La descarga está en progreso. Por favor, espere

La descarga está en progreso. Por favor, espere

1 Agencia Española de Protección de Datos EL MÉDICO Y SUS OBLIGACIONES ANTE LA NORMATIVA DE PROTECCIÓN DE DATOS CRISTINA GÓMEZ PIQUERAS Madrid, 24 de octubre.

Presentaciones similares


Presentación del tema: "1 Agencia Española de Protección de Datos EL MÉDICO Y SUS OBLIGACIONES ANTE LA NORMATIVA DE PROTECCIÓN DE DATOS CRISTINA GÓMEZ PIQUERAS Madrid, 24 de octubre."— Transcripción de la presentación:

1 1 Agencia Española de Protección de Datos EL MÉDICO Y SUS OBLIGACIONES ANTE LA NORMATIVA DE PROTECCIÓN DE DATOS CRISTINA GÓMEZ PIQUERAS Madrid, 24 de octubre de 2006

2 2 Agencia Española de Protección de Datos Legislación sobre Protección de Datos (I) Constitución Española 1978, Artículo 18.4 Ley Orgánica 5/1992, de 29 de octubre, de regulación del Tratamiento Automatizado de Datos de carácter personal (LORTAD) DEROGADA Real Decreto 428/1993, de 26 de marzo, Estatuto de la Agencia de Protección de Datos Real Decreto 1332/1994, de 20 de junio, de desarrollo de la LORTAD

3 3 Agencia Española de Protección de Datos Legislación sobre Protección de Datos (II) Instrucciones: 1/1995, de 1 de marzo, solvencia patrimonial y crédito. 2/1995, de 4 de mayo, contratación seguro de vida y crédito. 1/1996, de 1 de marzo, acceso a edificios. 2/1996, de 1 de marzo, acceso a casinos y salas de bingo. 1/1998, de 19 de enero, acceso, rectificación y cancelación. 1/2000, Transferencias Internacionales 1/2004, Publicación de Resoluciones. Real Decreto 994/1999, de 11 de junio, Reglamento de Medidas de Seguridad LEY ORGÁNICA 15/1999, DE 13 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL REGLAMENTO DE DESARROLLO DE LA LOPD EN TRAMITACIÓN

4 4 Agencia Española de Protección de Datos Legislación sobre Protección de Datos (III) Constitución Europea: -Artículo 50 - Carta de Derechos Fundamentales Ley 41/2002, de 14 de noviembre, reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

5 5 Agencia Española de Protección de Datos DATOS DE SALUD (I) El conocimiento de los datos de salud por terceras personas puede tener consecuencias perjudiciales para el afectado. Punto de partida: ni la LOPD ni la Directiva 95/46/CE establecen un concepto de dato de salud. Semántica: salud es el estado en que el ser orgánico ejerce normalmente todas sus funciones o las condiciones físicas en que se encuentra un organismo en un momento determinado. OMS: el estado de completo bienestar físico, mental o social, y no solamente la ausencia de afecciones o enfermedades.

6 6 Agencia Española de Protección de Datos DATOS DE SALUD (II) Consejo de Europa. Memoria Convenio 108: Datos de carácter personal relativos a la salud informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo, pudiendo tratarse de informaciones sobre un individuo de buena salud, enfermo o fallecido. Igualmente comprenden las informaciones relativas al abuso del alcohol o al consumo de drogas. Recomendación nº R (97) 5: Datos médicos hacen referencia a todos los datos de carácter personal relativos a la salud de una persona, afectando a los datos manifiesta y estrechamente relacionados con la salud así como a las informaciones genéticas.

7 7 Agencia Española de Protección de Datos DATOS GENÉTICOS Recomendación nº R (97) 5: Datos genéticos todos los datos, de cualquier tipo, relacionados con los caracteres hereditarios de un individuo o que, vinculados a dichos caracteres, compongan el patrimonio de un grupo de individuos emparentados. Hace referencia de la misma manera a todos los datos que afecten a intercambios de información genética (genes) de un individuo o línea genética, con relación a cualquier aspecto de la salud o de una enfermedad, constituya o no un carácter identificable.

8 8 Agencia Española de Protección de Datos RESPONSABILIDADES DEL MÉDICO EN EJERCICIO PRIVADO INSCRIPCIÓN DEL FICHERO. INCORPORAR MEDIDAS DE SEGURIDAD. INFORMACIÓN. CONSENTIMIENTO. RECOGIDA DE DATOS ADECUADOS. DERECHOS ACCESO, RECTIFICACIÓN Y CANCELACIÓN. CUSTODIA DE LA HISTORIA CLÍNICA. CONSENTIMIENTO PARA CESIÓN (EXCEPCIONES). CONFIDENCIALIDAD.

9 9 Agencia Española de Protección de Datos INSCRIPCIÓN DE FICHEROS ¿Qué datos se incluyen en la comunicación de inscripción? Origen de los datos. Procedimiento de recogida. Cesiones de datos. Transferencias Internacionales: Destinatarios de las cesiones o transferencias. Medidas de seguridad. Titular del fichero. Dirección. Nombre y descripción del fichero. Ubicación del fichero. Sistemas de tratamiento. Identificación de los datos que se van a tratar. Finalidad y usos del fichero.

10 10 Agencia Española de Protección de Datos MEDIDAS DE SEGURIDAD. Real Decreto 994/1999 Medidas de índole técnica y organizativas necesarias que: Garanticen la seguridad de los datos de carácter personal y Eviten su adulteración, pérdida, tratamiento o acceso no autorizado Todo ello teniendo en cuenta: El estado de la tecnología La naturaleza de los datos almacenados y Los riesgos a que están expuestos, ya provengan de la acción humana del medio físico o natural. EN FICHEROS AUTOMATIZADOS Y EN PAPEL

11 11 Agencia Española de Protección de Datos ¿Cuáles son las medidas de seguridad que exige el nivel básico? (I) Documento de seguridad El responsable del fichero debe elaborar e implantar una normativa de seguridad. La normativa de seguridad se recoge en el documento de seguridad. Debe mantenerse actualizado y revisarse cuando se produzcan cambios relevantes en el sistema. Debe ser conocido por el personal con acceso a datos personales.

12 12 Agencia Española de Protección de Datos ¿Cuáles son las medidas de seguridad que exige el nivel básico? (II) ¿Qué debe contener el documento de seguridad? Identificación del fichero y los recursos protegidos. 2. Estructura de los ficheros y descripción del sistema de tratamiento. 3. Procedimiento de seguridad. 4. Procedimientos de notificación, gestión y respuesta ante incidencias: registro de incidencias. 5. Procedimiento de copias. 6. Funciones y obligaciones del personal con acceso.

13 13 Agencia Española de Protección de Datos ¿Cuáles son las medidas de seguridad que exige el nivel básico? (III) Personal con acceso: Deben establecerse procesos de identificación y autenticación. Cuando el mecanismo de autenticación se base en la existencia de contraseñas debe haber un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad Las contraseñas se cambiarán con la periodicidad que marque el documento de seguridad Debe indicarse el acceso permitido a cada usuario.

14 14 Agencia Española de Protección de Datos Medidas de Seguridad Nivel medio (I) Deben implantarse con datos relativos a: Comisión de infracciones administrativas. Comisión de infracciones penales. Hacienda Pública. Servicios financieros y de solvencia. Datos que faciliten el perfil del individuo.

15 15 Agencia Española de Protección de Datos Medidas de Seguridad Nivel medio (II) Las medidas de nivel medio suponen la implantación de las de nivel básico más: Nombramiento de uno o más responsables de seguridad El documento de seguridad ha de ser más completo: Identificación del responsable de seguridad. Procesos de verificación periódica de su cumplimiento. Medidas en caso de desecho o reutilización de soportes. Procesos de identificación y autentificación más exigentes.

16 16 Agencia Española de Protección de Datos Medidas de Seguridad Nivel medio (III) Los sistemas informáticos y las instalaciones en las que se realicen los tratamientos deben auditarse cada dos años. Control de acceso físico a los locales Gestión de soportes: Registro de entrada y de salida, en el que queden registradas la fecha y hora de entrada o salida Tipo y número de soportes; Emisor o destinatario y forma de envío; Información que contiene y responsable de la recepción o de la entrega.

17 17 Agencia Española de Protección de Datos Nivel alto Aquellos que traten: Ideología, religión, creencias religiosas. Origen racial. Salud, vida sexual Datos recabados para fines policiales.

18 18 Agencia Española de Protección de Datos Medidas de Seguridad Nivel alto (I) Se habrán de instaurar las de nivel básico y medio más: Mecanismos técnicos que registren todos los accesos Identificación del usuario, fecha y hora. Fichero accedido y tipo de acceso. Si ha sido autorizado o denegado. Los registros de acceso se conservarán dos años.

19 19 Agencia Española de Protección de Datos Medidas de Seguridad Nivel alto (II) La distribución de soportes se hará Cifrando o utilizando cualquier otro medio Garantizando que la información no es inteligible ni manipulable. El responsable de seguridad revisará la información y elaborará un informe mensual.

20 20 Agencia Española de Protección de Datos DERECHO DE INFORMACIÓN EN LA RECOGIDA DE DATOS Existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información. Carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas. Consecuencias de la obtención de los datos o de la negativa a suministrarlos. Posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición. Identidad y dirección del responsable del tratamiento o, en su caso, de su representante.

21 21 Agencia Española de Protección de Datos CONSENTIMIENTO Inequívoco Los datos de carácter personal que hagan referencia a la salud sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente. Revocable Excepciones Prevención o diagnóstico médico, prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que el tratamiento lo realice un profesional sanitario sujeto a secreto profesional o persona sujeta a obligación equivalente. Salvaguardar el interés vital del afectado. Instituciones sanitarias y profesionales de acuerdo con la legislación sanitaria, respecto a las personas que acudan a ellas o sean tratados en los mismos. Consentimiento expreso para otras finalidades

22 22 Agencia Española de Protección de Datos ¿QUÉ DATOS PODEMOS RECABAR? Adecuados Pertinentes No excesivos Veraces Actuales Exactos Prohibición recogida determinadas Finalidades explícitas legítimas Contenido fraudulenta desleal ilícita

23 23 Agencia Española de Protección de Datos DERECHOS DEL INTERESADO (I) DERECHOS PERSONALÍSIMOS DERECHOS INDEPENDIENTES FICHEROS AFECTADOS: AUTOMATIZADOS Y PAPEL GRATUITOS SOLICITUD ANTE EL RESPONSABLE OBLIGACIONES DEL RESPONSABLE CONTESTACIÓN EXPRESA SUBSANACIÓN

24 24 Agencia Española de Protección de Datos DERECHOS DEL INTERESADO Acceso: Solicitud de sus datos de carácter personal sometidos a tratamiento, origen, comunicaciones realizadas o que se prevén. Plazo contestación de un mes. Rectificación y cancelación: En caso de datos inexactos o incompletos o de tratamiento no ajustado a la Ley. Conservación durante los plazos previstos en las disposiciones aplicables o en relaciones contractuales. Plazo contestación 10 días. Oposición: El interesado se opone al tratamiento de sus datos, salvo que una Ley prevea la inclusión de datos. Indemnización: Por los daños o perjuicios causados como consecuencia del incumplimiento de la Ley.

25 25 Agencia Española de Protección de Datos DERECHO DE ACCESO CONCEPTO PLAZO: 1 MES + 10 DÍAS FORMA DEL ACCESO Soporte elegido por el reclamante: Visualización en pantalla, escrito, copia o fotocopia remitida por correo, telecopia, cualquier otro procedimiento adecuado Legible Inteligible CONTENIDO DE LA INFORMACIÓN Datos de base del afectado Los resultantes de cualquier elaboración o proceso informático Origen de los datos Cesionarios de los datos Usos y finalidades para los que se almacenaron.

26 26 Agencia Española de Protección de Datos DERECHO DE ACCESO ACCESO LEY 41/2002 EL PACIENTE TIENE EL DERECHO DE ACCESO, CON LAS RESERVAS SEÑALADAS EN EL APARTADO 3 DE ESTE ARTÍCULO, A LA DOCUMENTACIÓN DE LA HISTORIA CLÍNICA Y A OBTENER COPIA DE LOS DATOS QUE FIGURAN EN ELLA (ART. 18.1) LÍMITES: PERJUICIO DEL DERECHO DE TERCERAS PERSONAS A LA CONFIDENCIALIDAD DE LOS DATOS DE SALUD. PERJUICIO DEL DERECHO DE LOS PROFESIONALES; POSIBILIDAD DE OPONER RESERVAS DE SUS ANOTACIONES SUBJETIVAS. ACCESO DATOS PACIENTES FALLECIDOS A LAS PERSONAS VINCULADAS A ÉL, POR RAZONES FAMILIARES O DE HECHO, SALVO QUE EL FALLECIDO LO HUBIESE PROHIBIDO EXPRESAMENTE Y ASÍ SE ACREDITE.

27 27 Agencia Española de Protección de Datos DERECHO DE RECTIFICACIÓN Y CANCELACIÓN CONCEPTO PLAZO: 10 DÍAS FORMA a) Derecho de rectificación: indicar dato erróneo, aportar documentación justificativa b) Derecho de cancelación: el interesado debe indicar si revoca el consentimiento otorgado - La cancelación da lugar al bloqueo de datos y posteriormente se cancelan DENEGACIÓN: Los datos se mantendrán durante los plazos legalmente establecidos o pactados contractualmente.

28 28 Agencia Española de Protección de Datos COMUNICACIONES A TERCEROS O CESIÓN DE DATOS Con carácter general, es necesario el consentimiento del afectado Excepciones: Cesión autorizada por una Ley Tratamiento que responde a una relación jurídica libremente aceptada cuando la comunicación es necesaria para su desarrollo, cumplimiento o control. Cesiones de datos de salud para solucionar urgencias o que requieran acceder a estudios epidemiológicos.

29 29 Agencia Española de Protección de Datos CONFIDENCIALIDAD DE LOS DATOS El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. Vulneración del deber de guardar secreto de los datos de salud: comisión de infracción muy grave, pudiendo ser sancionada con multa de a euros.

30 30 Agencia Española de Protección de Datos CUESTIONES NO RESUELTAS REGULACIÓN ESPECÍFICA DE LA RECOGIDA DE DATOS Y CUMPLIMIENTO DEL DEBER DE INFORMACIÓN AL PACIENTE. QUE PASA CON LAS HISTORIAS CLÍNICAS DE UN MÉDICO PARTICULAR CUANDO FALLECE. REGULACIÓN DEL PROCEDIMIENTO PARA CORREGIR DATOS ERRÓNEOS DE LA HISTORIA CLÍNICA. REGULACIÓN DEL DERECHO DE CANCELACIÓN (DATOS DE ANTIGUAS DROGADICCIONES) CONSECUENCIA: APLICACIÓN SUPLETORIA DE LA LOPD

31 31 Agencia Española de Protección de Datos A. E. P. D. https://www.agpd.es/ Gabinete Jurídico: Informes Atención al ciudadano: Registro de ficheros: Muchas Gracias.


Descargar ppt "1 Agencia Española de Protección de Datos EL MÉDICO Y SUS OBLIGACIONES ANTE LA NORMATIVA DE PROTECCIÓN DE DATOS CRISTINA GÓMEZ PIQUERAS Madrid, 24 de octubre."

Presentaciones similares


Anuncios Google