los datos, incluida la evaluación del riesgo para los derechos y libertades de los afectados y los procedimientos de notificación a las autoridades de supervisión y a los afectados.
  • Determinación de la necesidad de realización de evaluaciones de impacto sobre la protección de datos.
  • Realización de evaluaciones de impacto sobre la protección de datos.
  • Relaciones con las autoridades de supervisión.
  • Implantación de programas de formación y sensibilización del personal en materia de protección de datos.

ii. CIBERSEGURIDAD. ENS (ESQUEMA NACIONAL DE SEGURIDAD)

La Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos estableció el Esquema Nacional de Seguridad que fue aprobado mediante Real Decreto 3/2010, de 8 de enero. El Esquema Nacional de Seguridad es una norma que tiene por objetivo determinar la política de seguridad que será necesaria en la utilización de medios electrónicos y define los requisitos mínimos para establecer una política de seguridad en el uso de medios electrónicos y así conseguir una protección adecuada de la información.

El objetivo del Esquema Nacional de Seguridad es conseguir la confianza de los usuarios y de las organizaciones ante el uso de medios electrónicos. Para ello el ENS obliga a las organizaciones a disponer de un Sistema de Gestión de Seguridad de la Información relativo a la planificación, organización y control de los recursos relativos a la seguridad de la información.

Ver Más
Un sistema de gestión es una herramienta, empleada para optimizar y/o coordinar recursos, reducir costos y mejorar la eficacia de procesos en una entidad, dirigidos a una finalidad determinada (calidad, seguridad, eficiencia energética…).

A parte, según la nueva Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales, LOPD GDD se exigirá a las empresas que contraten con la Administración Pública el cumplimiento de las medidas de seguridad ajustadas al ENS, por lo que todas las empresas de sector sanitario deben ponerse al día en este requerimiento y realizar una correcta adaptación de sus sistemas, tanto al RGPD como al ENS.

Para hacer posible lo anterior, y establecer los más altos estándares que mejoren la posición competitiva de las organizaciones e instituciones sanitarias, se hace necesario implantar un Sistema de Gestión de la Seguridad de la Información (SGSI) para poder contratar con la Administración sanitaria, así como para cumplir por parte de ésta los requerimientos de seguridad, respeto de los datos de los usuarios y pacientes, en las dimensiones de:

  • Confidencialidad, asegurando que la información es sólo accesible para aquellas personas autorizadas.
  • Integridad, garantizando la exactitud de la información y que ésta sea completa, así como los métodos de su procesamiento.
  • Disponibilidad, asegurando que los usuarios autorizados tienen acceso a la información y que el servicio público se mantiene disponible para el ciudadano.
  • Autenticidad, asegurando que dicha información es auténtica
  • Trazabilidad, haciendo posible comprobar a posteriori quién ha accedido a, o modificado, cierta información.

esquema nacional de seguridad

Por tanto, Lentisco puede ocuparse de la adaptación de sus sistemas de cumplimiento y seguridad para cumplir los requisitos en protección de la Información estándares del ENS, colaborando para conseguir el cumplimiento de los requisitos de protección de la información de la Administración Pública, especialmente enfocado a la participación en procesos de licitación pública..

El resultado de nuestro trabajo le permitirá identificar, adaptar y perfeccionar las principales particularidades de un Sistema de Gestión de Seguridad de la Información (SGSI) basado en el ENS.

Además de lo anterior, entre nuestros servicios especializados en la materia se encuentran:

  • El acompañamiento durante todas las fases para adaptar los procesos de la organización que utilicen medios electrónicos al ENS para lograr así el cumplimiento de la normativa. Para ello le daremos soporte, ayudándole y dándole asesoramiento en:
    • Preparar y aprobar la política de seguridad, incluyendo la definición de roles y la asignación de responsabilidades.
    • Categorizar los sistemas.
    • Realizar el análisis de riesgos.
    • Preparar y aprobar la Declaración de aplicabilidad de las medidas del Anexo II del ENS.
    • Elaborar un plan de adecuación para la mejora de la seguridad.
    • Asesorar para implantar, operar y monitorizar las medidas de seguridad.
    • Auditar la seguridad.
    • Asesorar en la creación de mecanismos para informar sobre el estado de la seguridad.

iii. SEGURIDAD EN LA INFORMACIÓN. ISO/IEC 27001 y 27701

La norma ISO/IEC 27001 es la norma de referencia en los Sistemas de Gestión de Seguridad de la Información. Esta norma permite a las organizaciones evaluar su riesgo con verdaderas garantías e implantar los controles y medidas técnicas apropiados para preservar la confidencialidad, integridad y disponibilidad del valor de la información.

Por su parte, la ISO/IEC 27701 es otra norma internacional certificable que especifica los requisitos y proporciona orientación para establecer, implementar, mantener y mejorar continuamente un Sistema de gestión de información de privacidad (PIMS – Privacy Information Management System) en forma de una extensión a ISO / IEC 27001 e ISO / IEC 27002 para la gestión de privacidad dentro del contexto de la organización.

Lentisco puede ocuparse de la  revisión y adaptación del SGSI de su empresa para implantar y certificar la norma UNE/ISO 27001, así como del SO/IEC 27701:2019 1-20.

Ver Más
Igualmente, podemos realizar estudios previos de implantación para conocer  las principales particularidades de un SGSI basado en ISO 27001:2013 con carácter general o sistemas ISO 27701, y las adaptaciones o acciones necesarias para adaptar los sistemas existentes en la empresa o institución.

Le acompañaremos durante todo el ciclo DEMING o ciclo PDCA, mediante las siguientes acciones:

  • Le ayudaremos en la creación y aprobación de una Política alineada con los objetivos de su negocio.
  • Asesoraremos en la búsqueda y definición de los objetivos de seguridad, documentando los procedimientos necesarios para conseguir dichos objetivos.
  • Realizaremos una gestión de riesgos adaptada a sus necesidades.
  • Le ayudaremos en el proceso de seguimiento y mejora continua.
  • Conocer cómo contribuye un SGSI a la seguridad de los datos personales y de las actividades de tratamiento para adecuarse y cumplir el RGPD.
  • Crear un sistema certificable mediante los estándares de la ISO 27001.
  • Crear un sistema certificable mediante los estándares de la norma ISO 27701.

PÍDANOS INFORMACIÓN SIN COMPROMISO

Rellene el siguiente formulario y le responderemos lo antes posible.

Formulario de Contacto

Acepta Política:

Acepta recibir información?

INFORMACIÓN BÁSICA SOBRE PROTECCIÓN DE DATOS

Responsable: Lentisco Alentto S.L.P.
Finalidad: Atender su solicitud de contacto
Legitimación: Consentimiento del interesado
Destinatarios: No se cederán datos a terceros, salvo obligación legal.
Derechos: Acceder, rectificar y suprimir los datos, así como otros derechos, como se explica en la información adicional.
Información Adicional: Podrás encontrar información detallada sobre nuestra Política de Protección de Datos en este enlace