Auditoría Pública nº 81. Revista de los órganos autonómicos de control externo

Tecnicas para el control del tratamiento masivo de datos personales en el sector publico sanitario 189 b) Evaluación de Impacto: La evaluación de impacto es un análisis del riesgo cuyo objetivo es permitir a los responsables del tratamiento tomar medidas adecuadas para reducir dichos riesgos (minimizar la probabilidad de su materialización y las consecuencias negativas para los interesados). c) Registro de las actividades de tratamiento: Los res- ponsables y los encargados están obligados siempre en los casos de tratamientos de datos de salud, genéticos o biométricos con independencia de emplear o no a más o menos de 250 personas, a mantener un registro de las actividades de tratamiento que realicen. Este registro debe de contener al menos los siguientes datos: identificación y datos de contacto de responsable, corresponsable, representante y delegado de protección de datos, fines del tratamiento; descripción de categorías de interesados y datos; categorías de destinatarios existentes o previstos (inclusive en terceros países u organizaciones internacionales); transferencias interna- cionales de datos y documentación de garantías para transferencias de datos internacionales exceptuadas sobre base de intereses legítimos imperiosos. d) Nombrar un Delegado de Protección de Datos: Se debe contar con un Delegado de protección de Datos, ya que así lo exige la nueva normativa comunitaria. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes tendrán que tener nombrado un Delegado de Protección de datos y comunicar dicho nombramiento a la AEPD. e) Comunicación de los datos . Es habitual que los datos se comuniquen entre entidades para el mejor tratamiento del paciente. En estos casos, el interesado debe tener constancia de ello, ya que será él quien permita esta transmisión. El responsable del fichero deberá cumplir determinados requisitos: definir en un contrato escrito la regulación del tratamiento de datos por cuenta de un tercero; establecer que ese tercero ( únicamente tratará los datos conforme a sus instrucciones; comprobar que los datos no serán utilizados con fines distintos a los determinados en el contrato, ni serán comunicados a otras personas; el tercero deberá cumplir con las mismas medidas de seguridad que las que cumpla el responsable del fichero (la única excepción a este consentimiento se establece en el caso de que la comunicación de los datos tenga por objeto la prevención, el diagnóstico y la asistencia sanitaria de los afectados a los que se refieren); Mutuas y compañías de seguro (excepcionalmente los datos médicos pueden comunicarse de acuerdo al principio de calidad y únicamente para llevar a cabo la elaboración de la factura del gasto sanitario). f) Facilitar los derechos ARCO: Los pacientes podrán ejercer libremente sus derechos ARCO de acceso, rectificación, cancelación y oposición de su historia clínica. Para ello, el responsable deberá colaborar con ellos, facilitarles un informe o, en su defecto, una copia del mismo. Como conclusión señalamos que las regulaciones actuales como el Reglamento General de Protección de Datos (RGPD) han supuesto un antes y un después en los mecanismos para la seguridad y denuncia de los delitos cibernéticos. La RGPD es fundamental en la protección de datos. Como otras normativas HIPPA en Estados Unidos han ayudado a elevar el nivel de seguridad de los datos médicos. III.2 La ciberseguridad para proteger los datos de salud hospitalarios La seguridad a la hora de compartir los datos de salud, en los que se facilita información privada de los pacientes ha de contar con las garantías tecnológicas apara eradas a los derechos reconocidos a los pacientes y usuarios del sistema nacional de salud. Recordamos que la obligación legal del RGPD afecta a las instituciones sanitarias pública y privadas en el tratamiento de los datos personales. Además, los datos relativos a la salud son considerados como datos sensibles especialmente protegidos, y como una categoría especial de datos perso- nales. Por tanto, el sector sanitario tiene el enorme reto de protegerse ante los ciberataques a nivel mundial. La asistencia sanitaria está cada vez más conectada. La proliferación de soluciones de tecnología médica ha cambiado por completo el panorama de las TIC en las organizaciones sanitarias de todo el mundo. La creciente interconexión de dispositivos médicos y el uso de conexiones remotas para su mantenimiento; la necesidad de monitorear continuamente a los pacientes, incluso los que están fuera del hospital; el uso de teléfonos inteligentes para acceder a información de salud por parte de pacientes y médicos; y la falta de presupuesto para servicios y soluciones de ciberseguridad hace que el sector sanitario sea especialmente vulnerable. La protección de los datos de salud está plagada de una gran cantidad de problemas relacionados con la seguridad cibernética. Estos problemas van desde malware que compromete la integridad de los sistemas y la privacidad de los pacientes hasta ataques de denegación de servicio distribuido (DDoS) que interrumpen la capacidad de las instalaciones para brindar atención al paciente. Es muy importante que en tu hospital o centro médico analices todas las vulnerabilidades existentes para evitar ser víctima de un ciberataque que cause importantes daños al servicio.