LEGISLACIÓN DE PROTECCIÓN DE DATOS CONSTITUCIÓN ESPAÑOLA 1978, ARTÍCULO 18.4

AGENCIA PROTECCIÓN DATOS Cristina Gómez Piqueras

LEGISLACIÓN DE PROTECCIÓN DE DATOS CONSTITUCIÓN ESPAÑOLA 1978, ARTÍCULO 18.4 LEY ORGÁNICA 5/1992, DE 29 DE OCTUBRE, DE REGULACIÓN DEL TRATAMIENTO

AUTOMATIZADO DE DATOS DE CARÁCTER PERSONAL. REAL DECRETO 428/1993, DE 26 DE MARZO, ESTATUTO DE LA APD REAL DECRETO 1332/1994, DE 20 DE JUNIO, DE DESARROLLO DE LA LORTAD INSTRUCCIONES:

– 1/1995, DE 1 DE MARZO, SOLVENCIA PATRIMONIAL Y CRÉDITO.– 2/1995, DE 4 DE MAYO, CONTRATACIÓN SEGURO DE VIDA Y CRÉDITO.– 1/1996, DE 1 DE MARZO, ACCESO A EDIFICIOS.– 2/1996, DE 1 DE MARZO, ACCESO A CASINOS Y SALAS DE BINGO.– 1/1998, DE 19 DE ENERO, ACCESO, RECTIFICACIÓN Y CANCELACIÓN.– 1/2000, TRANSFERENCIAS INTERNACIONALES

REAL DECRETO 994/1999, DE 11 DE JUNIO, REGLAMENTO DE MEDIDAS DE SEGURIDAD LEY ORGÁNICA 15/1999, DE 13 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER

PERSONAL.


AGENCIA DE PROTECCIÓN DE DATOS

ENTE DE DERECHO PÚBLICO PERSONALIDAD JURÍDICA PROPIA PLENA CAPACIDAD PÚBLICA Y PRIVADA INDEPENDENCIA DE LAS ADMINISTRACIONES PÚBLICAS EN EL EJERCICIO DE SUS FUNCIONES PUESTOS DE TRABAJO: FUNCIONARIOS Y CONTRATADOS ELABORA Y APRUEBA ANTEPROYECTO DE PRESUPUESTOS



DIRECTOR - CONSEJO CONSULTIVO

SECRETARÍA GENERAL

REGISTRO GENERAL DE PROTECCIÓN DE DATOS

INSPECCIÓN DE DATOS


DEFINICIONES

DATOS DE CARÁCTER PERSONAL / DATOS DISOCIADOS

DATOS DE SALUD / DATOS MÉDICOS / DATOS GENÉTICOS

FICHEROS PÚBLICOS (APDCM) / FICHEROS PRIVADOS (APD)


PRINCIPIOS BÁSICOS DERECHOS PACIENTE

• LEY 41/2002• DIGNIDAD DE LA

PERSONA• RESPETO A LA

AUTONOMIA DE SU VOLUNTAD

• RESPETO A SU INTIMIDAD

• LOPD• GARANTÍA DEL HONOR• INTIMIDAD PERSONAL Y

FAMILIAR• LEGÍTIMO EJERCICIO DE

SUS DERECHOS.


PRINCIPIOS BÁSICOS DERECHOS PACIENTE

• CONSENTIMIENTO VERBAL• DECIDIR ENTRE OPCIONES

CLÍNICAS• NEGARSE A RECIBIR

TRATAMIENTO• CONFIDENCIALIDAD• INFORMACIÓN• NO INFORMACIÓN• INFORMACIÓN EPIDEMIOLÓGICA• INTIMIDAD• ELECCIÓN DE MÉDICO Y CENTRO• RECIBIR INFORME DE ALTA• CERTIFICAR ESTADO SALUD

• CESIÓN DATOS• CONSENTIMIENTO AFECTADO• EXCEPCIONES• ESTABLECIDA POR LEY• SOLUCIONAR URGENCI QUE

REQUIERA ACCEDER A UN FICHERO O REALIZAR ESTUDIOS EPIDEMIOLÓGICOS.

• REVOCABLE


CONSENTIMIENTO

• CONSENTIMIENTO REVOCABLE, ESCRITO E INFORMADO

• INT. QUIRÚRGICA• PROCED. DIAGNÓSTICOS

INVASORES.• PROCED. TERAPÉUTICOS

INVASORES.• EXCEPCIONES• RIESGO SALUD PÚBLICA.• RIESGO SALUD PACIENTE

INMEDIATO O GRAVE.

• DATOS DE SALUD• RECABADOS, TRATADOS Y

CEDIDOS CUANDO LO DISPONGA UNA LEY O EL AFECTADO CONSIENTA

• EXCEPCIONES:• TRATAMIENTO NECESARIO

PREVENCIÓN O DIAGNÓSTICO MÉDICO.

• PRESTACIÓN ASISTENCIA SANITARIA, GESTIÓN SERVICIOS SANITARIOS.

• SALVAGUARDAR INTERÉS VITAL AFECTADO O 3ª PERSONA

• REVOCABLE


HISTORIA CLÍNICA - ACCESO

• FINALIDAD:FACILITAR ASISTENCIA SANITARIA

• ACCESO• PROFESIONALES PARA

ASISTENCIA ADECUADA, JUSTIFICADOS

• FINES JUDICIALES, EPIDEMIOLÓGICOS, SALUD PÚBLICA, INVESTIGACIÓN Y DOCENCIA. DISOCIADOS

• INSPECTORES CON RESPETO A LOS DERECHOS PACIENTES Y DEBER SECRETO.

• LO PIDE AFECTADO UNA VEZ AL AÑO, SALVO INTERÉS LEGÍTIMO ACREDITADO

• GRATUITO• CONTESTACIÓN EN UN MES• RECTIFICACIÓN Y

CANCELACIÓN: CONTESTACIÓN 10 DÍAS


HISTORIA CLÍNICA - ACCESO

• CONSERVACIÓN: MÍNIMO 5 AÑOS DESDE EL ALTA

• MEDIDAS SEGURIDAD: LOPD• ACCESO PACIENTES• SIN PERJUICIO DEL Dº TERCERAS

PERSONAS, INTERÉS TERAPÉUTICO, EXCEPTO ANOTACIONES SUBJETIVAS PROFESIONAL

• FALLECIDOS A FAMILIARES SALVO PROHIBICIÓN EXPRESA FALLECIDO

• Dº A LA CUSTODIA HISTORIA CLÍNICA

• OBLIGACIÓN CONFIDENCIALIDAD DE QUIEN TRATA DATOS.

• JUSTIFICACIÓN EN EL TRATAMIENTO DATOS DE SALUD


¿Qué datos se incluyen en la comunicación de inscripción?1º . Titular del fichero.2º . Dirección.3º. Nombre y descripción del fichero.

4º. Ubicación del fichero. 5º. Sistemas de tratamiento. 6º Identificación de los datos que se van a tratar.7º. Finalidad y usos del fichero. 8º. Origen de los datos. 9º. Procedimiento de recogida.10º. Cesiones de datos.11º. Transferencias internacionales: 12º. Destinatarios de las cesiones o transferencias.13º. Medidas de seguridad.


MEDIDAS DE SEGURIDAD. PLAZO DE IMPLANTACIÓN.Real decreto 994/1999

Medidas de índole técnica y organizativas necesarias que garanticen la

seguridad de los datos de carácter personal y evite su adulteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana del medio físico o natural.

Nivel básico: 26 de abril de 2000Nivel Medio: 26 de junio de 2000Nivel alto: 26 de junio de 2002.


¿Cuáles son las medidas de seguridad que exige el nivel básico?Documento de seguridad - El responsable del fichero debe elaborar e implantar una normativa de

seguridad. - La normativa de seguridad se recoge en el documento de seguridad. - Debe mantenerse actualizado y revisarse cuando se produzcan

cambios relevantes en el sistema. - Debe ser conocido por el personal con acceso a datos personales.¿Qué debe contener el documento de seguridad? 1. Identificación del fichero y los recursos protegidos. 2. Estructura de los ficheros y descripción del sistema de

tratamiento. 3. Procedimiento de seguridad. 4. Procedimientos de notificación, gestión y respuesta ante

incidencias: registro de incidencias. 5. Procedimiento de copias. 6. Funciones y obligaciones del personal con acceso.


Personal con acceso:

- Deben establecerse procesos de identificación y autenticación.

- Cuando el mecanismo de autenticación se base en la existencia de contraseñas debe haber un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad.

- Las contraseñas se cambiarán con la periodicidad que marque el documento de seguridad.

- Debe indicarse el acceso permitido a cada usuario.


Nivel medio Deben implantarse con datos relativos a: - Comisión de infracciones administrativas. - Comisión de infracciones penales. - Hacienda Pública. - Servicios financieros y de solvencia. - Datos que faciliten el perfil del individuo.Las medidas de nivel medio suponen la implantación de las de nivel básico

más: - Nombramiento de uno o más responsables de seguridad.- El documento de seguridad más completo: - Identificación del responsable de seguridad. - Verificación periódica de su cumplimiento. - Medidas en caso de deshecho o reutilización de soporte.Procesos de identificación más exigentes.


- Sistemas informáticos e instalaciones de tratamiento deben auditarse cada dos años.

- Control de acceso físico - Gestión de soportes: Registro de entrada y de salida, en el

que queda registrado la fecha y hora de entrada o salida; tipo y número de soportes; emisor o destinatario y forma de envío; información que contiene y responsable de la recepción o de la entrega.

Nivel alto Ideología, religión, creencias religiosas.Origen racial.Salud, vida sexualDatos recabados para fines policiales.


Medidas de nivel alto: básico, medio, más: - La distribución de soportes se hará cifrando o utilizando cualquier otro medio que garantice que la información no es inteligible ni manipulable.

- Mecanismos técnicos que registren todos los accesos:- Identificación del usuario, fecha y hora.- Fichero accedido y tipo de acceso.- Si ha sido autorizado o denegado.- Los registros de acceso se conservarán dos años.- El responsable de seguridad revisará la información y

elaborará un informe mensual.


Dº INFORMACIÓN EN LA RECOGIDA DE DATOS.

- Existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información.- Carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas.- Consecuencias de la obtención de los datos o de la negativa a suministrarlos.- Posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición.- Identidad y dirección del responsable del tratamiento o, en su caso, de su representante.


CONSENTIMIENTO.

INEQUÍVOCO.

Los datos de carácter personal que hagan referencia a la salud sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente.

REVOCABLE

EXCEPCIONES - Prevención o diagnóstico médico, prestación de asistencia sanitaria o tratamientos médicos o

la gestión de servicios sanitarios, siempre que el tratamiento lo realice un profesional sanitario sujeto a secreto profesional o persona sujeta a obligación equivalente.

- Salvaguardar el interés vital del afectado.- Instituciones sanitarias y profesionales de acuerdo con la legislación sanitaria, respecto a las

personas que acudan a ellas o sean tratados en los mismos.


¿QUÉ DATOS PODEMOS RECABAR?

ADECUADOS

PERTINENTES

NO EXCESIVOS NO USAR FINALIDADES INCOMPATIBLES ACTUALIZADOS CANCELACIÓN CUANDO NO SEAN PERTINENTES PARA FINALIDAD CON LA QUE SE

RECABARON.


DERECHOS DEL INTERESADO

Acceso: Solicitud de sus datos de carácter personal sometidos a tratamiento, origen, comunicaciones realizadas a que se prevén. Plazo contestación de un mes.

Rectificación y cancelación: En caso de datos inexactos o incompletos o de tratamiento no ajustado

a la Ley. Conservación durante los plazos previstos en las disposiciones aplicables o en relaciones contractuales. Plazo contestación 10 días.

Oposición: El interesado se opone al tratamiento de sus datos, salvo que una Ley prevea la

inclusión de datos. Indemnización: Por los daños o perjuicios causados como consecuencia del incumplimiento de la

Ley.


COMUNICACIONES A TERCEROS O CESIÓN DE DATOS

Consentimiento del afectado.

Excepciones al consentimiento

Cesión autorizada por una Ley

Datos recogidos de fuentes de acceso público Tratamiento que responde a una relación jurídica libremente aceptada cuando la comunicación es

necesaria para su desarrollo, cumplimiento o control. Cesiones de datos de salud para solucionar urgencias que requieran acceder a estudios

epidemiológicos.


CONFIDENCIALIDAD DE LOS DATOS

El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.

Vulneración del deber de guardar secreto de los datos de salud:

comisión de infracción muy grave, pudiendo ser sancionada con multa de 50.000.000 a 100.000.000 de pesetas.



www.agenciaprotecciondatos.org GABINETE JURÍDICO – INFORMES ATENCIÓN AL CIUDADANO 913996200 REGISTRO DE FICHEROS 913996229.

http://www.agenciaprotecciondatos.org/





Documents

LEGISLACIÓN DE PROTECCIÓN DE DATOS CONSTITUCIÓN ESPAÑOLA 1978, ARTÍCULO 18.4