PLAN DE SENSIBILIZACIÓN EN MATERIA DE PROTECCIÓN DE DATOS

PLAN DE SENSIBILIZACIÓN EN MATERIA DE PROTECCIÓN DE DATOS
Especialmente dirigido a Personal Sanitario y Administrativo del Servicio Andaluz de Salud miércoles, 26 de abril de 2017

PLAN DE SENSIBILIZACIÓN EN MATERIA DE PROTECCIÓN DE DATOS
ÍNDICE Publicación de fotografías Solicitud de acceso a Sistemas de Información Publicación de un estudio epidemiológico Destrucción de documentos antiguos Llevarse trabajo a casa Envío de datos personales por correo electrónico Descargar música y software en el trabajo Ejercicio del derecho de rectificación de datos Videovigilancia Menor agredida atendida en Urgencias Solicitud de datos por la Policía Judicial Cesión de datos a la Sección Sindical Cesión de datos a Hermandades de Donantes La Hª Social en la Instituciones Sanitarias Introducción Terminología Actores Casos prácticos Conclusiones Consecuencias Fuentes de información

LOPD INTRODUCCIÓN: La LEY
La Ley Orgánica de Protección de Datos 15/99 y el Reglamento de medidas de seguridad 1720/07, obligan a los responsables de los ficheros del Servicio Andaluz de Salud (Dirección-Gerencia, Secretaría General, Dirección General de Asistencia Sanitaria, Dirección General de Personal y Desarrollo Profesional y Dirección General de Gestión Económica) a adoptar las medidas necesarias para que el personal que use los sistemas de información conozca las normas que afecten al desarrollo de sus funciones. (Artículos 88.1 y RD 1720/2007).

INTRODUCCIÓN: El Plan de Sensibilización - Objetivo
Los contenidos del PLAN, distribuidos por perfiles profesionales, se centran en el cumplimiento de la Ley Orgánica de Protección de Datos, la aplicación su Reglamento de Desarrollo, la Ley de Autonomía del Paciente, el conocimiento del Manual del Empleado Público de la Junta de Andalucía en el uso de los sistemas informáticos y redes de comunicaciones, así como la difusión de las Instrucciones Internas de la organización relacionadas con estas materias.

INTRODUCCIÓN: El Plan de Sensibilización - Objetivo
El objetivo principal es la sensibilización del 100% de la plantilla del SAS del 2008 al 2011, por lo que este tercer año se pretende alcanzar el 75%. Para ello se procederá a recabar la firma del alumnado como justificante de asistencia. Esta presentación cubre el módulo de formación denominado: Sensibilización en materia de protección de datos (LOPD), 10/2033/0929/GE/P/AI NOTAS PARA EL PROFESOR: En la formación del personal sanitario está contemplado el personal farmacéutico y veterinario.

INTRODUCCIÓN: El Plan de Sensibilización - Coordinación
La coordinación y ejecución del PLAN se realiza desde la Subdirección de Tecnologías de la Información de la Secretaría General del SAS, a través de la Unidad de Gestión de Riesgos Digitales. Esta Unidad lleva a cabo las siguientes actuaciones en materia de protección de datos: Plan de Auditorías Plan de Sensibilización de Centros Coordinación de los ejercicios de derechos de la LOPD Adecuación a la LOPD de los proyectos de Tecnologías de la Información Definición de Políticas y Procedimientos del SAS. Elaboración y actualización del Documento de Seguridad. Inspecciones de la Agencia Española de Protección de Datos. Inspecciones de la Consejería de Justicia y Administración Pública. NOTAS PARA EL PROFESOR: El Plan de Auditorías da cumplimiento a la obligación legal recogida en el RLOPD 1720/07 de ejecutar bienalmente este tipo de actuaciones. En el periodo 2007/2008 se han ejecutado auditorías en 10 centros (hospitales, áreas de gestión sanitaria, distritos y centros de transfusiones de sangre). El Plan de Sensiblización de Centros implica la realización de 30 jornadas en 30 centros diferentes para el 2008

INTRODUCCIÓN: Contenidos implícitos de la sesión
Obligaciones de la LOPD 15/99, RD 1720/07, LAP 41/02, M.C.E.P. Instrucciones Internas del SAS. Consentimiento informado en materia de protección de datos. Circuito de incidencias, registros y acceso a la información Ejercicio de los derechos de acceso, rectificación y cancelación. Deberes del personal en materia de protección de datos y seguridad. Documento de Seguridad de la información corporativa del SAS. Estos contenidos serán expuestos como Casos Prácticos

TERMINOLOGÍA: Datos de Carácter Personal: cualquier información concerniente a personas físicas identificadas o identificables. Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso. Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias. Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado. Consentimiento: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen. Incidencia: cualquier anomalía que afecte o pudiera afectar a la seguridad de los datos. NOTAS PARA EL PROFESOR: La terminología asociada a la LOPD aparece en el artículo 3 La terminología asociada al RD aparece en el artículo 5 Ejemplos: Datos de carácter personal: dni, nombre y apellidos, numero historia clínca, nuhsa,

ACTORES: Es importante reconocer las siguiente figuras que se recogen en el Documento de Seguridad del SAS. Responsable del Fichero: Director Gerente del SAS, Direcciones Generales y Directores de Centros. Responsable de Seguridad: Responsables de Tecnologías de la Información. Responsable Funcional de Aplicación: Directores, Subdirectores y Jefes de Servicio. NOTAS PARA EL PROFESOR: La terminología asociada a la LOPD aparece en el artículo 3 La terminología asociada al RD aparece en el artículo 5

CASO PRÁCTICO 1: Publicación de fotografías
Un profesional de un centro hospitalario está pensando en hacer una publicación que contiene una foto donde aparece dicho profesional junto a un paciente encamado, en la foto se aprecia claramente el rostro de éste último.

Opciones: Se trata de un procedimiento habitual que no implica acción adicional por parte del profesional. El profesional advierte verbalmente al paciente sobre su intención de publicar la foto. El paciente consiente por escrito el empleo de dicha foto para fines distintos a su asistencia sanitaria. El profesional hace uso de la foto distorsionando el rostro del paciente. NOTAS PARA EL PROFESOR: Las opciones correctas son la c) y la d) Las opciones a) y b) son las que se dan con más asiduidad actualmente y se exponen con ejemplos de los que no se debe hacer.

¿Quién me puede asesorar sobre cómo debo actuar?
CASO PRÁCTICO 1: Publicación de fotografías Dudas del profesional: ¿Quién me puede asesorar sobre cómo debo actuar? El Responsable de Seguridad ¿Dónde se encuentra el documento/plantilla de consentimiento/autorización que debo emplear? En el Documento de Seguridad ¿Puedo usar imágenes del centro hospitalario libremente? Normativa del centro sanitario NOTAS PARA EL PROFESOR: La figura del Responsable de Seguridad se describe más adelante, diapositiva 14. Se define en el RD 1720 como “persona o personas a las que el responsable del fichero ha asignado formalmente la función de coordinar y controlar las medidas de seguridad aplicables”. El Documento de Seguridad se describe en el capítulo II, artículo 88 del RD Se define como “un documento/s que recogerá las medidas de índole técnica y organizativa acordes a la normativa de seguridad vigente que será de obligado cumplimiento para el personal con acceso a los sistemas de información”.

Consentimiento informado en materia de protección de datos
CASO PRÁCTICO 1: Publicación de fotografías Normativa aplicable: Consentimiento informado en materia de protección de datos LOPD 15/1999. Artículos 6, 7.3 y 11.1 RD 1720/2007. Artículo 10 LAP 41/2002. Artículo 7 Estatuto Marco del Personal Estatutario 55/2003. Artículo 19.j (Deberes) Documento de Seguridad Figura del Responsable de Seguridad Anexo con plantilla de consentimiento

Casos similares: Uso no asistencial de la radiografía de un paciente. Empleo de DCP de pacientes/profesionales para investigación, congresos, etc. Envíos publicitarios empleando DCP de la Historia Clínica o Contrato. Acceso a la Historia Clínica de un paciente por un médico no involucrado en su diagnóstico o tratamiento. Publicación web (centros, servicios, laboratorios, …) de DCP. Exposición de DCP por megafonía o pantallas de información públicas. Envíos de s conteniendo direcciones de correo de personas distintas al destinatario. Cesión de DCP a terceros (consultoras, laboratorios, …) para su tratamiento.

Conceptos que hay que tener muy claros:
CASO PRÁCTICO 1: Publicación de fotografías Resumen: Conceptos que hay que tener muy claros: Ante cualquier duda sobre el tratamiento de información, consultar al Responsable Funcional de Aplicación o al Responsable de Seguridad. Distinguir cuando se hace un uso acorde a la finalidad declarada de los datos de carácter personal. Los datos de carácter personal son propiedad de su titular, no de quien los custodia. El Responsable del Fichero debe autorizar cualquier uso extraordinario de los datos. El consentimiento y otros anexo interesantes está disponible en el Manual de Seguridad Corporativa del SAS. Notas para el Profesor

Casos real: Notas del profesor: La noticia completa: Los sancionados son considerados autores de una infracción grave de la Ley Orgánica de Protección de Datos (LOPD), motivo por el que se les impone la multa. En las imágenes que han sido investigadas se podía identificar a los transeúntes, por lo que se incumplía el principio de consentimiento de la LOPD, establecido en el artículo 6 de la misma. Las investigaciones comenzaron cuando diversos medios de comunicación publicaron una serie de informaciones en las que se hablaba de la captación y posterior difusión, a través de ''Youtube'', de imágenes en las que aparecían personas en la calle Montera. El pasado 25 de febrero comenzaron a funcionar las 31 cámaras instaladas en la calle de la Montera y en la plaza de Soledad Torres Acosta y su entorno, después de que el Ayuntamiento de Madrid obtuviera la autorización por parte de la Comisión de Videovigilancia. La zona de seguridad cubren las cámaras, 30 móviles y una fija, comprende la calle de la Montera, la Gran Vía, en el tramo comprendido entre la Red de San Luis y la plaza de Callao, y la plaza de Santa María Soledad Torres Acosta y su entorno. La capacidad de almacenamiento de imágenes es de un máximo de siete días, al cabo de los cuales el vídeo se borra. La gestión de la videovigilancia se realiza desde la Unidad de Policía Municipal de la calle de la Montera, que cuenta con el respaldo del centro de integración de CCTV policial (CI-CCTV), donde se reciben todas las imágenes actualmente disponibles. Con posterioridad a su puesta en marcha, miembros de la Asociación Nuevos Vecinos de Montera colgaron en la popular página de Internet ''youtube.es'' más de 30 vídeos con imágenes del trasiego de prostitutas y proxenetas en esta calle, así como de los prostíbulos encubiertos que existen, para mostrar la necesidad urgente de clausurar los inmuebles en los que se desarrollan estas actividades ilegales. Infraccion grave Ahora, la AEPD ha concluido que el hecho de colgar las imágenes en Internet constituye una infracción grave de la Ley Orgánica de Protección de Datos, por lo que ha acordado imponer una multa de 601 euros a sus responsables, según informó a Europa Press un portavoz de la Agencia. No obstante, la AEPD señala en su resolución que la medida de distorsión de imágenes personales adoptada en 20 de los 22 de los vídeos publicados, así como la voluntad de no dañar la intimidad de los viandantes y el deseo de mejorar la seguridad pública de la zona, "ha permitido entender que existe una disminución de la culpabilidad del sancionado, reduciendo la gravosidad de las multas económicas previstas en la LOPD (artículo 45.5 de la LOPD) para este tipo de infracciones". La AEPD recordó que ésta es la primera sanción que se impone por la captación y difusión de imágenes a través de sistemas como ''Youtube'', pero subrayó que en la actualidad hay abiertos otros procedimientos relacionados con este tipo de sistemas En su resolución, la AEPD también explica que la captación y reproducción de imágenes de personas, siempre que permitan la identificación de las mismas, y su publicación en ''YouTube'', accesible para cualquier usuario de Internet, "se encuentra sometida al consentimiento de sus titulares", de conformidad con lo dispuesto en el artículo 6.1 de la LOPD salvo que la Ley lo disponga o salvo las excepciones contenidas en el artículo 6.2 de la LOPD. El citado artículo establece que "no será preciso el consentimiento cuando los datos de carácter personal se recojan para el ejercicio de las funciones propias de las Administraciones Públicas en el ámbito de sus competencias; cuando se refieran a las partes de un contrato o precontrato de una relación negocial, laboral o administrativa y sean necesarios para su mantenimiento o cumplimiento". También señala que el consentimiento no será necesario "cuando el tratamiento de los datos tenga por finalidad proteger un interés vital del interesado, o cuando los datos figuren en fuentes accesibles al público y su tratamiento sea necesario para la satisfacción del interés legítimo perseguido por el responsable del fichero o por el del tercero a quien se comuniquen los datos, siempre que no se vulneren los derechos y libertades fundamentales del interesado".

CASO PRÁCTICO 2: Acceso a los Sistemas de Información
Un profesional de un centro sanitario que se ha incorporado recientemente pretende que su compañero de trabajo le diga su usuario y contraseña para poder entrar en el sistema informático. Este profesional se ha incorporado al trabajo y aún no dispone de usuario y contraseña de acceso. NOTAS DEL PROFESOR:

Le cede su usuario y contraseña de forma temporal.
CASO PRÁCTICO 2: Acceso a los Sistemas de Información Opciones: Conocedor del mecanismo de alta de usuarios, el profesional le crea una cuenta al compañero. El profesional debe advertir al compañero que solicite su usuario y contraseña por el procedimiento establecido. Al tratarse de una información personal e intransferible opta por no dársela. Al tratarse de un compañero que accede con el mismo perfil y a los mismos datos, le puede dejar su usuario y contraseña. Le cede su usuario y contraseña de forma temporal. NOTAS DEL PROFESOR: La respuesta correcta es la b) Las respuesta c) y d) son las que se dan con más frecuencia en los centros sanitarios La respuesta a) se ha dado en algún caso y se debe dejar claro que es la más disparatada de todas.

Dudas del profesional: ¿Quién me puede asesorar sobre cómo debo actuar? La persona Responsable de su Servicio. En el departamento de Informática ó Sistemas de Información del centro. El Responsable de Seguridad ¿Dónde puedo encontrar los formularios para solicitar usuario y contraseña? El procedimiento viene establecido en el Documento de Seguridad. En el Departamento de Informática o de Sistemas de Información. Solicítalos al Responsable de Funcional de Aplicación o al Responsable de Seguridad. ¿Puedo usar usuario y contraseña de otro compañero? No, es personal e intransferible. NOTAS DEL PROFESOR: Reseñar que el Documento de Seguridad y el Manual de Seguridad de la Información Corporativa son la misma cosa. ¿Quién me puede asesorar sobre cómo debo actuar? Se debe considerar la opción de acudir al Responsable Funcional de la Aplicación para solicitar acceso a los Sistemas de Información. En la mayoría de los casos, la figura del Responsable de Servicio/Unidad ejercerá la figura de Responsable Funcional de la Aplicación. ¿Puedo usar usuario y contraseña? La razón de que el usuario y contraseña sea personal e intransferible se encuentra en la asignación de responsabilidades y la trazabilidad.

RD 1720/2007 de 21 Diciembre. Artículo 91, 93
CASO PRÁCTICO 2: Acceso a los Sistemas de Información Normativa aplicable: RD 1720/2007 de 21 Diciembre. Artículo 91, 93 Manual Comportamiento Empleados Públicos. Artículo 7.1 Documento de Seguridad Obligaciones de todo el personal Figura del Responsable Funcional de Aplicación Figura del Responsable de Seguridad Anexo con plantilla de documento de acceso Obligaciones de la LOPD

CASO PRÁCTICO 2: Acceso a los Sistemas de Información Resumen: Conceptos que hay que tener muy claros: Existe un procedimiento para solicitar acceso a los Sistemas de Información Éste debe constar como anexo del Documento de Seguridad y debe estar actualizado por el centro. El Responsable Funcional de Aplicación debe ser la figura a la que el usuario/profesional consulte la mayoría de sus dudas respecto de los datos de carácter personal Las credenciales de un usuario lo vinculan con sus acciones en los Sistemas de Información. Responsabilidades. NOTAS DEL PROFESOR:

Utilización de credenciales de acceso genéricas
CASO PRÁCTICO 2: Acceso a los Sistemas de Información Casos similares: Utilización de credenciales de acceso genéricas Reutilización de credenciales de acceso obsoletas Acceso a Sistemas de Información vulnerando la identificación y autenticación

Caso Real: Notas para el Profesor Texto completo de la noticia en la url

CASO PRÁCTICO 3: Publicación de un estudio epidemiológico
Los miembros de un grupo de investigación de la Universidad, nos piden datos de pacientes para hacer un estudio epidemiológico. Además, pretenden publicar los resultados del estudio en una revista científica. Notas para el Profesor: El caso práctico versa sobre “CESIÓN O COMUNICACIÓN DE DATOS” Nosotros amablemente y de buena fe, les proporcionamos dichos datos, para la realización de dichos estudios o supuestos estudios. No pensamos, o no caemos en ese momento, que esto no se puede hacer sin que tengamos la autorización tanto de los Pacientes como del Responsable Funcional. Comentar, que el nuevo reglamento, ya hace mención también al soporte papel, es decir, no solo a los ficheros automatizados como puede ser una BD Access, Hoja Excel, etc, sino también un Archivador, libreta, nuestras anotaciones, etc...

Opciones: Se trata de un procedimiento habitual que no implica acción adicional por parte del profesional. El profesional advierte verbalmente al que le cede estos datos, para que sea cuidadoso con el manejo de estos datos y que guarde secreto. El profesional se asegura que la entidad o persona a la que le cede los datos, ha sido previamente autorizada para dicha cesión. El profesional, previa autorización del Responsable del Fichero, solo cede datos que no identifican a pacientes (o disociados), ya que para hacer el estudio o el servicio, no es necesario saber la identidad de un paciente. Notas para el Profesor: La correcta sería la c), aunque la d) podría ser correcta, faltaría la autorización del Centro o Responsable Funcional (Referencia en el Documento de Seguridad) También habría que recalcar que entendemos por autorizada: que cumple con las medidas que exige la ley: Autorización de los pacientes y por el Responsable o funcional (Para el caso de datos No disociados)

Dudas del profesional: ¿Quién me puede asesorar sobre cómo debo actuar? El Responsable de Seguridad ¿Puedo ceder libremente datos de mis pacientes, siempre y cuando estén disociados? Normativa Interna del centro y o Responsable Funcional de aplicación ¿Puedo Descargar, guardar o grabar datos para cederlos? No, excepto si contamos con la autorización del Responsable del Fichero o persona en quién delegue (Responsable de Seguridad). ¿Puedo ceder datos a otras Administraciones Públicas? Si a los centros y servicios del Sistema Nacional de Salud . (Sin el consentimiento del Paciente), No en otros casos (Nos haría falta el Consentimiento del Paciente). Notas del Profesor: ¿Quién me puede asesorar sobre cómo debo actuar? El Responsable de Seguridad: Explicar que el centro tiene que tener nombrado un o más Responsables de seguridad, que le asesorará sobre todas estas dudas y le podrá ayudar en el cumplimiento de la LOPD. ¿Puedo ceder libremente datos de mi centro de trabajo, siempre y cuando estén disociados? Normativa Interna del centro y o Responsable Funcional: Puede que exista una serie de personas Autorizadas (Jefes de Servicio, Subdirectores, Personal Facultativo, etc), que están autorizadas por el Responsable Funcional. Como ejemplo, Políticas de Seguridad en el Directorio Activo, mediante grupos de usuarios con privilegios para realizar dichas operaciones, auditándolas en cumplimiento de la LOPD. ¿Puedo Descargar, guardar o grabar datos para cederlos? NO. excepto si contamos con la autorización explicita y por escrito del paciente, y además con la autorización del Responsable del fichero o persona en quien delegue. ¿Puedo ceder datos a otras Administraciones Públicas? Si a los centros y servicios del Sistema Nacional de Salud . (Sin el consentimiento del Paciente), No en otros casos (Nos haría falta el Consentimiento del Paciente para dicho traspaso). (art. 10. párrafo 5 RD1720/2007) En particular, no será necesario el consentimiento del interesado para la comunicación de datos personales sobre la salud, incluso a través de medios electrónicos, entre organismos, centros y servicios del Sistema Nacional de Salud cuando se realice para la atención sanitaria de las personas, conforme a lo dispuesto en el Capítulo V de la Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud.

Documento de Seguridad Figura del Responsable de Seguridad
CASO PRÁCTICO 3: Publicación de un estudio epidemiológico Normativa aplicable: Cesión o comunicación de datos / Consentimiento informado en materia de protección de datos LOPD 15/1999. Artículos 3.c,3.e,6,7.3,8,10,11,21,27,33,34 y 44 RD 1720/2007. Artículo 10 LAP 41/2002. Artículo 7 MCEP 6.2 y 6.11 Documento de Seguridad Figura del Responsable de Seguridad Anexo con plantilla de consentimiento Responsable Funcional de la Aplicación Notas para el Profesor LOPD: LEY ORGÁNICA 15/1999, DE 13 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL RD: REAL DECRETO 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal LAP: Ley 41/2002, de 14 de noviembre, básica reguladora de la Autonomía del Paciente y de derechos y obligaciones en materia de información y documentación clínica MCEP: RESOLUCION de 27 de septiembre de 2004, de la Secretaría General para la Administración Pública, por la que se establece el manual de comportamiento de los empleados públicos en el uso de los sistemas informáticos y redes de comunicaciones de la Administración de la Junta de Andalucía.

Conceptos que hay que tener muy claro:
CASO PRÁCTICO 3: Publicación de un estudio epidemiológico Resumen: Conceptos que hay que tener muy claro: No ceder o comunicar datos, a no ser que sepamos con seguridad que tienen las autorizaciones necesarias. Para DCP No disociados enviados a centros externos al SNS: Necesidad de Autorización del Paciente y Responsable del fichero. Para datos Disociados: Autorización del Responsable funcional de aplicación Registrar la E/S de soportes, tanto en formato electrónico como en Papel Ante cualquier duda consultar el documento de Seguridad o al Responsable de Seguridad del centro Notas para el Profesor Por norma general NO CEDER O COMUNICAR DATOS. Discernir entre datos disociado o no, y tener en cuenta a quien se le cede los datos (Si es a una Administración Pública dentros del SNS,). Registrar la E/S de Soportes. Reflexión: Usted estaría Dispuesto a que su compañero de trabajo, accediera a su Hª C y se la cediera o comunicara a su vecino?

Fundaciones, ONG´s, Laboratorios.
CASO PRÁCTICO 3: Publicación de un estudio epidemiológico Casos similares: Fundaciones, ONG´s, Laboratorios. Familiares de pacientes que nos piden información sobre el estado de un paciente Periodistas o conocidos, que nos piden información sobre un famoso que se encuentra ingresado, o se le ha realizado alguna intervención. Clínicas o empresas privadas, que habitualmente nos hacen estudios radiológicos, analíticas u otros servicios o mantenimientos. Notas para el Profesor Ojo con los familiares o amigos de pacientes, por que nosotros realmente no sabemos la relación que tienen con el paciente. (Situaciones de Malos tratos o abusos) Comentar casos similares que se pueden presentar, preguntar al alumnado que se les ocurre a ellos o si les ha ocurrido alguna vez algo parecido a lo que hemos expuesto.

Caso Real: NOTAS DEL PROFESOR: Se presenta una de las noticias y una sanción de la Agencia española de Protección de Datos (Hay bastantes sanciones, solo hay que entrar en la Web de la agencia para comprobarlo). Pongamos todos de nuestra parte, para que no tengamos que salir en las Noticias por estas causas!!

CASO PRÁCTICO 4: Destrucción de documentos antiguos
Los armarios de la oficina están abarrotados de papeles, muchos de ellos antiguos o copias de trabajo de otros documentos con información que ya no se utiliza para nada. Una limpieza de las estanterías vendría muy bien para hacer espacio...... 31

Podemos ponerlo en las papeleras de reciclaje del hospital.
CASO PRÁCTICO 4: Destrucción de documentos antiguos Opciones: Podemos poner los papeles en cajas y ponerlos en el pasillo para que lo recojan las limpiadoras. Podemos ponerlo en las papeleras de reciclaje del hospital. Solicitamos la autorización del responsable del fichero y destruimos el papel, luego lo enviamos a las papeleras de reciclaje. Lo ponemos en los contenedores de papel de la calle, se los lleva el ayuntamiento para reciclarlos. NOTAS DEL PROFESOR: La opción correcta es la c. Para la salida de soportes y documentación es necesaria la autorización del responsable del fichero o que esté registrada dicha salida en el documento de seguridad. (Art. 92. RD 1720/2007. Gestión de soportes y documentos, en sus párrafos 2 y 4 respectivamente.) REAL DECRETO 1720/2007, Reglamento de desarrollo de la Ley Orgánica 15/1999, de protección de datos de carácter personal. Artículo 92. Gestión de soportes y documentos. 2. La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad. 4. Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior. La opción a no es válida porque no se pueden poner documentos con información de carácter personal en papeleras sin destruirlos previamente (aunque vayan metidas en cajas), la documentación no puede abandonarse en pasillos o estancias no protegidas adecuadamente, quedarían expuestos para el acceso de cualquier persona que pasara por allí incumpliendo los principios de intimidad y confidencialidad del paciente. Por otro lado también estariamos imcumpliendo el deber de secreto. La opción b no es correcta por las mismas razones que la opción a. La opción d además de ser incorrecta, es la más peligrosa al poner la documentación en la calle, con lo cual quedaría expuesta a cualquiera que pasara por la calle. 32

Dudas del profesional: ¿Qué debo hacer para deshacerme del papel inservible? Dependiendo de la información contenida en el papel podemos actuar de forma diferente. Si el papel NO contiene DCP (p.e. estadísticos): Podemos tirarlo directamente a la papelera sin ningún temor respecto a la ley de protección de datos. Si el papel contiene datos personales de pacientes o trabajadores: Es imprescindible destruir el papel por cualquier mecanismo que lo haga ilegible para otras personas antes de tirarlo a cualquier contenedor o papelera. Además es necesaria la autorización del Responsable del Fichero NOTAS DEL PROFESOR: Podría ocurrir que a pesar de tratarse de documentos sin datos personales estuvieran clasificados como “CONFIDENCIALES” por la organización. En ese caso no se está inclumpliendo la LOPD pero si podríamos incumplir reglamentación interna. Para desechar documentación en papel con datos de carácter personal hay que tener en cuentan en primer lugar los derechos a la dignidad humana, la intimidad y la confidencialidad, recogidos en las siguientes leyes: LEY 41/2002, reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. Artículo 7. El derecho a la intimidad Artículo 2. Principios básicos Ley 14/1986, General de Sanidad. Artículo La conservación de la documentación clínica Artículo 10. (sobre los derechos de dignidad e intimidad y confidencialidad) También hay que tener en cuenta lo que dice la LOPD sobre las medidas que deben cumplir los ficheros que contengan datos de carácter personal , secreto profesional y comunicación de datos: LEY ORGÁNICA 15/91999, DE 13 DE DICIEMBRE, DE PROTECCIÓN DE DATOS DE CARÁCTER PERSONAL ARTÍCULO 9. SEGURIDAD DE LOS DATOS 1. El responsable del fichero, y, en su caso, el encargado del tratamiento, deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. 2. No se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas. 3. Reglamentariamente se establecerán los requisitos y condiciones que deban reunir los ficheros y las personas que intervengan en el tratamiento de los datos a que se refiere el artículo 7 de esta Ley. ARTÍCULO 10. DEBER DE SECRETO El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal están obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo. Artículo 11. Comunicación de datos 1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. Es mucho más explicito al respecto el Real decreto 1720/2007 en su artículo 92 sobre gestión de soportes y documentos: REAL DECRETO 1720/2007, Reglamento de desarrollo de la Ley Orgánica 15/1999, de protección de datos de carácter personal. Artículo 92. Gestión de soportes y documentos. 1. Los soportes y documentos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y solo deberán ser accesibles por el personal autorizado para ello en el documento de seguridad. Se exceptúan estas obligaciones cuando las características físicas del soporte imposibiliten su cumplimiento, quedando constancia motivada de ello en el documento de seguridad. 2. La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad. 3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte. 4. Siempre que vaya a desecharse cualquier documento o soporte que contenga datos de carácter personal deberá procederse a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior. También se recogen estos aspectos sobre Gestión de soportes en el documento de seguridad corporativo (en proceso de actualización al nuevo reglamento actualmente) Documento de Seguridad corporativa: Anexo A: Normas y Procedimientos de seguridad Apartado: 6. Procedimiento de Gestión de Soportes Párrafo e. Destrucción de Soportes 33

Dudas del profesional: ¿Qué medidas debo tomar para el almacenamiento de documentos papel con datos de carácter personal? Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero. ¿Qué medidas debo tomar para enviar un documento fuera de los locales donde se encuentran archivados? Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado. Además debe obtenerse la autorización necesaria del responsable del fichero (a través del responsable de aplicación o nuestro superior jerárquico) y registrar la salida en el registro de E/S de información. NOTAS PARA EL PROFESOR: Medidas para el almacenamiento de documentación en papel REAL DECRETO 1720/2007, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de protección de datos de carácter personal. Artículo 111. Almacenamiento de la información. 1. Los armarios, archivadores u otros elementos en los que se almacenen los ficheros no automatizados con datos de carácter personal deberán encontrarse en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave u otro dispositivo equivalente. Dichas áreas deberán permanecer cerradas cuando no sea preciso el acceso a los documentos incluidos en el fichero. 2. Si, atendidas las características de los locales de que dispusiera el responsable del fichero o tratamiento, no fuera posible cumplir lo establecido en el apartado anterior, el responsable adoptará medidas alternativas que, debidamente motivadas, se incluirán en el documento de seguridad. Para el traslado de documentación Artículo 92. Gestión de soportes y documentos. (Nivel Básico) 2. La salida de soportes y documentos que contengan datos de carácter personal, incluidos los comprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad. 3. En el traslado de la documentación se adoptarán las medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte. Artículo 97. Gestión de soportes y Documentos (Nivel Medio) Deberá establecerse un sistema de registro de entrada de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el emisor, el número de documentos o soportes incluidos en el envío y la persona responsable de la recepción que deberá estar debidamente autorizada. Igualmente, se dispondrá de un sistema de registro de salida de soportes que permita, directa o indirectamente, conocer el tipo de documento o soporte, la fecha y hora, el destinatario, el número de documentos o soportes incluidos en el envío, el tipo de información que contienen, la forma de envío y la persona responsable de la entrega que deberá estar debidamente autorizada. Artículo 114. Traslado de documentación. Siempre que se proceda al traslado físico de la documentación contenida en un fichero, deberán adoptarse medidas dirigidas a impedir el acceso o manipulación de la información objeto de traslado. 34

Dudas del profesional: Necesito hacer copias de una documentación, ¿A quien puedo encargar el trabajo de copia? La generación de copias o la reproducción de los documentos únicamente podrá ser realizada bajo el control del personal autorizado en el documento de seguridad. Deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que se evite el acceso a la información contenida en las mismas o su recuperación posterior. NOTAS DEL PROFESOR: REAL DECRETO 1720/2007, Reglamento de desarrollo de la Ley Orgánica 15/1999, de protección de datos de carácter personal. Artículo 112. Copia o reproducción. 1. La generación de copias o la reproducción de los documentos únicamente podrá ser realizada bajo el control del personal autorizado en el documento de seguridad. 2. Deberá procederse a la destrucción de las copias o reproducciones desechadas de forma que se evite el acceso a la información contenida en las mismas o su recuperación posterior. También se recogen estos aspectos sobre Gestión de soportes en el documento de seguridad corporativo (en proceso de actualización al nuevo reglamento actualmente) Documento de Seguridad corporativa: Anexo A: Normas y Procedimientos de seguridad Apartado: 6. Procedimiento de Gestión de Soportes Párrafo e. Destrucción de Soportes 35

Normativa aplicable: LEY 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. LEY 14/1986, de 25 de Abril, General de Sanidad LEY Orgánica 15/1999, de 13 de Diciembre, de Protección de Datos de Carácter Personal. (LOPD) REAL DECRETO 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la LOPD Documento de Seguridad Funciones y Obligaciones del Personal Gestión de Documentos 36

Resumen: Conceptos que hay que tener muy claro: Todos los datos personales, sin importar cual sea su soporte físico debe manejarse con las garantías exigidas en la ley, tanto para su utilización, archivo, custodia y traslado. Los documentos con datos personales deben encontrarse siempre protegidos (p.e. bajo llave) Sólo el personal autorizado puede tener acceso a los documentos en papel Para deshacerse de cualquier documento con datos personales hay que proceder a su destrucción previa de forma que se impida su recuperación posterior. El traslado de la documentación debe realizarse de forma que se impida el acceso a la misma a personas no autorizadas 37

Llevar información fuera de las instalaciones del SAS en portátiles
CASO PRÁCTICO 4: Destrucción de documentos antiguos Casos similares: Envío de información por correo electrónico (especialmente fuera de la red corporativa) Llevar información fuera de las instalaciones del SAS en portátiles pen-drives CD’s o cualquier otro dispositivo de almacenamiento. Envío de imágenes radiológicas identificadas a otro destinatario distinto del propio paciente 38

Casos real: 39

CASO PRÁCTICO 5: Llevarse trabajo a casa
Un profesional de un centro sanitario tiene que trabajar en casa, para lo que necesita llevarse historiales clínicos de pacientes. NOTAS PARA EL PROFESOR: El caso es aplicable a cualquier tratamiento de la información fuera del lugar de trabajo. RD 1720/07-Artículo 81. Aplicación de los niveles de seguridad. 1. Todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico. 2. Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de carácter personal: a) Los relativos a la comisión de infracciones administrativas o penales. b) Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre. c) Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias. d) Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros. e) Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social. f) Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos. 3. Además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal: a) Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. b) Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas. c) Aquéllos que contengan datos derivados de actos de violencia de género. 4. A los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización, se aplicarán, además de las medidas de seguridad de nivel básico y medio, la medida de seguridad de nivel alto contenida en el artículo 103 de este reglamento. 5. En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando: a) Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros. b) Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad. 6. También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos. 7. Las medidas incluidas en cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes que pudieran resultar de aplicación en cada caso o las que por propia iniciativa adoptase el responsable del fichero. 8. A los efectos de facilitar el cumplimiento de lo dispuesto en este título, cuando en un sistema de información existan ficheros o tratamientos que en función de su finalidad o uso concreto, o de la naturaleza de los datos que contengan, requieran la aplicación de un nivel de medidas de seguridad diferente al del sistema principal, podrán segregarse de este último, siendo de aplicación en cada caso el nivel de medidas de seguridad correspondiente y siempre que puedan delimitarse los datos afectados y los usuarios con acceso a los mismos, y que esto se haga constar en el documento de seguridad. 40

Opciones: El profesional coge las carpetas de los historiales clínicos y se los lleva a su casa. El profesional guarda la información en un pen drive y se lo lleva a su casa. El profesional se manda la información mediante un correo electrónico, para luego abrirlo en su casa. El profesional pide autorización al responsable del fichero para llevarse historiales clínicos a casa y se toman las medidas de seguridad pertinentes para evitar el acceso a dichos datos por otras personas. NOTAS DEL PROFESOR: Las opciones a, b, c serían incorrectas, porque no cumplen con los requisitos mínimos exigidos por la ley, que es que tengan autorización por parte del responsable del fichero y que cumplan con las medidas de seguridad oportunas. Serían válidas en el caso de cumplir estos requisitos. La opción d si es correcta porque cumple con los requisitos exigidos por la ley.

Dudas del profesional: ¿Qué procedimiento debe seguir el profesional para poder llevarse las historias clínicas a casa? Pedir la autorización al responsable funcional de la aplicación y después este se lo transmite al responsable del fichero, quien será el encargado de aprobar dicha solicitud. Cumplir con el procedimiento de seguridad del centro en el caso de extracción de datos de salud que al menos deberá incluir las medidas de protección aplicables durante el transporte y en “la casa” y el registro de entrada/salida. 42

Dudas del profesional: ¿Qué procedimiento hay que seguir en caso de pérdida de dicha información? Comunicar la incidencia al responsable funcional de la aplicación, el cual se encargará de comunicárselo al responsable de seguridad y este a su vez al responsable del fichero. El responsable de seguridad se encargará de realizar los trámites para denunciar la pérdida de datos a la Policía. El profesional podrá rellenar la solicitud para incluir la incidencia en el registro de incidencias o bien comunicárselo al responsable funcional, y este se lo comunicará al responsable de seguridad quien será el que tome la decisión de incluir o no dicha incidencia en el registro de incidencias. El procedimiento para registrar incidencias viene en un anexo del documento de seguridad corporativo. 1- El usuario puede rellenar la solicitud de incluir la incidencia en el registro de incidencias 2- El usuario se lo comunica al responsable funcional 3- El responsable funcional se lo comunica al responsable de seguridad y el toma la decisión de si esta incidencia es una incidencia de seguridad o no. 4- El responsable de seguridad será el que valore la incidencia, y si la considera oportuna o valida, realice la inclusión en el registro de incidencias. 43

Dudas del profesional: ¿Qué ocurriría en el caso de no seguir este procedimiento? En este caso se cometería una infracción grave. Como medidas sancionadoras al cometer dicha infracción, la AGPD dictará una resolución estableciendo las medidas que procede adoptar para que se corrijan los efectos de la infracción. La AGPD podrá también iniciar las actuaciones disciplinarias, si procedieran. En el SAS, para depurar responsabilidades se podrá aplicar el régimen disciplinario interno como consecuencia de las actuaciones de la AEPD. Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Artículo 44. Tipos de infracciones. d)Tratar los datos de carácter personal o usarlos posteriormente con conculcación de los principios y garantías establecidos en la presente Ley o con incumplimiento de los preceptos de protección que impongan las disposiciones reglamentarias de desarrollo, cuando no constituya infracción muy grave. h)Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen. Artículo 46. Infracciones de las Administraciones públicas. 1. Cuando las infracciones a que se refiere el artículo 44 fuesen cometidas en ficheros de los que sean responsables las Administraciones públicas, el Director de la Agencia Española de Protección de Datos dictará una resolución estableciendo las medidas que procede adoptar para que cesen o se corrijan los efectos de la infracción. Esta resolución se notificará al responsable del fichero, al órgano del que dependa jerárquicamente y a los afectados si los hubiera. 2. El Director de la Agencia podrá proponer también la iniciación de actuaciones disciplinarias, si procedieran. El procedimiento y las sanciones a aplicar serán las establecidas en la legislación sobre régimen disciplinario de las Administraciones públicas. 44

Normativa aplicable: RD 1720/2007. Artículos 92, 97 y 114. MCEP. Artículos 6.2, 6.3, 6.5 y 6.11. LOPD 15/1999. Artículos 44 y 46. 45

CASO PRÁCTICO 5: Llevarse trabajo a casa Resumen: Conceptos que hay que tener muy claros: El tratamiento de datos de carácter personal fuera de los locales de ubicación del fichero debe ser autorizado por el Responsable del Fichero. Se deberá garantizar el nivel de seguridad adecuado según lo establecido en el Manual de Seguridad. La seguridad abarcará tanto a los equipos del centro de trabajo como de la casa, todos aquellos desde los que se accede o donde aparecen resultados visuales o impresos, así como en los procesos de transmisión de información.

equipos proporcionados por los laboratorios, equipos propios, …
CASO PRÁCTICO 5: Llevarse trabajo a casa Casos similares: Usar equipos o dispositivos no pertenecientes al SAS para desempeñar la actividad profesional dentro del centro sanitario: equipos proporcionados por los laboratorios, equipos propios, … Trabajar desde las instalaciones de: una empresa externa, hotel, cibercafé, ….

Caso real:

CASO PRÁCTICO 6: Envío de Datos Personales por Correo Electrónico
NOTAS PARA EL PROFESOR: El caso es aplicable a cualquier tratamiento de la información fuera del lugar de trabajo. RD 1720/07-Artículo 81. Aplicación de los niveles de seguridad. 1. Todos los ficheros o tratamientos de datos de carácter personal deberán adoptar las medidas de seguridad calificadas de nivel básico. 2. Deberán implantarse, además de las medidas de seguridad de nivel básico, las medidas de nivel medio, en los siguientes ficheros o tratamientos de datos de carácter personal: a) Los relativos a la comisión de infracciones administrativas o penales. b) Aquellos cuyo funcionamiento se rija por el artículo 29 de la Ley Orgánica 15/1999, de 13 de diciembre. c) Aquellos de los que sean responsables Administraciones tributarias y se relacionen con el ejercicio de sus potestades tributarias. d) Aquéllos de los que sean responsables las entidades financieras para finalidades relacionadas con la prestación de servicios financieros. e) Aquéllos de los que sean responsables las Entidades Gestoras y Servicios Comunes de la Seguridad Social y se relacionen con el ejercicio de sus competencias. De igual modo, aquellos de los que sean responsables las mutuas de accidentes de trabajo y enfermedades profesionales de la Seguridad Social. f) Aquéllos que contengan un conjunto de datos de carácter personal que ofrezcan una definición de las características o de la personalidad de los ciudadanos y que permitan evaluar determinados aspectos de la personalidad o del comportamiento de los mismos. 3. Además de las medidas de nivel básico y medio, las medidas de nivel alto se aplicarán en los siguientes ficheros o tratamientos de datos de carácter personal: a) Los que se refieran a datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual. b) Los que contengan o se refieran a datos recabados para fines policiales sin consentimiento de las personas afectadas. c) Aquéllos que contengan datos derivados de actos de violencia de género. 4. A los ficheros de los que sean responsables los operadores que presten servicios de comunicaciones electrónicas disponibles al público o exploten redes públicas de comunicaciones electrónicas respecto a los datos de tráfico y a los datos de localización, se aplicarán, además de las medidas de seguridad de nivel básico y medio, la medida de seguridad de nivel alto contenida en el artículo 103 de este reglamento. 5. En caso de ficheros o tratamientos de datos de ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual bastará la implantación de las medidas de seguridad de nivel básico cuando: a) Los datos se utilicen con la única finalidad de realizar una transferencia dineraria a las entidades de las que los afectados sean asociados o miembros. b) Se trate de ficheros o tratamientos no automatizados en los que de forma incidental o accesoria se contengan aquellos datos sin guardar relación con su finalidad. 6. También podrán implantarse las medidas de seguridad de nivel básico en los ficheros o tratamientos que contengan datos relativos a la salud, referentes exclusivamente al grado de discapacidad o la simple declaración de la condición de discapacidad o invalidez del afectado, con motivo del cumplimiento de deberes públicos. 7. Las medidas incluidas en cada uno de los niveles descritos anteriormente tienen la condición de mínimos exigibles, sin perjuicio de las disposiciones legales o reglamentarias específicas vigentes que pudieran resultar de aplicación en cada caso o las que por propia iniciativa adoptase el responsable del fichero. 8. A los efectos de facilitar el cumplimiento de lo dispuesto en este título, cuando en un sistema de información existan ficheros o tratamientos que en función de su finalidad o uso concreto, o de la naturaleza de los datos que contengan, requieran la aplicación de un nivel de medidas de seguridad diferente al del sistema principal, podrán segregarse de este último, siendo de aplicación en cada caso el nivel de medidas de seguridad correspondiente y siempre que puedan delimitarse los datos afectados y los usuarios con acceso a los mismos, y que esto se haga constar en el documento de seguridad. ¿Se puede enviar la historia clínica de un paciente u otros datos personales del mismo por correo electrónico? 49

CASO PRÁCTICO 6: Envío de datos personales por correo electrónico
Opciones: No. No pueden enviarse datos personales por correo electrónico en ningún caso. Si, pero solo si es en relación a la asistencia médica de los afectados y con el consentimiento de los mismos. No, pues el correo electrónico no es seguro y no hay garantía de que los destinatarios reciban los datos. Si, pero solo podrá hacerlo el personal autorizado y cumpliendo la normativa vigente que garantiza el nivel de protección adecuado. NOTAS PARA EL PROFESOR: Opción correcta: D No es correcta, si pueden enviarse siempre que se cumpla la LOPD Si, pero esto no es suficiente. En general los datos deben ser tratados según la finalidad para la que fueron recogidos cuando se informó al afectado y para la cual dio su consentimiento pero hay excepciones (que veremos mas adelante), pero por otra parte, además deben cumplirse una serie de medidas de seguridad que se describen en la LOPD (autorización del responsable del fichero, cifrado, registro de E/S) Efectivamente no hay garantía de que el destinatario reciba los datos pero esto no es obstáculo para su uso, en la mayoría de los casos el correo electrónico suele llegar a su destino. Lo que si habrá que asegurarse es que los datos vayan cifrados y que solo el destinatario pueda descifrarlos, así aunque accidentalmente lleguen a otra persona esta no tendrá acceso a los mismos. La normativa vigente asegurará que los datos son tratados de acuerdo con la LOPD, con las medidas de seguridad adecuadas, y que solo acceda el personal autorizado. El destinatario está obligado a cumplir también la LOPD por el solo hecho de recibir los datos personales.

Dudas del profesional:
CASO PRÁCTICO 6: Envío de datos personales por correo electrónico Dudas del profesional: ¿Puedo usar mi cuenta de correo particular para enviar o recibir información relacionada con mi trabajo? No, está prohibido terminantemente el uso de otras cuentas de correo distintas de las facilitadas por la Administración de la Junta de Andalucía. ¿Quién tiene que autorizarme para poder enviar los datos personales de pacientes? El envío tiene que ser autorizado por el Responsable del fichero o el Responsable Funcional de la Aplicación en quien este haya delegado La solicitud debe dirigirse al Responsable Funcional de la Aplicación El envío debe registrarse en el Registro de Entrada/Salida de soportes del centro. De esto se encargará el Responsable de Seguridad. NOTAS PARA EL PROFESOR: ¿Puedo usar mi cuenta de correo particular para enviar o recibir información relacionada con mi trabajo? Comentar Artículo 10 (Manual de comportamiento de los empleados públicos) Artículo 10 10.2. Los usuarios tienen prohibido terminantemente el uso en las redes de comunicación de otras cuentas de correo electrónico distintas a las facilitadas por la Administración de la Junta de Andalucía. 10.3. El uso por los usuarios del correo electrónico habilitado por la Administración de la Junta de Andalucía es estrictamente profesional, es decir, para el ejercicio de las funciones que corresponde al puesto de trabajo que desempeñe. ¿Quién tiene que autorizarme para poder enviar los datos personales de pacientes? Artículo 92. Gestión de soportes y documentos. REGLAMENTO LOPD (R.D. 1720/2007) La salida de soportes y documentos que contengan datos de carácter personal, incluidos loscomprendidos y/o anejos a un correo electrónico, fuera de los locales bajo el control del responsable del fichero o tratamiento deberá ser autorizada por el responsable del fichero o encontrarse debidamente autorizada en el documento de seguridad. Comentar brevemente la organización para la seguridad indicada en el Manual de seguridad corporativa y quien asume cada papel en los centros. Comentar también la disponibilidad del documento de seguridad y que en el mismo se recogen las funciones y obligaciones de cada uno de los responsables mencionados. Indicar la información que debe figurar en el Registro de E/S: Tipo de soporte, Fecha y hora de entrada o salida, Emisor (entradas) y destinatario (salidas), Responsable de recepción (entradas) y de entrega (salidas), Tipo de información que contiene, Forma de envío

CASO PRÁCTICO 6: Envío de datos personales por correo electrónico Dudas del profesional: ¿Necesito el consentimiento de los afectados para enviar sus datos personales? No si dicho envío está relacionado con su asistencia y/o tratamiento. Para cualquier otro fin es necesario el consentimiento. Existen excepciones en las cuales no es necesario el consentimiento. Siempre que sea posible se procederá a la disociación de los datos. ¿ Cómo puedo asegurarme de que solamente el destinatario del envío accede a los datos y que estos no han sido modificados en el camino? Mediante el uso de técnicas de cifrado y/o firma digital. El cifrado es obligatorio cuando se envían datos personales fuera de la red corporativa de la Junta de Andalucía-SSPA. La preparación de los datos debe ser validada y autorizada por el Usuario Responsable de la Aplicación/Fichero. Cualquier incidencia al respecto hay que comunicarla al Responsable de Seguridad. NOTAS PARA EL PROFESOR: ¿Necesito el consentimiento de los afectados para enviar sus datos personales? Comentar los artículos 8 y 11 de la LOPD (LEY ORGÁNICA 15/1999) Artículo 8. Datos relativos a la salud Sin perjuicio de lo que se dispone en el artículo 11 respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad . Artículo 11. Comunicación de datos Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. 2. El consentimiento exigido en el apartado anterior no será preciso: Cuando la cesión está autorizada en una Ley. b) Cuando se trate de datos recogidos de fuentes accesibles al público. c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique. d) Cuando la comunicación que deba efectuarse tenga por destinatario al Defensor del Pueblo, el Ministerio Fiscal o los Jueces o Tribunales o el Tribunal de Cuentas, en el ejercicio de las funciones que tiene atribuidas. Tampoco será preciso el consentimiento cuando la comunicación tenga como destinatario a instituciones autonómicas con funciones análogas al Defensor del Pueblo o al Tribunal de Cuentas. e) Cuando la cesión se produzca entre Administraciones Públicas y tenga por objeto el tratamiento posterior de los datos con fines históricos, estadísticos o científicos. f) Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica. Definición de Procedimiento de disociación: Todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable. ¿Cómo puedo asegurarme de que solamente el destinatario del envío accede a los datos y que estos no han sido modificados en el camino? Comentar artículo 104 REGLAMENTO LOPD (R.D. 1720/2007) Artículo 104. Telecomunicaciones. Cuando, conforme al artículo 81.3 deban implantarse las medidas de seguridad de nivel alto, la transmisión de datos de carácter personal a través de redes públicas o redes inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros. Comentar Punto 5 del Apartado Gestión de Soportes del Manual de Seguridad Corporativa: 5. Cuando los datos de un fichero de carácter personal deban ser enviados fuera del recinto físicamente protegido donde se encuentra ubicado el Fichero, bien sea mediante un soporte físico de grabación de datos o bien sea mediante correo electrónico, deberán ser cifrados de forma que sólo puedan ser leídos e interpretados por el destinatario. NOTA IMPORTANTE: Esto es también aplicable al uso de Pen Drive, CD, DVD, etc. Obligaciones del Usuario Responsable de la Aplicación/Fichero (Manual de Seguridad Corporativa) 6.7.2 Gestión de Soportes 1. El Usuario Responsable de la Aplicación/Fichero creará un inventario de soportes y transferencias donde registrará cada soporte que contenga información de carácter personal o confidencial, o cualquier transferencia telemática de dicha información, según el procedimiento de gestión de soportes 2. La preparación de soportes informáticos para su posterior envío, con información clasificada como confidencial o personal de nivel alto, ya sea en formato físico (disquete, CDROM, listado, etc.) o en formato electrónico (correo electrónico), será realizada por el Usuario Responsable de la Aplicación/Fichero. La autorización de la salida la llevará a cabo el Responsable del Fichero (VER NOTA) . NOTA: Sin embargo para una más ágil operativa se establece en el S.A.S. que la autorización será del Usuario Responsable de la Aplicación/Fichero por ser quien vela en su operativa diaria por el cumplimiento de las normas establecidas sobre la información que trata. Algunas herramientas gratuitas: Cifrado de soportes: Truecrypt Blowfish Advancs CS Borrado seguro de soportes: Eraser Smart Data Scrubber Explicar que se considera una incidencia de seguridad

CASO PRÁCTICO 6: Envío de datos personales por correo electrónico Dudas del profesional: ¿ Tengo que tener en cuenta algún requisito adicional cuando se envían datos a un tercero para que este efectúe, por encargo, determinado tratamiento con los datos suministrados (por ejemplo un “mailing” para invitación a un evento)? Debe existir un contrato escrito que regule el tratamiento que realizará el tercero en cuestión y que indique las medidas de seguridad que este (el encargado del tratamiento) está obligado a implementar. Una vez concluida la relación contractual los datos deben ser destruidos o devueltos al responsable del tratamiento. NOTAS PARA EL PROFESOR: Comentar artículo 12 LOPD (LEY ORGÁNICA 15/1999). Artículo 12. Acceso a los datos por cuenta de terceros 1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento. 2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar. 3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento. 4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado, también, responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente. Hacer hincapié en que se considera cesión o comunicación de datos.

Manual de Seguridad Corporativa del SAS
CASO PRÁCTICO 6: Envío de datos personales por correo electrónico Normativa aplicable: Manual de Seguridad Corporativa del SAS Ley 15/1999 de 13 de Diciembre (LOPD) RD 1720/2007 Reglamento Desarrollo LOPD Manual de Comportamiento de los Empleados Públicos en el uso de los Sistemas Informáticos y Redes de Comunicación de la JJ.AA. NOTAS PARA EL PROFESOR:

CASO PRÁCTICO 6: Envío de datos personales por correo electrónico Resumen: Conceptos que hay que tener muy claros: El envío de datos personales por correo electrónico ha de ser autorizado por el Responsable de Aplicación/Fichero el cual debe actuar según la LOPD Debe quedar anotado en el Registro de Entrada/Salida de soportes. La información tiene que enviarse cifrada. Cualquier incidencia de seguridad tiene que comunicarse al Responsable de Seguridad. NOTAS PARA EL PROFESOR:

Envío o transferencia de información en soportes portátiles Pen-drive
CASO PRÁCTICO 6: Envío de datos personales por correo electrónico Casos similares: Envío o transferencia de información en soportes portátiles Pen-drive CD/DVD Disco duro externo PDA Envío o transferencia de ficheros a través de internet FTP HTTP NOTAS PARA EL PROFESOR:

CASO PRÁCTICO 6: Envío de datos personales por correo electrónico
Caso real: NOTAS PARA EL PROFESOR:

CASO PRÁCTICO 7: Descargar música y software en el trabajo
El personal de un centro sanitario, aprovecha el equipo informático que tiene asignado para el desarrollo de sus tareas profesionales, para hacer descargas desde Internet de música, software, etc,….. NOTAS PARA EL PROFESOR: El tema sobre el que versa este caso práctico es “el uso de los equipos informáticos”, regulado por el Manual del Empleado Público de la Junta de Andalucía y la LOPD 58

Opciones: Se trata de un procedimiento habitual entre algunos empleados que no implica ningún riesgo para la confidencialidad de los datos de salud de los usuarios. Se trata de un procedimiento aceptable sólo para aquellos usuarios con los conocimientos informáticos y técnicos adecuados ya que podría implicar cierto riesgo sobre la confidencialidad de los datos de salud Se trata de una práctica inaceptable debido al riesgo que supone para la confidencialidad de los datos de salud Está totalmente prohibido hacer un uso no profesional de los equipos informáticos asignados para desarrollar nuestro trabajo NOTAS PARA EL PROFESOR: La opción correcta es la d , según nos indica el Manual de Comportamiento del empleado público La opción a no es correcta, ya que cierto tipo de software descargado de la red puede ocasionar daño a nuestra información poniendo en peligro su integridad y también su confidencialidad. (Virús, troyanos, spyware, malware…). La opción b no es correcta por las mismas razones que la opción a, el hecho de ser personal con experiencia o conocimientos técnicos o informáticos no autoriza a un uso no profesional de los equipos informáticos El Manual de Comportamiento de empleados públicos en el uso de los sistemas de Información en su Artículo 4. Utilización de los equipos informáticos (ver diapositiva siguiente) regula el uso de los equipos informáticos

Dudas del profesional: ¿Puedo instalar software por mi cuenta en el equipo informático que utilizo para trabajar? Los equipos informáticos sólo puede utilizarse con fines profesionales La utilización de las aplicaciones informáticas tiene una finalidad profesional. Sólo el personal autorizado puede instalar, configurar o desinstalar sistemas y aplicaciones informáticas. Sólo podemos utilizar aquellas aplicaciones informáticas para las que estemos autorizados expresamente. Está expresamente prohibida la instalación de aplicaciones informáticas sin la correspondiente licencia o no adecuándose a la legislación vigente. NOTAS PARA EL PROFESOR: La instalación de software no aprobado por la Administración de la Junta de Andalucía, podría ocasionar conflictos de funcionamiento con las aplicaciones legalmente instaladas y por tanto ocasionar un problema de integridad en los datos. Podría tratarse de software protegido por la propiedad intelectual, en ese caso la instalación por nuestra cuenta podría ser ideal. Manual de Comportamiento de empleados públicos en el uso de los sistemas de Información Artículo 4. Utilización de los equipos informáticos. 4.1. La Administración de la Junta de Andalucía será quién ponga a disposición de los usuarios los medios y equipos informáticos para el cumplimiento de sus obligaciones laborales. En consecuencia, dichos equipos informáticos no están destinados al uso personal o extraprofesional de los usuarios, por tanto, éstos deben conocer que no gozan del uso privativo de los mismos. 4.2. Los usuarios deberán destinar los equipos informáticos de que sean proveídos, a usos compatibles con la finalidad de las funciones del servicio al que se encuentren adscritos y que correspondan a su trabajo. 4.3. Los usuarios deberán cuidar los equipos informáticos que les sean facilitados, no procediendo a alterarlos o modificarlos. 4.4. Los usuarios no tienen permitido conectar a los equipos informáticos que se les provea, otros equipos distintos de los que tengan instalados. 4.5. Los usuarios en ningún caso podrán acceder físicamente al interior de los PC's que tengan asignados para el ejercicio de sus funciones, sólo personal autorizado podrá realizarlo para labores de reparación, instalación o mantenimiento. 4.6. Los usuarios sólo podrán usar equipos que están directamente especificados por la Administración de la Junta de Andalucía. 4.7. Los usuarios deberán abstenerse de manipular los mecanismos de seguridad instalados en los PC's. Artículo 5. Utilización de las aplicaciones informáticas. 5.1. Los usuarios deben hacer uso exclusivamente de las aplicaciones informáticas o versiones de software instalados en sus equipos por la Administración de la Junta de Andalucía. Además, están obligados a seguir las instrucciones o normas que la misma establezca para su empleo. En todo caso, la utilización de las aplicaciones informáticas tiene una finalidad profesional, es decir, destinadas a satisfacer las obligaciones laborales y con el propósito para el que fueron diseñadas e implantadas, por lo que no son idóneas para un uso personal o privado. 5.2. La Administración de la Junta de Andalucía ser la responsable de configurar el sistema operativo, definir las aplicaciones informáticas de uso estandarizado y proceder a su instalación o desinstalación. Sólo tras autorización expresa, dada las características o naturaleza de las aplicaciones informáticas, podrán los usuarios efectuar directamente su instalación. 5.3. Los usuarios en ningún caso podrán borrar o desinstalar las aplicaciones informáticas legalmente instaladas por la Administración de la Junta de Andalucía. 5.4. Los usuarios se limitarán a ejecutar las aplicaciones informáticas para las que están autorizados, que les serán facilitadas por la Administración de la Junta de Andalucía. 5.5. Queda prohibido expresamente la instalación de aplicaciones informáticas sin la correspondiente licencia o no adecuándose a la legislación vigente. 5.6. Las aplicaciones informáticas están protegidas por la propiedad intelectual, por lo tanto, queda terminantemente prohibido el uso, reproducción, modificación, transformación, cesión o comunicación sin la debida autorización, con finalidad externa a la propia de la Administración de la Junta de Andalucía. 5.7. Queda prohibida cualquier actuación que pueda tener consideración de provocadora o intimidatoria en el trabajo, de tal manera, que debe excluirse la instalación o visualización de salvapantallas, fotos, vídeos, comunicaciones u otros medios con contenidos ofensivos, violentos, amenazadores, obscenos o, en general, aquellos que agredan la dignidad de la persona. 5.8. Los usuarios están obligados a cumplir las medidas de seguridad diseñadas por la Administración de la Junta de Andalucía, así como las prevenciones que al efecto se establezcan. Por tanto, no podrán desactivar los programas antivirus ni sus actualizaciones. Tampoco podrán introducir voluntariamente programas, virus, macros o cualquier otro dispositivo lógico o secuencia de caracteres, que causen o sean susceptibles de causar alteración o daño en los recursos informáticos de la Administración de la Junta de Andalucía o en los de terceros. 5.9. Los usuarios están obligados a utilizar exclusivamente los programas antivirus y sus respectivas actualizaciones u otros sistemas de seguridad, destinados a la prevención de la entrada en los Sistemas de Información de cualquier elemento destinado a alterar o dañar los recursos informáticos, que sean instalados por la Administración de la Junta de Andalucía.

Artículo 5. Utilización de las aplicaciones informáticas.
CASO PRÁCTICO 7: Descargar música y software en el trabajo Dudas del profesional: ¿Mi ordenador va un poco lento, puedo desinstalar el antivirus? Los usuarios están obligados a utilizar los antivirus y sus actualizaciones u otros sistemas de seguridad, destinados a la prevención y protección de Sistemas de Información. ¿Puedo desinstalar aplicaciones corporativas instaladas de mi equipo? Los usuarios en ningún caso podrán borrar o desinstalar las aplicaciones informáticas legalmente instaladas por la Administración de la Junta de Andalucía. NOTAS PARA EL PROFESOR: ¿Mi ordenador va un poco lento, puedo desinstalar el antivirus? La desinstalación del software de seguridad supone un grave riesgo para la integridad y la confidencialidad de los datos que manejamos en nuestros equipos. Sin software antivirus o de protección se podría introducir software malware capaz de registrar nuestros usuarios y claves y enviarlos a internet, pudiendo dar acceso a los datos a personas no autorizas. Manual de Comportamiento de empleados públicos en el uso de los sistemas de Información Artículo 5. Utilización de las aplicaciones informáticas. 5.9. Los usuarios están obligados a utilizar exclusivamente los programas antivirus y sus respectivas actualizaciones u otros sistemas de seguridad, destinados a la prevención de la entrada en los Sistemas de Información de cualquier elemento destinado a alterar o dañar los recursos informáticos, que sean instalados por la Administración de la Junta de Andalucía. ¿Puedo desinstalar aplicaciones corporativas instaladas de mi equipo? La desinstalación de software instalado por la administración de la Junta de Andalucía podría ocasionar que otras aplicaciones dejaran de funcionar o no lo hicieran correctamente, lo que puede ocasionar un problema de integridad de los datos. 5.2. La Administración de la Junta de Andalucía ser la responsable de configurar el sistema operativo, definir las aplicaciones informáticas de uso estandarizado y proceder a su instalación o desinstalación. Sólo tras autorización expresa, dada las características o naturaleza de las aplicaciones informáticas, podrán los usuarios efectuar directamente su instalación. 5.3. Los usuarios en ningún caso podrán borrar o desinstalar las aplicaciones informáticas legalmente instaladas por la Administración de la Junta de Andalucía.

Artículo 4. Utilización de los equipos informáticos.
CASO PRÁCTICO 7: Descargar música y software en el trabajo Dudas del profesional: ¿Podemos utilizar los equipos informáticos para usos personales? ¿Puedo tener mis datos, fotos, documentos personales en los equipos que utilizo para trabajar? Los usuarios deberán hacer un uso de los equipos informáticos compatible con la finalidad de las funciones del servicio al que se encuentren adscritos y que correspondan a su trabajo. NOTAS PARA EL PROFESOR: Manual de Comportamiento de empleados públicos en el uso de los sistemas de Información Artículo 4. Utilización de los equipos informáticos. 4.2. Los usuarios deberán destinar los equipos informáticos de que sean proveídos, a usos compatibles con la finalidad de las funciones del servicio al que se encuentren adscritos y que correspondan a su trabajo.

Artículo 4. Utilización de los equipos informáticos.
CASO PRÁCTICO 7: Descargar música y software en el trabajo Dudas del profesional: ¿Puedo instalar o conectar dispositivos hardware a mi equipo de trabajo? Los usuarios deberán cuidar los equipos informáticos que les sean facilitados, no procediendo a alterarlos o modificarlos. Los usuarios no tienen permitido conectar a los equipos informáticos otros equipos distintos de los que tengan instalados. En ningún caso se podrá acceder físicamente al interior de los PC’s. Sólo personal autorizado podrá realizarlo para labores de reparación, instalación o mantenimiento. NOTAS PARA EL PROFESOR: La instalación de hardware por nuestra cuenta podría poner en riesgo el equipo informático Manual de Comportamiento de empleados públicos en el uso de los sistemas de Información Artículo 4. Utilización de los equipos informáticos. 4.1. La Administración de la Junta de Andalucía será quién ponga a disposición de los usuarios los medios y equipos informáticos para el cumplimiento de sus obligaciones laborales. En consecuencia, dichos equipos informáticos no están destinados al uso personal o extraprofesional de los usuarios, por tanto, éstos deben conocer que no gozan del uso privativo de los mismos. 4.2. Los usuarios deberán destinar los equipos informáticos de que sean proveídos, a usos compatibles con la finalidad de las funciones del servicio al que se encuentren adscritos y que correspondan a su trabajo. 4.3. Los usuarios deberán cuidar los equipos informáticos que les sean facilitados, no procediendo a alterarlos o modificarlos. 4.4. Los usuarios no tienen permitido conectar a los equipos informáticos que se les provea, otros equipos distintos de los que tengan instalados. 4.5. Los usuarios en ningún caso podrán acceder físicamente al interior de los PC's que tengan asignados para el ejercicio de sus funciones, sólo personal autorizado podrá realizarlo para labores de reparación, instalación o mantenimiento.

Documento de Seguridad Funciones y Obligaciones del personal
CASO PRÁCTICO 7: Descargar música y software en el trabajo Normativa aplicable: LOPD 15/1999. Artículo 9 Manual de Comportamiento de los Empleados Públicos en el uso de Sistemas. Artículos 4 y 5 Documento de Seguridad Funciones y Obligaciones del personal NOTAS PARA EL PROFESOR:

Resumen: Conceptos que hay que tener muy claros: Los equipos informáticos puestos a disposición de los usuarios están destinados a un uso exclusivamente profesional y éstos no gozan de un uso privativo de los mismos. Las aplicaciones informáticas tienen una finalidad profesional y no son idóneas para un uso personal o privado. Los usuarios se limitarán a ejecutar las aplicaciones informáticas para las que estén autorizados. NOTAS PARA EL PROFESOR:

Instalación de software de procedencia desconocida, software pirata…..
CASO PRÁCTICO 7: Descargar música y software en el trabajo Casos similares: Instalación de Salvapantallas o fondos de escritorio con contenidos ofensivos, violentos u obscenos o que atenten contra la dignidad de las personas. Instalación de software de procedencia desconocida, software pirata….. Utilización de los sistemas de información corporativos para comprobar datos a petición de amigos o conocidos. Desactivación de los sistemas antivirus NOTAS PARA EL PROFESOR:

¿Te gustaría encontrar tu Historia Clínica en Internet?
CASO PRÁCTICO 7: Descargar música y software en el trabajo Caso real: ¿Te gustaría encontrar tu Historia Clínica en Internet? NOTAS PARA EL PROFESOR: La protección de datos 4.000 historias clínicas de abortos se filtran en la Red a través de eMule Protección de Datos sanciona con euros a un centro médico de Bilbao MÓNICA C. BELAZA - Madrid - 25/04/2008 Descargarse música o películas desde el ordenador del trabajo a través de un programa de intercambio de archivos puede tener efectos trágicos y no calculados, causados por quien quizá sólo pretendía meter en su MP3 una canción de David Bisbal. Un error de este tipo ha podido provocar que historias clínicas, de ellas de casos de aborto, acaben expuestos ante cualquier internauta. El centro compartió por error archivos con más de historias clínicas La Policía Local de Ourense encontró la información en las redes p2p Protección de Datos abrió 21 expedientes por filtraciones de este tipo en 2007 Un error de cualquier empleado puede provocar fugas de datos El desconocimiento tecnológico de algún empleado de una clínica ginecológica pudo llevarle a poner a disposición del programa eMule (el más popular de intercambio de archivos entre particulares), y por lo tanto al alcance de millones de personas, todos estos datos, contenidos en una carpeta del disco duro de su ordenador. No se sabe con exactitud quién ha sido el culpable, ni las razones de la filtración, pero la Agencia Española de Protección de Datos (AEPD) acaba de sancionar a la clínica, el centro médico Lasaitasuna, en Bilbao, con euros. Todavía están en plazo para recurrir la resolución. No es un caso único. Es el tercero que sanciona Protección de Datos, que tiene abiertos, además, otros 19 expedientes por asuntos similares. Éste es especialmente grave. Se trata de datos médicos ginecológicos y de urología y, en casos, son historias clínicas relacionadas con interrupciones voluntarias del embarazo, extremadamente sensibles y cuya divulgación afecta a la intimidad de las mujeres. El centro médico ha declinado hacer declaraciones, pero sus responsables afirmaron ante la Agencia de Protección de Datos que desconocían cómo el fichero había acabado en Internet a la vista de cualquiera. No sabían si había sido el error de un empleado o algo premeditado por alguna persona. La Policía Local de Ourense fue la que encontró las historias clínicas en el eMule. Estos agentes se han convertido en una especie de guardianes de la protección de datos en la Red. Ellos han sido quienes han dado la voz de alarma en todos los expedientes abiertos en Protección de Datos en 2007 por denuncias relacionadas con el hallazgo de ficheros con datos de carácter personal en redes p2p (peer to peer, o entre iguales). Una vez conocido el problema, Protección de Datos abrió una inspección. En el centro médico bilbaíno encontraron un fichero de gestión de pacientes igual que el que se había hallado en Internet. En el mismo se podía acceder a datos de las consultas de ginecología, vasectomías e interrupciones de embarazo por aspiración y por píldora. Los registros aparecían asociados a pacientes y a su historia clínica. La clínica implantó de inmediato en su sistema informático medidas de seguridad de nivel alto. Pero por la filtración de los datos ha sido sancionada por "infracción muy grave" con una multa de euros. La sanción podía haber sido mayor -la Ley de Protección de Datos castiga este tipo de infracciones con multas de a euros-, pero se moderó por la colaboración mostrada por la titular del centro a lo largo del procedimiento, que desarrolló "una extensa actividad para evitar la comisión de infracciones en materia de protección de datos de carácter personal", según la resolución de la agencia. "En este caso se trata de un error inexcusable de la clínica, que no tenía las medidas de seguridad necesarias para evitar que se produzca una gravísima filtración de estas características", explica el director de la Agencia de Protección de Datos, Artemi Rallo. "Pero hay que hacer un llamamiento global, lo más alto y claro posible, a todas las empresas, hospitales, bancos, guarderías, colegios, para que extremen las garantías y las cautelas y revisen sus sistemas. Hay que hacer una política activa de formación, información y concienciación. La sociedad de la información tiene ciertos riesgos que deben controlarse, y con estos casos quedan en evidencia las limitaciones de muchos ciudadanos a la hora de usar correctamente las herramientas tecnológicas", añade. Los consejos de Protección de Datos para evitar estos casos son los siguientes: en primer lugar, que la empresa, centro o administración analice si es estrictamente necesario, por razón de los trabajos que se desempeñan, que sus equipos informáticos tengan un software de intercambio de archivos. Si no son necesarios, deben bloquearse. En segundo lugar, habría que establecer medidas adicionales de seguridad para limitar el acceso de los trabajadores a datos tan delicados como los relativos a salud o a los menores. Protección de Datos ha abierto 21 expedientes en 2007 por filtraciones de datos personales a Internet. Uno de los ficheros encontrados contenía datos de los miembros y directivos de una comunidad religiosa; otro hablaba de solicitantes de adopciones internacionales; otro, de miembros de un sindicato. Cinco se referían a datos de clientes de la empresa, tres a historias clínicas filtradas a la Red y otras cinco a datos personales de recursos humanos. "Las administraciones públicas, que son las que promueven la sociedad de la información, tienen que promover en paralelo políticas de concienciación y prevención", concluye Artemi Rallo. "Éstos son errores fatales que se pueden evitar con información suficiente. Los ciudadanos tienen que ser conscientes de que a las descargas en Internet las carga el diablo". Descargas en la Red - España ocupa el primer lugar en Europa y en el mundo en descargas realizadas a través de Internet.- Según los datos de un estudio elaborado en 2007 por la Asociación Europea de Publicidad Interactiva (EIAA), el 58% de los usuarios españoles se bajan discos y el 52% películas o videoclips, mientras que la media europea está en el 37% y el 20%, respectivamente.

CASO PRÁCTICO 8: Ejercicio del derecho de rectificación de datos
Un paciente se dirige a uno de nuestros mostradores para solicitar que se eliminen de su historial unos episodios de urgencias concretos. X El paciente asegura que en esas fechas no ha estado en urgencias y que esos episodios no le corresponden. NOTAS PARA EL PROFESOR: DERECHOS ARCO Derecho de Acceso El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos. Derecho de Rectificación El derecho de rectificación es el derecho del afectado a que se modifiquen los datos que resulten ser inexactos o incompletos. Derecho de Cancelación El ejercicio del derecho de cancelación dará lugar a que se supriman los datos que resulten inadecuados o excesivos, sin perjuicio del deber de bloqueo Derecho de Oposición El derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los ciertos supuestos (como consecuencia de la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique, siempre que una Ley no disponga lo contrario)

Opciones: Informamos al paciente de que no es posible eliminar datos de su historial clínico ya que se trata de datos de salud y no se pueden eliminar ni modificar. Tras comprobar la identidad del paciente, nos aseguramos de que existen esos episodios, y los eliminamos del sistema sin más Informamos al paciente de que puede ejercer su derecho de rectificación y cancelación de datos, sobre el procedimiento para ejercerlo y dirigimos al paciente al Servicio de Atención al Ciudadano para que gestione su petición. Enviamos al paciente a la Dirección Médica para que informen sobre el procedimiento a seguir para corregir sus datos. La opción más correcta es la c) debemos facilitar un medio sencillo al usuario para resolver estos problemas, y encargarnos nosotros de todo para resolverlo. Deben recogerse los formularios y requisitos de identificación que marca la ley y enviar la petición al responsable de aplicación, que a su vez se encargará de hacer las indagaciones oportunas y poner en marcha el procedimiento necesario para contestar de forma positiva o negativa al usuario. (registrar incidencia de seguridad, poner en conocimiento del responsable de seguridad y del equipo técnico responsable del sistema para que modifiquen o eliminen los datos erróneos) El plazo de respuesta en este caso es de diez días hábiles. Esto no significa que los datos sean corregidos en dicho plazo. RD 1720/2007 Artículo 24. Condiciones generales para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición. Párrafo 2, Párrafo 4, Párrafo 5 Artículo 25. Procedimiento. Párrafo 1 al 6 Art. 4. Calidad de los datos Párrafo 1 , Párrafo 3, Párrafo 4, Párrafo 6 Art. 16. Derecho de Rectificación y Cancelación Párafo 1, Párrafo 2 Art. 17. Procedimiento de Oposición, acceso, rectificación o cancelación Párrafo 1

Dudas del profesional: ¿ Y si el usuario que solicita el cambio no es el propio paciente? Los derechos de acceso, rectificación, cancelación y oposición son personalísimos y será ejercidos por el afectado. Los derechos serán denegados cuando la solicitud sea formulada por persona distinta del afectado y no se acreditase que la misma actúa en representación de aquél. RD 1720/2007 Artículo 23. Carácter personalísimo Párrafo 1 Los derechos de acceso, rectificación, cancelación y oposición son personalísimos y serán ejercidos por el afectado. Párrafo 2 Tales derechos se ejercitarán: a) Por el afectado, acreditando su identidad, del modo previsto en el artículo siguiente. b) Cuando el afectado se encuentre en situación de incapacidad o minoría de edad que le imposibilite el ejercicio personal de estos derechos, podrán ejercitarse por su representante legal, en cuyo caso será necesario que acredite tal condición. c) Los derechos también podrán ejercitarse a través de representante voluntario, expresamente designado para el ejercicio del derecho. En ese caso, deberá constar claramente acreditada la identidad del representado, mediante la aportación de copia de su Documento Nacional de Identidad o documento equivalente, y la representación conferida por aquél. Cuando el responsable del fichero sea un órgano de las Administraciones públicas o de la Administración de Justicia, podrá acreditarse la representación por cualquier medio válido en derecho que deje constancia fidedigna, o mediante declaración en comparecencia personal del interesado. Párrafo 3 Los derechos serán denegados cuando la solicitud sea formulada por persona distinta del afectado y no se acreditase que la misma actúa en representación de aquél.

Dudas del profesional: ¿Y si la solicitud nos llega por otros medios distintos al servicio de Información del Centro, o presento su solicitud en un mostrador equivocado? Debemos atender la solicitud aun cuando el usuario no hubiese utilizado el procedimiento establecido, siempre que el interesado haya utilizado un medio que permita acreditar el envío y la recepción de la solicitud y que esta cumpla los requisitos necesarios. Además, cualquier personal con acceso a datos de carácter personal tiene la obligación de conocer el procedimiento para el ejercicio de los derechos del usuario. RD 1720/2007 Artículo 24. Condiciones generales para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición. Párrafo 5 El responsable del fichero o tratamiento deberá atender la solicitud de acceso, rectificación, cancelación u oposición ejercida por el afectado aún cuando el mismo no hubiese utilizado el procedimiento establecido específicamente al efecto por aquél, siempre que el interesado haya utilizado un medio que permita acreditar el envío y la recepción de la solicitud, y que ésta contenga los elementos referidos en el párrafo 1 del artículo siguiente. Artículo 25. Procedimiento. Párrafo 6 El responsable del fichero deberá adoptar las medidas oportunas para garantizar que las personas de su organización que tienen acceso a datos de carácter personal puedan informar del procedimiento a seguir por el afectado para el ejercicio de sus derechos.

¿Y si no tenemos datos de dicho paciente?
CASO PRÁCTICO 8: Ejercicio del derecho de rectificación de datos Dudas del profesional: ¿Y si no tenemos datos de dicho paciente? Tenemos la obligación legal de contestar a la solicitud independientemente de si tenemos datos personales del paciente o no ¿Y si la solicitud presentada no cumple con los requisitos exigidos por la ley? Tenemos la obligación legal de ponernos en contacto con el usuario y requerir la subsanación de los errores detectados en su solicitud. RD 1720/2007 Artículo 25. Procedimiento. Párrafo 2 El responsable del tratamiento deberá contestar la solicitud que se le dirija en todo caso, con independencia de que figuren o no datos personales del afectado en sus ficheros. Párrafo 3 En el caso de que la solicitud no reúna los requisitos especificados en el apartado primero, el responsable del fichero deberá solicitar la subsanación de los mismos.

CASO PRÁCTICO 8: Ejercicio del derecho de rectificación de datos Dudas del profesional: ¿Y si un paciente se acerca a información para pedir que le demos todos sus datos? El paciente tiene el derecho de acceso a sus datos, el tratamiento de que está siendo objeto, el origen de dichos datos y las comunicaciones realizadas o previstas de sus datos. ¿Puede excluirse alguna información? El derecho al acceso del paciente a la documentación de la historia clínica no puede ejercitarse en perjuicio del derecho de terceras personas a la confidencialidad de los datos que constan en ella recogidos en interés terapéutico del paciente, ni en perjuicio del derecho de los profesionales participantes en su elaboración, los cuales pueden oponer al derecho de acceso la reserva de sus anotaciones subjetivas. RD 1720/07-Artículo 27. Derecho de acceso Párrafo 1 El derecho de acceso es el derecho del afectado a obtener información sobre si sus propios datos de carácter personal están siendo objeto de tratamiento, la finalidad del tratamiento que, en su caso, se esté realizando, así como la información disponible sobre el origen de dichos datos y las comunicaciones realizadas o previstas de los mismos. LAP 41/02-Artículo Derecho de acceso a la historia clínica

CASO PRÁCTICO 8: Ejercicio del derecho de rectificación de datos Dudas del profesional: ¿Puedo mostrarle al usuario sus datos usando una de nuestras pantallas para ello? Podemos dar la información solicitada al usuario mediante: Visualización en pantalla Escrito, copia o fotocopia remitida por correo, certificado o no Telecopia Correo electrónico u otros sistemas de comunicación electrónicos Cualquier otro sistema adecuado ofrecido por el responsable del fichero En cualquier caso, nos corresponde a nosotros demostrar la prueba de cumplimiento del deber de respuesta RD 1720/2007 Artículo 28. Ejercicio del derecho de acceso. Párrafo 1 Al ejercitar el derecho de acceso, el afectado podrá optar por recibir la información a través de uno o varios de los siguientes sistemas de consulta del fichero: a) Visualización en pantalla b) Escrito, copia o fotocopia remitida por correo, certificado o no. c) Telecopia d) Correo electrónico u otros sistemas de comunicación electrónicas. e) Cualquier otro sistema que sea adecuado a la configuración o implantación material del fichero o a la naturaleza del tratamiento, ofrecido por el responsable. Artículo 25. Procedimiento. Párrafo 5 Corresponderá al responsable del tratamiento la prueba del cumplimiento del deber de respuesta al que se refiere el apartado 2, debiendo conservar la acreditación del cumplimiento del mencionado deber.

Dudas del profesional: Pero tenemos tantos sistemas y ficheros.... ¿Tengo que darle todos los datos de todos los sistemas de información que disponemos? El usuario puede solicitar el acceso a todos sus datos o a una parte de ellos. En circunstancias de especial complejidad que lo justifiquen, podremos solicitar del afectado la especificación de los ficheros respecto de los cuales quiere ejercitar su derecho. en cuyo caso, tendremos que facilitarle una relación de todos ellos. Artículo 27. Derecho de acceso Párrafo 2 En virtud del derecho de acceso el afectado podrá obtener del responsable del tratamiento información relativa a datos concretos, a datos incluidos en un determinado fichero, o a la totalidad de sus datos sometidos a tratamiento. No obstante, cuando razones de especial complejidad lo justifiquen, el responsable del fichero podrá solicitar del afectado la especificación de los ficheros respecto de los cuales quiera ejercitar el derecho de acceso, a cuyo efecto deberá facilitarle una relación de todos ellos.

Dudas del profesional: ¿De cuanto tiempo disponemos para contestar a la solicitud de acceso a sus datos de un usuario? El plazo máximo establecido por la ley es de un mes (de fecha a fecha), aún en el caso de no disponer de datos de carácter personal del usuario que lo solicita. ¿Y si el paciente lo que quiere es que elimine todos sus datos de nuestros sistemas? La cancelación de los datos de carácter personal no procederá cuando éstos deban ser conservados durante los plazos previstos por la ley o debido a las relaciones contractuales entre las partes que justifican el tratamiento de los datos. NOTAS PARA EL PROFESOR: ¿De cuanto tiempo disponemos para contestar a la solicitud de acceso a sus datos de un usuario? RD 1720/2007 Artículo 29. Otorgamiento del acceso Párrafo 1 El responsable del fichero resolverá sobre la solicitud de acceso en el plazo máximo de un mes a contar desde la recepción de la solicitud. Transcurrido el plazo sin que de forma expresa se responda a la petición de acceso, el interesado podrá interponer la reclamación prevista en el artículo 18 de la Ley Orgánica 15/1999, de 13 de diciembre. En el caso de que no disponga de datos de carácter personal de los afectados deberá igualmente comunicarse en el mismo plazo. ¿Y si el paciente lo que quiere es que elimine todos sus datos de nuestros sistemas? Artículo 33. Denegacion de los derechos de rectificación y cancelación La cancelación no procederá cuando los datos de carácter personal deban ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado que justificaron el tratamiento de los datos. Párrafo 2 Podrá también denegarse los derechos de rectificación o cancelación en los supuestos en que así lo prevea una ley o una norma de derecho comunitario de aplicación directa o cuando éstas impidan al responsable del tratamiento revelar a los afectados el tratamiento de los datos a los que se refiera el acceso. Párrafo 3 En todo caso, el responsable del fichero informará al afectado de su derecho a recabar la tutela de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las Comunidades Autónomas, conforme a lo dispuesto en el artículo 18 de la Ley Orgáncia 15/1999, de 13 de diciembre.

Dudas del profesional: ¿Y cuando un paciente ingresado no desea que nadie conozca su estancia en el centro? El paciente podrá ejercer su derecho de oposición como consecuencia de motivos legítimos y fundados, referidos a su concreta situación personal, que lo justifique, siempre que una Ley no disponga lo contrario RD 1720/2007 Artículo 34. Derecho de oposición El derecho de oposición es el derecho del afectado a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los siguientes supuestos: a) Cuando no sea necesario su consentimiento para el tratamiento, como consecuencia de la concurrencia de un motivo legítimo y fundado, referido a su concreta situación personal, que lo justifique, siempre que una Ley no disponga lo contrario. b) Cuando se trate de ficheros que tengan por finalidad la realización de actividades de publicidad y prospección comercial, en los términos previstos en el artículo 51 de este reglamento, cualquiera que sea la empresa responsable de su creación. c) Cuando el tratamiento tenga por finalidad la adopción de una decisión referida al afectado y basada únicamente en un tratamiento automatizado de datos de carácter personal, en los términos previstos en el artículo 36 de este reglamento.

Consentimiento informado en materia de protección de datos
CASO PRÁCTICO 8: Ejercicio del derecho de rectificación de datos Normativa aplicable: Consentimiento informado en materia de protección de datos LOPD 15/1999. Títulos II y III RD 1720/2007. Título III LAP 41/2002. Art. 4, 5 y 18 LGS. Art. 10 Documento de Seguridad Figura del Responsable de Seguridad Procedimiento para el Ejercicio de los Derechos de Oposición, Acceso, Rectificación o Cancelación de Datos de Carácter Personal

Solicitudes de copias de historia clínicas
CASO PRÁCTICO 8: Ejercicio del derecho de rectificación de datos Casos similares: Solicitudes de copias de historia clínicas Modificación o Eliminación de informes clínicos erróneos Solicitud de restricción de acceso a la información de un paciente hospitalizado Solicitud de accesos a la historia clínica de un paciente

CASO PRÁCTICO 8: Ejercicio del derecho de rectificación de datos Resumen: Conceptos que hay que tener muy claros: El usuario tiene los derechos de Acceso, Rectificación, Cancelación y Oposición (ARCO) que puede ejercer en cualquier momento La organización tiene la obligación de disponer y regular los procedimientos para el ejercicio de estos derechos por parte de los usuarios. Disponemos de diez días hábiles para responder a los derechos de rectificación, cancelación y oposición y de un mes para el derecho de acceso. El silencio administrativo no es posible en el ejercicio de estos derechos. Notas para el Profesor

Caso real: NOTAS PARA EL PROFESOR: La url de la resolución:https: //

CASO PRÁCTICO 9: Videovigilancia
La Comisión de Dirección de un centro sanitario está pensando en instalar cámaras de videovigilancia para proteger las instalaciones, el equipamiento y garantizar la seguridad de las personas. NOTAS PARA EL PROFESOR: 82

Opciones: Delegar la implantación y gestión a la empresa privada de seguridad contratada por el centro. Encargar al Servicio de Informática la implantación de los dispositivos y recursos necesarios y a Servicios Generales su gestión. Tanto la opción a) como la b) son correctas pero además habría que comunicar a la AEPD el nuevo fichero. Proceder acorde a las normas corporativas al respecto que marca la Secretaría General del SAS y que desarrolla la UGRD. NOTAS PARA EL PROFESOR: Las opciones a,b y c no son correctas por muchas razones, pero principalmente porque se actúa de forma individual sin atender las normas corporativas. d) Es la respuesta correcta. El desarrollo de la misma sería el siguiente esquema/procedimiento: Consultar a la Unidad de Gestión de Riesgos Digitales sobre el estado de publicación del fichero de videovigilancia, cuya publicación es centralizada y no por centro. Las cámaras deben estar homologadas por la CEE La empresa de seguridad instaladora debe estar homologada por el Ministerio del Interior si el sistema conecta con central de alarmas. Informar a los profesionales/empleados de la intención de instalar cámaras y de quien es el responsable del fichero. Comunicar a los representantes de los trabajadores. Artículos 64.1 y 64.5 del Estatuto de los trabajadores. Tener a disposición de los interesados impresos en los que se detalle la información prevista en el artículo 5.1 de la Ley Orgánica 15/1999 y para que ejerciten sus derechos. Instalar cartelería/distintivos según formato de la AEPD personalizado para el SAS por la UGRD Si existe grabación de imágenes, deberán realizarse copias de respaldo al menos con carácter semanal Mensualmente deberán cancelarse (bloquearse) los datos grabados

Dudas del profesional: ¿Hay condiciones a considerar antes de implantar un sistema de videovigilancia? Toda instalación deberá respetar el principio de proporcionalidad, lo que en definitiva supone, siempre que resulte posible, adoptar otros medios menos intrusivos a la intimidad de las personas, con el fin de prevenir interferencias injustificadas en los derechos y libertades fundamentales. El uso de cámaras o videocámaras no debe suponer el medio inicial para llevar a cabo funciones de vigilancia por lo que, desde un punto de vista objetivo, la utilización de estos sistemas debe ser proporcional al fin perseguido, que en todo caso deberá ser legítimo. NOTAS PARA EL PROFESOR: Esta información ha sido recavada de la Instrucción 1/2006 de la AEPD.

Dudas del profesional: ¿Qué pasos debo seguir para actuar correctamente? Contactar con la UGRD para asesoramiento e información. Las videocamaras deben estar homologadas por la CEE. La empresa de seguridad instaladora/gestora debe estar autorizada por el Ministerio del Interior si el sistema conecta con central de alarmas. Se debe informar a los empleados de la intención de instalar cámaras y de quien es el responsable del fichero. Comunicar a los representantes de los trabajadores esta decisión. Tener a disposición de los interesados impresos informativos e impresos para el ejercicio de sus derechos. Instalar distintivos/carteles según formato de la AEPD. Realizar copias de respaldo de las imágenes grabadas al menos semanalmente. Mensualmente deberán cancelarse (bloquearse) los datos grabados. NOTAS PARA EL PROFESOR: Es importante recoger la relación entre el centro sanitario y la empresa de seguridad en un contrato de “encargado de tratamiento”

Dudas del profesional: ¿Quién se encarga de publicar en BOJA el fichero de videovigilancia?, ¿quién lo notifica a la AEPD? La UGRD elaborará un borrador de documento para su publicación. La Subdirección de Ordenación y Organización de la Secretaría General del SAS formaliza el borrador y emite los informes correspondientes. Secretaría General aprueba y traslada la publicación a la Dirección Gerencia del SAS. Dirección Gerencia aprueba y traslada la publicación a la Consejera de Salud quien finalmente firma la publicación. La notificación a al AEPD la lleva a cabo la UGRD por delegación del Responsable del Fichero a través del sistema NOTA. NOTAS PARA EL PROFESOR:

Dudas del profesional: ¿Qué implicaciones tiene el hecho de que las videocámaras sólo captaran imágenes para su reproducción? Cuando sólo se reproducen las imágenes captadas en tiempo real, sin proceder a la grabación o almacenamiento de las mismas, no es necesario publicar y notificar el fichero. Al no existir fichero, no proceder el ejercicio de los derechos ARCO. ¿Es necesario informar sobre la ubicación de las videocámaras atendiendo a LOPD? No, solo se establece que debe colocarse un distintivo informativo en lugar visible, tanto en espacios abiertos como cerrados. NOTAS PARA EL PROFESOR:

Dudas del profesional: ¿Es necesario el consentimiento escrito de los profesionales que aparecen en las imágenes grabadas? El Estatuto de los Trabajadores (ET) faculta al “empresario” para adoptar las medidas oportunas de vigilancia para verificar el cumplimiento de las obligaciones laborales, guardando la consideración debida a la dignidad humana... El ET legitima el tratamiento de imágenes sin consentimiento sólo si el trabajador ha sido debidamente informado mediante al menos un distintivo informativo en lugar visible e impresos a disposición de los trabajadores en los que se detalle la información del art LOPD. Además, los datos no podrán ser utilizados para fines distintos a los antes descritos. NOTAS PARA EL PROFESOR: El artículo que contiene el texto original del Estatuto de los Trabajadores es el 20.3 El artículo de la LOPD que soporta el último punto es el 4.2. El informe jurídico de la AEPD que versa sobre la “no necesidad de consentimiento” es el 0006/2009. Respecto al deber de información <<… el tratamiento de las imágenes por el responsable del tratamiento, le obliga a cumplir con el deber de informar a los afectados, en los términos establecidos en el artículo 5.1 de la LOPD que dispone, “los interesados a los que se soliciten datos personales deberán ser previamente informados de modo expreso, preciso e inequívoco: De la existencia de un fichero o tratamiento de datos de carácter personal, de la finalidad de la recogida de éstos y de los destinatarios de la información; Del carácter obligatorio o facultativo de su respuesta a las preguntas que les sean planteadas; De las consecuencias de la obtención de los datos o de la negativa a suministrarlos; De la posibilidad de ejercitar los derechos de acceso, rectificación, cancelación y oposición; De la identidad y dirección del responsable del tratamiento o, en su caso, de su representante”. >> Esto queda recogido en el informe jurídico de la AEPD

Dudas del profesional: ¿En algún momento se han de borrar las imágenes grabadas? El plazo máximo que se establece para la “cancelación” de los datos es de un mes. Esto debe entenderse como un bloqueo y no como un borrado. La eliminación real de la información estará sujeta a los plazos de prescripción de responsabilidades (20 años como máximo para delitos penales) en el caso de que estas hubieran surgido durante el periodo de conservación de las imágenes. La copia de respaldo de la grabación está sometida a los mismos plazos para la supresión de los datos que el original. NOTAS PARA EL PROFESOR: Esta información queda recogida de forma detallada en el informe jurídico de la AEPD que lleva por nombre: Necesidad de copia de respaldo en ficheros de videovigilancia

Dudas del profesional: ¿Puede grabarse cualquier lugar dentro del espacio de trabajo? No, la instalación deberá atenerse a la verificación del cumplimiento de las obligaciones, a razones de seguridad laborales y en especial velar porque se garantice la intimidad. Estará terminantemente prohibida la grabación en aquellos espacios del lugar de trabajo donde pudiera vulnerarse la dignidad del sujeto grabado, como pudieran ser vestuarios, baños, duchas,... NOTAS PARA EL PROFESOR: El detalle de la información expuesta en esta diapositiva puede localizarse en el documento de INTECO que lleva por nombre “guía de videovigilancia”

Artículo 3. Definiciones Directiva 95/46/CE en su Considerando 14
CASO PRÁCTICO 9: Videovigilancia Normativa aplicable: Ley Orgánica 1/1982 de 5 de Mayo, de Protección Civil del Derecho al Honor, a la Intimidad Personal y Familiar y a la Propia Imagen. LOPD 15/1999. Artículo 3. Definiciones Directiva 95/46/CE en su Considerando 14 Instrucción 1/2006 de 8 de Noviembre, de la AEPD. Ley 25/2009 (Ómnibus) Estatuto de los Trabajadores. RDL 1/1995. Artículo 20.3 NOTAS PARA EL PROFESOR:

Actuar según normas corporativas. Consultar a la UGRD.
CASO PRÁCTICO 9: Videovigilancia Resumen: Conceptos que hay que tener muy claros: Actuar según normas corporativas. Consultar a la UGRD. Verificar la homologación de las videocamaras. Verificar la autorización de la empresa de seguridad encargada si hay conexión con central de alarmas. Establecer un contrato de encargado de tratamiento. Informar a empleados y representantes de los mismos. Disponer de impresos para el ejercicio de derechos. Instalar distintivos en los lugares adecuados Cumplir con los procedimientos y plazos de grabación y copia de respaldo. NOTAS PARA EL PROFESOR:

CASO PRÁCTICO 10: Menor agredida atendida en Urgencias
Una chica de 15 años acude sola al Servicio de Urgencias de un centro sanitario para solicitar asistencia médica. La joven, en apariencia consciente de sus actos, presenta una herida leve en la cabeza. NOTAS PARA EL PROFESOR: 94

Opciones: El profesional alude la necesidad de llamar a los padres o tutores de la menor (15 años) antes de diagnosticarla y tratarla. Diagnosticar a la menor y prescribirle el tratamiento correspondiente y posteriormente mandar a los padres/tutores informe de la asistencia dada su minoría de edad. Proporcionar el tratamiento requerido por la menor dado que su edad, según la LAP, la equipara a un adulto. Entrevistarse con la menor, verificar su estado y nivel de madurez, informarle y recomendarle, iniciar tratamiento si procede de lo anterior y registrar en la historia clínica. NOTAS PARA EL PROFESOR: La opción a) Esta opción no es correcta en tanto que incumple el artículo 9.3.c de la LAP al basarse únicamente en la edad del menor y no en el nivel de madurez. Además no es necesario el consentimiento de los padres o tutores si el menor es considerado maduro. La opción b) No es correcta puesto que no se hace una valoración de la madurez de la menor previa a su tratamiento. La opción c) No es correcta puesto que primero debe valorarse la madurez de la menor. La opción d) Es la respuesta más correcta, aunque siempre es susceptible de mejora dada la limitación de espacio intrínseco a una diapositiva.

Dudas del profesional: ¿Cómo debo proceder ante un menor que requiere asistencia? NOTAS PARA EL PROFESOR:

Entre los 12 y 16 años procede la valoración de madurez.
CASO PRÁCTICO 10: Menor agredida atendida en Urgencias Dudas del profesional: ¿Cómo determino la MADUREZ del menor en cuestiones que afecta a su salud (p.e. realización de diagnósticos o tratamientos médicos? Entre los 12 y 16 años procede la valoración de madurez. Los criterios que han sido propuestos para establecer el grado de madurez incluyen: comprensión adecuada de la información dada y de su situación, capacidad de fundamentar de modo razonable los motivos de su decisión y de ponderar los riesgos y beneficios de la misma . Si existen dudas, se puede obtener la opinión de otro profesional sanitario (psicólogos, psiquiatras,…) Scielo España NOTAS PARA EL PROFESOR: Ordenamiento jurídico español (Código Civil) A los 12 años deben ser oídos en temas de separación matrimonial y otros que les afecten directamente. Con 14 años pueden otorgar testamento Con 14 años y con dispensa judicial ,pueden contraer matrimonio Con 16 años se pueden emancipar, así como obtener, judicialmente el beneficio de la mayor edad .La Ley 41/2002 establece a los 16 años una nueva mayoría de edad de tipo médico aunque no exista emancipación.

Dudas del profesional: ¿Cómo determino la MADUREZ en cuestiones que afecta al tratamiento de datos de carácter personal (p.e. derechos ARCO o cesiones de datos)? El ordenamiento jurídico español reconoce en los mayores de catorce años la suficiente capacidad de discernimiento y madurez para adoptar por sí solos determinados actos de la vida civil. …la minoría de edad no supone una causa de incapacitación, por lo que aquélla habrá de ser analizada en cada caso concreto a los efectos de calificar la suficiencia en la prestación del consentimiento en atención a la trascendencia del acto de disposición y a la madurez del disponente. Por tanto, los mayores de 14 disponen de las condiciones de madurez para prestar el consentimiento al tratamiento. Los menores de 14 precisan evaluación de madurez. AEPD – Informe NOTAS PARA EL PROFESOR:

Dudas del profesional: ¿Puedo informar a los padres/tutores del menor maduro? Disponer de la información sanitaria de los hijos es fundamental para poder velar adecuadamente por la salud de los mismos, por ello, la AEPD entiende que el Código Civil (art. 154) habilita la cesión de la información sanitaria a quienes ostenten la patria potestad (no a cualesquiera familiares). AEPD – Informe Hay que actuar de forma diferente ante la sospecha, con datos objetivos, de maltratos o abusos. Asesoramiento Servicios Sociales. Mientras hay un proceso de separación, puede que uno de los padres pida información sobre su hijo/a para utilizarla en el procedimiento legal. Tanto si el menor es maduro como si es inmaduro, se dará la información estrictamente necesaria a los tutores (habitualmente los dos padres), evitando, entrar en dinámicas que faciliten convertir el/la menor en excusa para la disputa. NOTAS PARA EL PROFESOR: Si el menor tiene menos de 14 años, el acceso a la información por parte de los padres es considerado como un ejercicio del derecho de acceso de la LOPD dado que estos representan al menor. Si el menor tiene entre 14 y 18 años, el acceso a la información por parte de los padres es considerado como una cesión de datos que estaría habilitada por ley (art. 154 del Código Civil) Si el afectado tiene 18 años o más, deja de ser menor.

actúe con arreglo a lo establecido en la LAP, artículos:
CASO PRÁCTICO 10: Menor agredida atendida en Urgencias Dudas del profesional: ¿Qué consecuencias puedo tener si actúo acorde a los criterios del menor maduro? Dado que el menor de edad puede prestar su consentimiento en el tratamiento o utilización de fármacos una vez considerado maduro por el médico, éste queda exento de consecuencia jurídica alguna siempre que: actúe con arreglo a lo establecido en la LAP, artículos: 8 sobre el consentimiento informado 9 sobre límites del consentimiento informado y representación. 10 sobre condiciones de la información y consent. escrito … y anote en la historia clínica los criterios objetivos que le sirvieron para considerar la madurez del menor de 16 años. NOTAS PARA EL PROFESOR:

Dudas del profesional: ¿El consentimiento médico del menor maduro es aplicable también a la IVE (interrupción voluntaria del embarazo)? No, cierto es que la reforma de la ley del aborto o ley de plazos suprime el permiso paterno para que una joven mayor de 16 años pueda abortar. ¿Y a los ensayos clínicos? En estos temas, el consentimiento médico se rigen por lo establecido con carácter general sobre la mayoría de edad y por las disposiciones especiales de aplicación. Según el Código Civil, la mayoría de edad se alcanza a los 18 años. NOTAS PARA EL PROFESOR: LAP Artículo 9. Límites del consentimiento informado y consentimiento por representación. Apartado 4 La interrupción voluntaria del embarazo, la práctica de ensayos clínicos y la práctica de técnicas de reproducción humana asistida se rigen por lo establecido con carácter general sobre la mayoría de edad y por las disposiciones especiales de aplicación. Código Civil Artículo 315. La mayor edad empieza a los 18 años cumplidos. Para el cómputo de los años de la mayoría de edad se incluirá completo el día del nacimiento.

Código Penal y Código Civil Ley de Protección Jurídica del Menor
CASO PRÁCTICO 10: Menor agredida atendida en Urgencias Normativa aplicable: Código Penal y Código Civil Ley de Protección Jurídica del Menor Decreto 246/2005, derecho de los menores a recibir atención sanitaria adaptada a su desarrollo. Ley General de Sanidad Constitución Española Artículo 10.1 RD 1720/2007 Artículo 13. Consentimiento para el tratamiento de datos de menores de edad. LAP 41/2002. Artículo 5, 3. NOTAS PARA EL PROFESOR: Marco jurídico La Constitución Española de 1978 determina como límite explícito para las libertades de expresión e información "la protección de la juventud y de la infancia" (art. 20.4), y establece que "los niños gozarán de la protección prevista en los acuerdos internacionales que velan por sus derechos" (art. 39.4). En cuanto a los acuerdos internacionales la Convención sobre los Derechos del Niño de 1989, en su art.16 reconoce el derecho del niño a "no ser objeto de injerencias arbitrarias o ilegales en su vida privada. ni de ataques a su honra y reputación", concretando que el niño tiene "derecho a la protección de la ley contra tales injerencias o ataques". El Código Civil, de 1998, en su artículo 162 establece excepciones en la representación legal de menores no emancipados por parte de los padres que ostentan su patria potestad: "1. los actos relativos a derechos de la personalidad u otros que el hijo, de acuerdo con las leyes y con sus condiciones de madurez, puede realizar por sí mismo. 2. Aquellos en que exista conflicto de intereses entre los padres y el hijo". El derecho a la salud y el derecho a la sexualidad son Derechos de la Personalidad, por lo tanto el menor maduro no necesita, para ejercerlos, representación legal.8 La Ley de Protección Jurídica del Menor (1/1996 de 15 de enero) continúa en la misma línea y contempla a los menores de edad como "sujetos activos, participativos y creativos, con capacidad de modificar su propio medio personal y social; de participar en la búsqueda y satisfacción de sus necesidades y en la satisfacción de las necesidades de los demás". El nuevo enfoque de la ley "consiste fundamentalmente en el reconocimiento pleno de la titularidad de derechos en los menores de edad y de una capacidad progresiva para ejercerlos"; esto se hace efectivo en el capítulo dedicado a "los derechos del menor", reconociendo, entre otros, el derecho al honor, a la intimidad y a la propia imagen (art. 4), el derecho a la información (art. 5), el derecho a la libertad ideológica (art. 6), el derecho a ser oído (art. 9). Además, para garantizar estos derechos, la ley contempla que "las limitaciones a la capacidad de obrar de los menores se interpretarán de forma restrictiva", estableciendo que la carga de prueba la debe aportar aquel que se sitúe en contra del ejercicio de esos derechos por el menor. En cuanto a la legislación que regula el derecho a la salud, la Ley General de Sanidad (14/1986, de 25 de abril) establece que "todos tienen los siguientes derechos con respecto a las distintas administraciones públicas sanitarias: (.) A la libre elección entre las opciones que le presente el responsable médico de su caso, siendo preciso el previo consentimiento escrito del usuario para la realización de cualquier intervención, excepto en los siguientes casos: (.) cuando no esté capacitado para tomar decisiones, en cuyo caso, el derecho corresponderá a sus familiares o personas a él allegadas" (art.10.6). El Convenio relativo a los Derechos Humanos y a la Biomedicina (Oviedo, 1997; vigente desde el 2000) contempla la figura del menor y afirma que "(.) la opinión del menor será tomada en consideración como un factor que será tanto más determinante en función de su edad y su grado de madurez" (art. 62). Sin duda, en este marco legislativo, ha sido de suma relevancia la implantación de la Ley de Autonomía del Paciente (41/2002, de 14 noviembre). Esta nueva ley incluye de modo genérico la figura del menor de edad en sus artículos 2-8,10 y 12 estableciendo que "el titular del derecho a la información es el paciente" y que "toda persona tiene derecho a que se respete el carácter confidencial de los datos referentes a su salud" ya que en el art. 11, en el que hace referencia al documento de instrucciones previas, lo excluye de modo explícito. Esta ley hace referencia al consentimiento informado por representación cuando el menor de edad no sea capaz intelectual ni emocionalmente de comprender el alcance de una decisión (Art. 9.3c): ".el consentimiento lo dará el representante legal del menor después de haber escuchado su opinión si tiene doce años cumplidos. Cuando se trate de menores no incapaces ni incapacitados, pero emancipados o con dieciséis años cumplidos, no cabe prestar el consentimiento por representación. (.) En caso de actuación de grave riesgo, los padres serán informados y su opinión será tenida en cuenta para la toma de la decisión correspondiente". De esto se deduce que la mayoría de edad médica se alcanza a los dieciséis años, exista o no emancipación; como excepciones el artículo 9.4 establece el aborto, los ensayos clínicos y las técnicas de reproducción asistida, para los que se mantiene la mayoría de edad legal (18 años). Para aquellos menores con edades comprendidas entre los 12 y 16 años, según se desprende de la ley, es necesario establecer el grado de madurez en cada caso individual; la persona encargada de determinarlo ha de ser el médico. Si el facultativo tiene dudas puede recurrir a la ayuda de otros profesionales como psicólogos o psiquiatras.9 Además, la Instrucción 2/1993 de la Fiscalía General del Estado sobre la función del Ministerio Fiscal y el derecho a la intimidad de los menores, recuerda que el Ministerio debe intervenir en defensa de los derechos del menor en aquellos problemas que puedan surgir, incluso cuando entran en conflicto con los intereses de sus padres o tutores legales. Cabe destacar que en caso de ingreso hospitalario es preciso avisar a los padres del ingreso y de los procedimientos que haya autorizado el menor maduro, teniendo en cuenta que si los padres o tutores no están de acuerdo deberá prevalecer la decisión del menor.10

PROBLEMAS DE SALUD QUE NO SUPONE RIESGO VITAL
CASO PRÁCTICO 10: Menor agredida atendida en Urgencias Casos similares: PROBLEMAS DE SALUD QUE NO SUPONE RIESGO VITAL Heridas o traumas leves. Chequeos médicos. Análisis de embarazo positivo. Alergias Contagios PROBLEMAS DE SALUD GRAVE QUE NO REQUIEREN ATENCIÓN INMEDIATA Tumor VIH NOTAS PARA EL PROFESOR: La embriaguez, incluido el coma etílico, o la ingesta de drogas no son casos similares en tanto que el paciente menor no es consciente y por tanto se considera incapacitado para consentir.

La edad del menor es muy relevante en estos casos.
CASO PRÁCTICO 10: Menor agredida atendida en Urgencias Resumen: Conceptos que hay que tener muy claros: La edad del menor es muy relevante en estos casos. Debe existir un procedimiento claro dentro del centro de actuación ante asistencia a menores. El menor maduro tiene capacidad de consentir tratamiento de DCP y tratamiento sanitario. Es posible informar a los padres o tutores, bien por iniciativa del profesional o bien por el ejercicio del derecho de acceso de estos. No todos los procesos asistenciales se rigen por estas pautas. Abortos, ensayos clínicos y técnicas de reproducción asistida. NOTAS PARA EL PROFESOR:

CASO PRÁCTICO 11: Solicitud de datos por la Policía Judicial
En un Centro Médico de Atención Primaria, dos agentes de la Unidad de Policía Judicial de la Policía Autonómica, solicitan varios datos administrativos y de salud de un paciente. Los agentes no disponen de mandamiento judicial ni requerimiento previo del Ministerio Fiscal. NOTAS PARA EL PROFESOR: 106

Opciones: Tras consultar a su Responsable Funcional de Aplicación, el profesional actúa en consecuencia. Puesto que atender la solicitud de los agentes supondría una cesión de datos según la LOPD, el profesional solicita el previo consentimiento del paciente. Proporcionar la información tras determinar que los supuestos y categorías de datos solicitados son necesarios para la prevención de un peligro real. El profesional se niega a proporcionar los datos solicitados puesto que los agentes no disponen de mandato judicial. NOTAS PARA EL PROFESOR: La opción a) Puede ser correcta si el RFA da las instrucciones adecuadas recogidas en las diapositivas “Dudas del profesional” La opción b) No sería correcta si el motivo de la solicitud por parte de las Fuerzas y Cuerpos de Seguridad está limitada a aquellos supuestos y categorías de datos que resulten necesarios para la prevención de un peligro real y grave para la seguridad pública o para la represión de infracciones penales. Sería parcialmente correcta en caso contrario. Parcialmente porque no es suficiente sólo con obtener el consentimiento. La opción c) Sería la más correcta de las respuestas, aunque deben considerarse otros aspectos incluidos en las diapositivas de “Dudas del profesional” La opción d) No es correcta puesto que la razón alegada no es suficiente. Hay casos como el que expone la opción c que posibilitan la entrega de datos a la policía judicial.

Dudas del profesional: ¿Qué debo tener en cuenta antes de entregar los datos? Debe quedar acreditado que la obtención de los datos resulta necesaria para la prevención de un peligro real y grave para la seguridad pública o para la represión de infracciones penales. Tratándose de datos especialmente protegidos, estos deben ser absolutamente necesarios para los fines de una investigación concreta. Se debe tratar de una petición concreta y específica, al no ser compatible con lo señalado anteriormente el ejercicio de solicitudes masivas de datos. La petición se debe efectuar con la debida motivación, que acredite su relación con los supuestos que se han expuesto. Informe 133/2008 de la AEPD NOTAS PARA EL PROFESOR:

Dudas del profesional: ¿Qué sucede con los datos una vez en poder de la Unidad de Policía Judicial? Los datos deben ser cancelados “cuando no sean necesarios para las averiguaciones que motivaron su almacenamiento”. La Policía Judicial está obligada a dar cuenta de los hechos a la Autoridad Judicial y Fiscal de forma inmediata (art de la Ley Orgánica del Poder Judicial), por tanto la cancelación de datos se tornará en destrucción una vez producida esa comunicación (cesión). Conforme dispone el artículo 11.2 d) de la Ley Orgánica 15/1999, procederá la cesión si ésta tiene por destinatario al Ministerio Fiscal o los Jueces o Tribunales. NOTAS PARA EL PROFESOR:

Dudas del profesional: Entonces, ¿estoy obligado a dar información a la Unidad de Policía Judicial siempre? No, sólo en relación con aquellos supuestos en los que la Policía Judicial requiere la cesión de los datos con el fin de ejercitar las funciones de averiguación del delito y detención del responsable, y no existir en ese caso mandamiento judicial o requerimiento del Ministerio Fiscal que dé cobertura a la cesión. ¿La Policía Nacional o Local y la Guardia Civil merecen la misma consideración que la Policía Judicial? En este caso, a juicio de la AEPD, nos encontramos ante el ejercicio por los efectivos de la Policía Judicial de funciones que, siéndoles expresamente reconocidas por sus disposiciones reguladoras, se identifican con las atribuidas, con carácter general, a todos los miembros de las Fuerzas y Cuerpos de Seguridad del Estado. NOTAS PARA EL PROFESOR: Las Fuerzas y Cuerpos de Seguridad del Estado tienen como misión proteger el libre ejercicio de los derechos y libertades y garantizar la seguridad ciudadana mediante el desempeño de las siguientes funciones: · Prevenir la comisión de actos delictivos. · Investigar los delitos para descubrir y detener a los presuntos culpables, asegurar los instrumentos, efectos y pruebas del delito, poniéndolos a disposición del Juez o Tribunal competente y elaborar los informes técnicos y periciales procedentes. · Captar, recibir y analizar cuantos datos tengan interés para el orden y la seguridad pública, y estudiar, planificar y ejecutar los métodos y técnicas de prevención de la delincuencia. Las funciones de investigación de los delitos tipificados en las leyes penales, así como la de la averiguación de sus autores, preservando los intrumentos, efectos y pruebas del delito es lo que se denomina Policía Judicial. Esta función corresponde exclusivamente a las Fuerzas y Cuerpos de Seguridad del Estado (Cuerpo Nacional de Policía y Guardia Civil), teniendo un carácter de colaborador las Policías Autónomas y los Cuerpos de Policía Local. Tanto la Policía Autónoma de Andalucía como la Policía Local de grandes ciudades (Granada, Sevilla, Málaga...) dispone de unidades de Policía Judicial, con funciones concretas de investigación judicial.

Dudas del profesional: Concretamente, ¿debo facilitar a la Unidad de Policía Judicial copia de los partes de lesiones extendidos a ciudadanos que son presentados por la policía para reconocimiento médico? En el supuesto planteado el parte de lesiones es recabado por la policía con el objeto de elaborar el atestado con las diligencias practicadas, que debe remitirse a la autoridad judicial en un plazo máximo de 24 horas, según el artículo 295 de la Ley de Enjuiciamiento Criminal. Por lo tanto, el requisito de la existencia de una investigación concreta queda cumplido y, de acuerdo con esto, los centros de salud deben facilitar a la policía judicial una copia de los partes de lesiones. Debe recordarse que, si bien la LOPD facilita a las Fuerzas y Cuerpos de Seguridad el tratamiento de los datos necesarios en el ejercicio de sus funciones, no ampara el mantenimiento indefinido de los mismos. (1 de 2) NOTAS PARA EL PROFESOR:

Dudas del profesional: Concretamente, ¿debo facilitar a la Unidad de Policía Judicial copia de los partes de lesiones extendidos a ciudadanos que son presentados por la policía para reconocimiento médico? En relación a esta copia, y con el fin de agilizar el trámite de recepción en el Órgano Judicial, la Ley Orgánica 8/2002, de 24 de Octubre, complementaria de la Ley de reforma parcial de la Ley de Enjuiciamiento Criminal, sobre procedimiento para el enjuiciamiento rápido e inmediato de determinados delitos y faltas y de modificación del procedimiento abreviado (“Ley de juicios rápidos”) establece en su artículo ª que “la Policía Judicial solicitara del facultativo o personal sanitario que atendiere al ofendido, copia del informe relativo a la asistencia prestada para su unión al atestado policial”, no suponiendo la entrega del parte una inobservancia del deber de sigilo profesional, tratándose de un claro ejemplo de secreto derivado. El Médico. Formación Práctica en Bioética en Atención Primaria (2 de 2) NOTAS PARA EL PROFESOR:

Dudas del profesional: ¿Qué procedimientos del Documento de Seguridad estoy obligado a cumplir? Además de las consideraciones anteriores se debe cumplir con: El procedimiento para la cesión de datos, haciendo uso del formulario para la cesión de datos a las Fuerzas y Cuerpos de Seguridad. El procedimiento de gestión de soportes, resaltando el apartado de entrada/salida y el registro asociado donde debe hacerse constar información relativa a: tipo de soporte, fecha y hora de entrada o salida, emisor, destinatario, identificación del soporte, descripción breve del contenido y forma de envío. NOTAS PARA EL PROFESOR:

Ley Orgánica 6/1985 del Poder Judicial Artículo 549.1
CASO PRÁCTICO 11: Solicitud de datos por la Policía Judicial Normativa aplicable: LOPD 15/1999 Artículos 11.2 y 22.2 RD 1720/2007 Artículo 10 Ley Orgánica 6/1985 del Poder Judicial Artículo 549.1 Ley Orgánica 2/1986 de Fuerzas y Cuerpos de Seguridad. Ley de Enjuciamiento Criminal. Artículos 295, ª Resoluciones SAS 0023/01 y 111/03. Instrucción octava, puntos 1. NOTAS PARA EL PROFESOR:

Cuerpos de Policía dependientes de las Comunidades Autónomas
CASO PRÁCTICO 11: Solicitud de datos por la Policía Judicial Casos similares: El presente caso, dada la especificidad del mismo, sólo da cobertura a las solicitudes de datos provenientes de las Fuerzas y Cuerpos de Seguridad, a saber: Fuerzas y Cuerpos de Seguridad del Estado, dependientes del Gobierno de la nación Guardia Civil Cuerpo Nacional de Policía Cuerpos de Policía dependientes de las Comunidades Autónomas Policía Autónoma (Ertzaintza, Policía Foral, Mozos de Escuadra, BESCAM) Cuerpos de Policía dependientes de las Corporaciones Locales Policía Local, Municipal o Guardia Urbana NOTAS PARA EL PROFESOR:

CASO PRÁCTICO 11: Solicitud de datos por la Policía Judicial Resumen: Conceptos que hay que tener muy claros: La solicitud debe acreditar la prevención de un peligro o la represión de infracciones penales. Debe tratarse de una petición absolutamente necesaria, concreta y específica. La Policía Judicial está obligada a dar cuenta de los hechos a la Autoridad Judicial y Fiscal de forma inmediata. Cualquier agente de las Fuerzas y Cuerpos de Seguridad tiene esta capacidad de solicitud de datos. Los centros sanitarios deben entregar una copia de los partes de lesiones. Esta cesión de datos debe cumplir con el procedimiento de E/S de información. NOTAS PARA EL PROFESOR:

CASO PRÁCTICO 12: Cesión de datos a la Sección Sindical
La Sección Sindical de CC.OO. de un Área de Gestión Sanitaria dirige escrito a la Dirección Económico-Administrativa en el que solicita la plantilla de personal, por categorías y servicios, ZBS, o dispositivos de apoyo, especificando el tipo de vinculación y fecha desde la que la persona se encuentra vinculada con contratos sucesivos al AGS sin cese efectivo. NOTAS PARA EL PROFESOR: Este caso práctico es analizado considerando como público objetivo el personal funcionario (fijo, interino o eventual) de la Administración Pública y no el personal laboral, siendo esta la razón por la cual no se aplica las consideraciones al respecto del Estatuto de los Trabajadores (comité de empresa) y si en cambio las del Estatuto Básico del Empleado Público (junta de personal). 118

Opciones: Atendiendo al Estatuto de los Trabajadores, al art. 64 que recoge las competencias del Comité de Empresa, esta cesión estaría habilitada sin necesidad del consentimiento de los afectados. Es posible llevar a cabo la comunicación de los datos solicitados siempre y cuando la organización cuente con el consentimiento de todos y cada uno de los afectados. La función de vigilancia y protección de las condiciones del trabajo propia de los representantes de los trabajadores puede llevarse a cabo sin una cesión masiva de datos. La solicitud debe ser emitida por la Junta de Personal y no por la Sección Sindical de CC.OO. para ajustarse a derecho. NOTAS PARA EL PROFESOR: La opción a) No es correcta puesto que según la premisa hecha en las notas para el profesor de la diapositiva previa, el ET no aplica al presente caso práctico. La opción b) Correcta dado que cumple con el art. 7.2 de la LOPD, a saber: «Sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.» La opción c) Correcta según argumenta el “Informe Jurídico de la AEPD ”. Se detalla en las dos diapositivas siguientes. La opción d) No es correcta dado que según la AEPD en su informe sobre la cesión de una relación de funcionarios a los integrantes de la Junta de Personal (año 2000), para el ejercicio de las competencias atribuidas a dicha Junta de Personal no es preciso llevar a cabo una cesión masiva de datos.

Dudas del profesional: ¿Qué cesiones de datos de trabajadores están previstas cuando el trabajador del sindicato tiene la condición de personal funcionario de los Servicios de Salud? La única cesión prevista sería la derivada de las facultades atribuidas a los representantes de los trabajadores (los Delegados de Personal y la Junta de Personal, según el Estatuto Básico del Empleado Público). ¿Cuáles son esas facultades? Entre ellas está, además de la recepción de información, “vigilar el cumplimiento de las normas vigentes en materia de condiciones de trabajo, prevención de riesgos laborales, seguridad social y empleo, y ejercer, en su caso, las acciones legales oportunas ante los organismos competentes” NOTAS PARA EL PROFESOR:

Dudas del profesional: ¿Cómo debo llevar a cabo la cesión de datos? La función de vigilancia y protección de las condiciones de trabajo, atribuida a las Juntas de Personal por la Ley 7/2007 puede llevarse a adecuado desarrollo sin necesidad de proceder a una cesión masiva de los datos referentes al personal que presta sus servicios en el Órgano o Dependencia correspondiente. Sólo en el supuesto en que la vigilancia o control se refieran a un sujeto concreto, que haya planteado la correspondiente queja ante la Junta de Personal, será posible la cesión del dato específico de dicha persona. En caso de haber sido formalmente solicitada, procederá la cesión de los datos solicitados, siempre que los mismos sean cedidos de forma disociada, sin poder referenciar los datos a personas identificadas o identificables. En caso contrario, deberá recabarse el consentimiento de los interesados. Informe Jurídico de la AEPD NOTAS PARA EL PROFESOR:

Dudas del profesional: Entonces, ¿son públicas las Relaciones de Puestos de Trabajo? Sí, pero las mismas no contendrán los datos del personal concreto que ocupe un determinado puesto de trabajo, sino exclusivamente las características de cada uno de los puestos de trabajo existentes en cada Dependencia Administrativa, siendo los datos personales referidos a cada funcionario público, de acceso restringido a éste último. Ley 30/1984 de Medidas para la Reforma de la Función Pública. NOTAS PARA EL PROFESOR: TC1: Boletín de Cotización al Régimen General de la Seguridad Social en el que se reflejan los datos relativos a la identificación de la empresa y a la determinación de la deuda. TC2: Boletín de Cotización a la Seguridad Social. Relación Nominal de Trabajadores. Contiene los datos relativos a la identificación de los trabajadores, a sus bases de cotización y a las prestaciones que les hayan sido satisfechas en régimen de pago delegado. El TC1 y el TC2 son documentos exigibles a la Empresa Privada y no a la Administración Pública. Dichos documentos pueden ser solicitados por las organizaciones sindicales y el Estatuto de los Trabajadores habilita tal cesión.

Dudas del profesional: ¿Aplica la disociación de datos a los listados del complemento de productividad? El Complemento de Productividad destinado a retribuir el especial rendimiento, la actividad extraordinaria y el interés o iniciativa con que el funcionario desempeñe su trabajo. La disociación de datos de los trabajadores únicamente quedará exceptuado en lo referente al complemento de productividad: “…en todo caso, las cantidades que perciba cada funcionario por este concepto serán de conocimiento público de los demás funcionarios del Departamento u Organismo interesado así como de los representantes sindicales”. Ley 30/1984 de Medidas para la Reforma de la Función Pública, artículo 23.3c. NOTAS PARA EL PROFESOR: Se “deroga” el último punto del segundo ítem de la diapositiva. La Abogacía General del Estado-Dirección del Servicio Jurídico del Estado en Dictamen de 26 de enero de 2009, analiza la vigencia del tercer párrafo del artículo 23.3 c) de la Ley 30/1984, similar al artículo 82.3 c) de la Ley 2/1987 ahora analizada, teniendo en consideración lo establecido en la disposición derogatoria y la disposición final cuarta de la Ley 7/2007, llegando a la conclusión que la incompatibilidad detectada entre los artículos 40 del Estatuto Básico del Empleado Público y 9 de la Ley 9/1987 en lo referente al acceso por los órganos de representación de los trabajadores de los datos individualizados correspondientes al complemento de productividad conduce a considerar derogada por la Ley 7/2007 la Ley que hasta su entrada en vigor legitimaba la mencionada cesión de datos. En definitiva, y de acuerdo con lo establecido en las disposiciones derogatoria única y final cuarta del EBEP y en la Instrucción primera de la Resolución de 21 de junio de 2007, de la Secretaría General para la Administración Pública, el último inciso del artículo 23.3.c) de la Ley 30/1984, de Medidas de Reforma de la Función Pública, que se concretaba en el artículo 9.4.c) de la Ley 9/1987, debe entenderse derogado por el artículo 40 del EBEP, de cuyo tenor literal se induce que ha desaparecido la función atribuida por la anterior normativa a los representantes sindicales de los empleados públicos, consistente en tener conocimiento y ser oídos sobre las cantidades que percibe cada funcionario por complemento de productividad.

Dudas del profesional: ¿Aplica la disociación de datos a los listados del complemento de productividad? El la actualidad no existe base legal alguna para la cesión a los representantes sindicales de los datos referentes a las cantidades que perciben los funcionarios por complemento de productividad sin el consentimiento de los mismos. La entrada en vigor de la Ley 7/2007 EBEP, artículo 40, ha derogado el último párrafo del artículo 23.3c) de la Ley 30/1984 y el artículo 9.4.c) de la Ley 9/1987. Dejando sin efecto la obligación de informar a los representantes sindicales de los funcionarios las cantidades de productividad que percibe cada uno, pudiendo sólo conocer los criterios que se han tenido en cuenta en relación con los puestos de trabajo para conceder o no la productividad. AEPD - Informe Jurídico 0275/2009, AEPD - Informe Jurídico 0343/2009, AEPD - Informe Jurídico 0137/2010. NOTAS PARA EL PROFESOR: Texto del informe jurídico 275/2009 c. Jorge Juan Madrid Gabinete Jurídico Informe 0275/2009 La consulta plantea que información de la solicitada por parte de la Junta de Personal y Delegado Sindical de Comisiones Obreras, puede ser transmitida al amparo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. La primera cuestión planteada, hace referencia a la comunicación del complemento de productividad recibido por los empleados públicos, siendo ésta una cuestión sobre la que recientemente se ha pronunciado la Agencia Española de Protección de Datos en el informe de 27 de mayo de 2009, en el que se establecía que: “Con anterioridad a la entrada en vigor de la Ley 7/2007, de 12 de abril, del Estatuto Básico del Empleado Público, esta Agencia Española de Protección de Datos venía considerando que la revelación de la citada información se encontraba amparada por el artículo 11.2 a) de la Ley Orgánica 15/1999, ya citado, en relación con el último párrafo del artículo 23.3 c) de la Ley 30/1984, de 2 de agosto, de Medidas para la Reforma de la Función Pública, según el cual “en todo caso, las cantidades que perciba cada funcionario por este concepto serán de conocimiento público de los demás funcionarios del Departamento u Organismo interesado así como de los representantes sindicales.” Igualmente, después de la entrada en vigor de la Ley 7/2007, esta Agencia señaló en una ocasión que “si bien el citado precepto ha sido derogado por la Ley 7/2007, de 12 de abril, del Estatuto Básico del Empleado Público, debe recordarse que, conforme a lo previsto en su disposición final cuarta, apartado 2, las disposiciones reguladoras de los derechos retributivos de los empleados públicos, contenidas en el Capítulo III del Título III del Estatuto “producirá efectos a partir de la entrada en vigor de las Leyes de Función Pública que se dicten en desarrollo de este Estatuto”, por lo que habrá de atenderse a lo dispuesto en la Ley 30/1984”. c. Jorge Juan Madrid Gabinete Jurídico En resumidas cuentas, tras la entrada en vigor de la Ley 7/2007, la resolución de la cuestión ahora analizada se fundaba en la determinación de la vigencia de lo previsto en el artículo 23.3 c) de la Ley 30/1984. En consecuencia, el criterio determinante de la procedencia o improcedencia de la cesión cuestionada obedecía a la resolución de una cuestión de carácter exclusivamente jurídico y relativa a la aplicación y vigencia de una norma distinta de la propia Ley Orgánica 15/1999. IV Pues bien, la cuestión, referente a la vigencia del mencionado artículo 23.3 c) de la Ley 30/1984 como habilitante de la revelación a los representantes sindicales de los datos individualizados correspondientes al complemento de productividad de los empleados públicos ha sido examinada con detenimiento por la Abogacía General del Estado-Dirección del Servicio Jurídico del Estado en Dictamen de 26 de enero de 2009, en el que se indica, en primer lugar, lo siguiente: “(...) en una primera aproximación al Capítulo IV del Título III del EBEP (relativo al derecho a la negociación colectiva, representación y participación institucional y al derecho de reunión), Capítulo que, como se ha visto, es directamente aplicable, más concretamente, a su artículo 40 (referente a las “Funciones y legitimación de los órganos de representación”), se observa, tras una lectura atenta del mismo, que, a diferencia de su antecedente legislativo más próximo (el artículo 9 de la derogada Ley 9/1987, de 12 de junio, de Órganos de Representación, Determinación de las Condiciones de Trabajo y Participación del Personal al Servicio de las Administraciones Públicas), dicho precepto no atribuye a las Juntas de Personal y Delegados de Personal, en su caso, la función específica consistente en tener conocimiento de las cantidades que percibe cada funcionario en concepto de complemento de productividad. En efecto, una simple comparación de las funciones encomendadas a esos órganos de representación en los artículos citados pone de c. Jorge Juan Madrid Gabinete Jurídico manifiesto la clara voluntad del legislador de mantener las funciones que el artículo 9 de la Ley 9/1987 atribuía a los mismos, salvo la de tener conocimiento de las cantidades que perciba cada funcionario en concepto de complemento de productividad, que se sustituye en el artículo 40 del EBEP por otras muy genéricas, como la prevista en el apartado 1.a) de este precepto –“recibir información sobre la política de personal, así como sobre los datos referentes a la evolución de las retribuciones...”– o la prevista en el apartado 1.f) –“colaborar con la Administración correspondiente para conseguir el establecimiento de cuantas medidas procuren el mantenimiento e incremento de la productividad”-. Es clara, por tanto, la incompatibilidad, en este punto, entre la regulación contenida en el artículo 9 de la Ley 9/1987, derogada (y que venía a concretar la previsión contenida en el último párrafo, último inciso, del artículo 23.3.c) de la Ley 30/1984) y la contenida en el artículo 40 del vigente EBEP, precepto integrante del Capítulo IV del Título III de este último texto legal y, por tanto, de directa aplicación, como establece la Instrucción primera de la Resolución de 21 de junio de 2007. Llevada a cabo la constatación que acaba de indicarse, el Dictamen analiza la vigencia del tercer párrafo del artículo 23.3 c) de la Ley 30/1984, similar al artículo 82.3 c) de la Ley 2/1987 ahora analizada, teniendo en consideración lo establecido en la disposición derogatoria y la disposición final cuarta de la Ley 7/2007, llegando a la conclusión que la incompatibilidad detectada entre los artículos 40 del Estatuto Básico del Empleado Público y 9 de la Ley 9/1987 en lo referente al acceso por los órganos de representación de los trabajadores de los datos individualizados correspondientes al complemento de productividad conduce a considerar derogada por la Ley 7/2007 la Ley que hasta su entrada en vigor legitimaba la mencionada cesión de datos. Así, el tan citado Dictamen razona lo siguiente: “Aunque para la Administración General del Estado sigue siendo aplicable, hasta la entrada en vigor de la Ley de Función Pública de dicha Administración, el artículo 23 de la Ley 30/1984, existe un límite a c. Jorge Juan Madrid Gabinete Jurídico tal aplicación, cual es, como se ha dicho, el de la incompatibilidad de la regulación contenida en dicho precepto con lo establecido en el EBEP. En el presente caso, y por lo que se refiere a la cuestión sometida a informe de este Centro, relativa al conocimiento por parte de los representantes sindicales de las cantidades percibidas por cada funcionario en concepto de complemento de productividad, previsto en el artículo 23.3.c), último párrafo, de la Ley 30/1984, se advierte enseguida que esta última previsión entra en clara contradicción con lo dispuesto en el artículo 40 del EBEP, integrante del Capítulo IV, Título III de este texto legal que, como se ha visto, es directamente aplicable, por lo que la citada previsión contenida en el artículo 23.3.c), último párrafo, de la Ley 30/1984 debe entenderse derogada por el artículo 40 del EBEP, y ello sin perjuicio de que subsistan las restantes previsiones del artículo 23.3 de la Ley 30/1984 sobre retribuciones complementarias (dado que respecto de estas últimas previsiones no se contiene en el EBEP ninguna norma que sea incompatible con ellas). En definitiva, y de acuerdo con lo establecido en las disposiciones derogatoria única y final cuarta del EBEP y en la Instrucción primera de la Resolución de 21 de junio de 2007, de la Secretaría General para la Administración Pública, el último inciso del artículo 23.3.c) de la Ley 30/1984, de Medidas de Reforma de la Función Pública, que se concretaba en el artículo 9.4.c) de la Ley 9/1987, debe entenderse derogado por el artículo 40 del EBEP, de cuyo tenor literal se induce que ha desaparecido la función atribuida por la anterior normativa a los representantes sindicales de los empleados públicos, consistente en tener conocimiento y ser oídos sobre las cantidades que percibe cada funcionario por complemento de productividad. No existiendo en la actualidad base legal alguna para la cesión a los representantes sindicales de los datos referentes a las cantidades que perciben los funcionarios por complemento de productividad sin el consentimiento de los mismos –artículo 11.2.a) de la Ley Orgánica 15/1999, de Protección de Datos–, es indudable, como señala acertadamente en su proyecto de informe la Abogacía del Estado c. Jorge Juan Madrid Gabinete Jurídico consultante, que no es posible facilitar dato alguno relativo a esas cantidades a los representantes sindicales sin el previo consentimiento de los funcionarios interesados, recobrando por ello plena virtualidad la previsión contenida en el artículo 11.1 de la Ley Orgánica 15/1999, según el cual “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario, con el previo consentimiento del interesado”.” De este modo, se concluye en el Dictamen que “la Ley 7/2007, de 12 de abril, del Estatuto Básico del Empleado Público ha dejado sin efecto, desde su entrada en vigor, la obligación que pesaba sobre los Departamentos u Organismos del Estado de poner en conocimiento de los representantes sindicales de los funcionarios públicos las cantidades que percibe cada uno de ellos por complemento de productividad, debiendo entenderse derogado el último párrafo del artículo 23.3.c) de la Ley 30/1984, de 2 de agosto, de Medidas para la Reforma de la Función Pública, y el artículo 9.4.c) de la Ley 9/1987, de 12 de junio, de Órganos de representación, determinación de las condiciones de trabajo y participación del personal al servicio de las Administraciones Públicas, ante las claras previsiones al respecto del artículo 40 de la Ley 7/2007, todo ello por el juego combinado y la interpretación realizada en el cuerpo de este informe de las disposiciones derogatoria única y final cuarta de la Ley 7/2007 y de la instrucción primera de las Instrucciones de 5 de junio de 2007, para la aplicación del Estatuto Básico del Empleado Público en el ámbito de la Administración General del Estado y sus Organismos Públicos. Por ello, “no existe actualmente base legal alguna para la cesión a los representantes sindicales de los datos referentes a las cantidades que perciben los funcionarios por complemento de productividad sin el consentimiento de los mismos, por lo que no es posible facilitar dato alguno relativo a esas cantidades a aquéllos sin el previo consentimiento de los funcionarios interesados, recobrando por ello plena virtualidad la previsión contenida en el artículo 11.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, según la c. Jorge Juan Madrid Gabinete Jurídico cual “los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario, con el previo consentimiento del interesado”. V El artículo 3.1 de la Ley 52/1997, de 27 de noviembre de Asistencia jurídica al Estado e Instituciones Públicas, dispone que “la Dirección del Servicio Jurídico del Estado es el centro superior consultivo de la Administración del Estado, Organismos autónomos y entidades públicas dependientes, conforme a sus disposiciones reguladoras en el caso de estas últimas, y sin perjuicio de las competencias atribuidas por la legislación a los Subsecretarios y Secretarios generales técnicos, así como de las especiales funciones atribuidas al Consejo de Estado como supremo órgano consultivo del Gobierno, de conformidad con lo dispuesto en el artículo 107 de la Constitución y en su Ley Orgánica de desarrollo”, siendo dicho precepto igualmente reproducido en el artículo 20 del Reglamento del Servicio Jurídico del Estado, aprobado por Real Decreto 997/2003, de 25 de julio. Pues bien, como se ha venido indicando, la cuestión que subyace en el análisis de la procedencia de la cesión a los representantes de los empleados públicos de las cuantías individualmente percibidas en concepto de complemento de productividad se centra en determinar si las normas que preveían tal publicidad se encuentran vigentes tras la entrada en vigor de la Ley 7/2007. En consecuencia, la solución a esta cuestión no depende de una mera interpretación de las normas reguladoras del derecho fundamental a la protección de datos de carácter personal, sino de la que haya de llevarse a cabo de la disposición derogatoria de la citada Ley 7/2007. Siendo la naturaleza de la cuestión a resolver de la índole mencionada, debe concluirse que la interpretación llevada a cabo por la Abogacía General del Estado-Dirección del Servicio Jurídico del Estado ha de c. Jorge Juan Madrid Gabinete Jurídico prevalecer sobre la que hasta la fecha era sostenida por esta Agencia en lo referente a la vigencia de la disposición que se consideraba como legitimadora de la cesión planteada. Por este motivo, debiendo considerarse, conforme al criterio sustentado en el Dictamen de 26 de enero de 2009, que las citadas normas habilitantes de la cesión han sido derogadas por el Estatuto Básico del Empleado Público, será necesario el consentimiento de los afectados para que los datos referidos a las cantidades percibidas en concepto de complemento de productividad sean facilitadas a los órganos de representación de los empleados públicos. El criterio que acaba de sustentarse resulta, a nuestro juicio, igualmente aplicable al consultante en el presente caso, habida cuenta de la aplicación de la Ley 7/2007 a las Administraciones autonómica y local, en los términos que establece su artículo 2.1. VI A la vista de todo lo que se ha venido indicando cabe concluir. Modificando el criterio hasta ahora sustentado por esta Agencia, que la cesión a los representantes sindicales de los datos referidos a las percepciones individualizadas por los empleados públicos en concepto de complemento de productividad y gratificaciones no se encuentra amparada por el artículo 11.1 a) de la Ley Orgánica 15/1999, siendo preciso para que dicha cesión de datos pueda tener lugar el consentimiento de los afectados.” En consecuencia, y como se fundamenta en el informe antes expuesto, no se permite la cesión a los representantes sindicales de los datos referidos a la productividad de los empleados públicos, dado que dicha cesión no se encuentra amparada en el artículo 11.2 a) de la Ley Orgánica 15/1999 pudiendo sólo conocer los criterios que se han tenido en cuenta en relación con los puestos de trabajo para conceder o no la productividad. c. Jorge Juan Madrid Gabinete Jurídico Respecto, de la segunda cuestión solicitada, la tasa de temporalidad de cada puesto de trabajo, dado que dicha información no lleva aparejado datos de carácter personal, no resulta aplicable la Ley Orgánica 15/1999. En lo que se refiere a la información relativa a los empleados públicos contratados bajo cualquier modalidad de contrato temporal, y los contratados con cargo a subvenciones, éstas contrataciones deberán realizarse bajo alguna de las modalidades previstas en los 10,11 y 12 de la Ley 7/2007. Como punto de partida es preciso señalar que la transmisión planteada implica la existencia de una cesión o comunicación de datos de carácter personal, definida por el artículo 3 i) de la Ley Orgánica 15/1999 como “Toda revelación de datos realizada a una persona distinta del interesado.” Tal y como indica el artículo 11.1 de la Ley Orgánica 15/1999 “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. No obstante, no sería preciso contar con el consentimiento del afectado en caso de que una norma con rango de Ley habilite la cesión prevista, tal y como dispone el artículo 11.2 a) de la Ley. La posibilidad de cesión de datos de los funcionarios a los representantes sindicales, y como consecuencia de la excepción de prestación del consentimiento en los supuestos en que una Ley así lo permita (artículo 11.2.a), debe ponderarse con el legítimo ejercicio de las funciones de control que se atribuyen por la Ley a los órganos de representación colectiva. Por el concreto ámbito subjetivo referido al personal funcionario de una Administración Pública, a que la consulta se refiere, la Ley 7/2007, de 12 de abril, del Estatuto Básico del Empleado Público, en su artículo 39.1 establece que “los órganos de representación de los funcionarios son los Delegados de Personal y las Juntas de Personal”, según proceda.” Por otro lado, en el artículo 40 enumera las funciones atribuidas a las Juntas de Personal y a los Delegados de Personal, incluyéndose entre las mismas, no sólo la recepción de información, sino también “vigilar el cumplimiento de las normas vigentes en c. Jorge Juan Madrid Gabinete Jurídico materia de condiciones de trabajo, prevención de riesgos laborales, seguridad social y empleo, y ejercer, en su caso, las acciones legales oportunas ante los organismos competentes” (artículo 40.1.e.). Por su parte, el artículo 15.3 de la Ley 30/1984, de 2 de agosto, de Medidas para la Reforma de la Función Pública, establece el carácter público de las Relaciones de Puestos de Trabajo, si bien las mismas, no contendrán, a la vista del contenido exigido por el artículo 15.1 b), los datos del personal concreto que ocupe un determinado puesto de trabajo, sino exclusivamente las características de cada uno de los puestos de trabajo existentes en cada Dependencia Administrativa, siendo los datos personales referidos a cada funcionario público, de acceso restringido a éste último, a tenor de lo dispuesto en el artículo 13.5, párrafo segundo de la propia Ley 30/1984. Se hace preciso, en consecuencia, cohonestar las atribuciones conferidas a los Delegados de Personal o a las Juntas de Personal en la Ley 7/2007 con la protección otorgada a los datos de carácter personal, regulada en la Ley Orgánica 15/1999, para la posible cesión de esos datos. Pues bien, a nuestro juicio, la función de vigilancia y protección de las condiciones de trabajo, atribuida a las Juntas de Personal por la Ley 7/2007 puede llevarse a adecuado desarrollo sin necesidad de proceder a una cesión masiva de los datos referentes al personal que presta sus servicios en el Órgano o Dependencia correspondiente. Sólo en el supuesto en que la vigilancia o control se refieran a un sujeto concreto, que haya planteado la correspondiente queja ante la Junta de Personal, será posible la cesión del dato específico de dicha persona. En los demás supuestos, la función de control quedará plenamente satisfecha, a nuestro juicio, mediante la cesión a la Junta de Personal de información debidamente disociada, según el procedimiento definido en el artículo 3 f) de la Ley Orgánica 15/1999, que permita a aquélla conocer las circunstancias cuya vigilancia le ha sido encomendada sin referenciar la información en un sujeto concreto. c. Jorge Juan Madrid Gabinete Jurídico Por tanto, se les podrá comunicar el número de empleados públicos contratados temporalmente, indicando los puestos de trabajo que ocupan y lo mismo sí estuvieran contratados con cargo a una subvención.

Dudas del profesional: Respecto del cobro de la cuota sindical vía nómina, ¿qué procedimientos debe adoptar la organización? Es recomendable disponer de procedimientos de captación del consentimiento como impresos o modelos de solicitud en los que el trabajador autorice de modo expreso y por escrito el tratamiento. (El consentimiento es obligatorio) Es muy importante limitar el uso de estos datos a la finalidad para la que se han recabado: cobrar la cuota y transferir las cantidades a la organización sindical. Debe recordarse que si el tratamiento se da exactamente en los términos y para las finalidades aquí descritas el nivel de seguridad será básico. NOTAS PARA EL PROFESOR:

Dudas del profesional: ¿Los delegados sindicales pueden ver el parte de baja de un trabajador? El parte de baja es un documento susceptible de contener información sobre las enfermedades del trabajador. Para que un delegado sindical pueda consultar el parte de baja de un trabajador debe existir el consentimiento expreso del titular. (Estos límites están recogidos en la Ley Orgánica 15/1999 que establece un régimen especial para el tratamiento y la comunicación de los datos de salud y, por otro lado, en la Ley 7/2007 reguladora del Estatuto del Empleado Público, que entre las funciones de los órganos de representación de los trabajadores no prevé que los delegados sindicales tengan acceso a dicha información.) NOTAS PARA EL PROFESOR: Una ampliación de la información recogida en esta diapositiva puede encontrarse en:

Dudas del profesional: ¿Porqué recibo información sindical en mi cuenta profesional de correo electrónico? Esta actividad requiere el tratamiento de datos personales puesto que una dirección electrónica es un dato personal. El envío de este tipo de mensajes de correo electrónico constituye un derecho de los sindicatos amparado por el derecho fundamental la libertad sindical. Sentencia del Tribunal Constitucional 281/2005 Deben darse ciertas condiciones: la empresa debe disponer del servicio de correo electrónico y los envíos deben realizarse de modo proporcional y sin perjudicar el normal funcionamiento de la organización. Existen procedimientos automatizados (p.e.: listas de correo) que pueden permitir la satisfacción del derecho a la libertad sindical sin necesidad de realizar una cesión y, por tanto minimizando los riesgos y las obligaciones de cumplimiento normativo para el empresario y el sindicato. La celebración de elecciones sindicales legitima las cesiones de los datos censales necesarios para permitir al sindicato remitir información electoral y participar en el proceso electoral. NOTAS PARA EL PROFESOR: Guía de relaciones laborales de la AEPD Recomendación 1/2006 de la Agencia de Protección de Datos de la Comunidad de Madrid

Dudas del profesional: ¿Es lícita la publicación de datos personales en tablones? La Ley Orgánica de Libertad Sindical reconoce un derecho a disponer de un tablón de anuncios (que puede ser virtual) que permita facilitar información sindical a los trabajadores. Será responsable del tratamiento de datos en el tablón de anuncios (…), aquél órgano u organización que decida sobre su uso y finalidad y sitúe materialmente la información en él. Debe considerarse el espacio físico o virtual concreto en el que se situará el tablón con la finalidad de que la información personal sólo resulte visible a los usuarios legitimados para consultarla. Es fundamental que los tablones sindicales online se sitúen en las intranet de la organización, nunca en Internet. Debe tenerse muy en cuenta el principio de calidad desde el punto de vista de la proporcionalidad de los tratamientos y su finalidad. Es recomendable considerar la posibilidad de que los tablones impidan el acceso a la información por terceros no autorizados. NOTAS PARA EL PROFESOR: Guía de relaciones laborales de la AEPD

Dudas del profesional: ¿Cuándo debo informar a los representantes de los trabajadores? En principio el deber de información del art. 5 LOPD tiene como destinatario al afectado o interesado. No obstante, en aquellos tratamientos que repercuten sobre el conjunto de los trabajadores resulta muy recomendable informar con carácter previo a la representación de éstos ya que facilita el conocimiento y la comprensión general de los mismos. Ej. Esta necesidad se manifiesta de modo particular en el caso del desarrollo de controles empresariales, como la videovigilancia, los controles sobre la navegación en internet, o el uso de controles biométricos para registrar la entrada, salida o presencia en el puesto. NOTAS PARA EL PROFESOR: Guía de relaciones laborales de la AEPD

Normativa aplicable: Ley Orgánica 15/199 de Protección de Datos de Carácter Personal. Real Decreto 1720/2007 que aprueba el Reglamento de Desarrollo de la LOPD 15/99. Ley Orgánica 11/1985, de Libertad Sindical Ley 2/1991, sobre derecho de información de los representantes de los trabajadores en materia de contratación Ley 7/2007, del Estatuto Básico del Empleado Público. Ley 9/1987, de Órganos de Representación, Determinación de las Condiciones de Trabajo y Participación del Personal al Servicio de las Administraciones Públicas. Ley 30/1984 de Medidas para la Reforma de la Función Pública Ley 8/1980 sobre el Estatuto de los Trabajadores NOTAS PARA EL PROFESOR:

Casos similares: El presente caso, dada la especificidad del mismo, sólo da cobertura a las cesiones de datos destinadas a representantes de los trabajadores en calidad de miembros de organizaciones sindicales, a saber: Sección Sindical Delegados de Personal Junta de Personal No obstante, los principios fundamentales en los que se funda, consentimiento y disociación de datos, ya han sido tratados en anteriores casos prácticos de esta presentación. NOTAS PARA EL PROFESOR:

CASO PRÁCTICO 12: Cesión de datos a la Sección Sindical Resumen: Conceptos que hay que tener muy claros: Sólo los representantes de los trabajadores (Delegados de personal o Junta de Personal) pueden ser destinatarios de una cesión de DCP vinculada a organizaciones sindicales. El cumplimiento de las funciones de los representantes de los trabajadores puede llevarse a cabo con datos disociados. Para datos no disociados es preciso solicitar el consentimiento al trabajador. El correo electrónico y el tablón de anuncios son medios válidos para realizar comunicaciones a los trabajadores con las debidas medidas de seguridad. En aquellos tratamientos que repercuten sobre el conjunto de los trabajadores resulta muy recomendable informar con carácter previo a la representación de éstos. NOTAS PARA EL PROFESOR:

CASO PRÁCTICO 13: Cesión de datos a Hermandad Donantes
Un donante de sangre, que estima que solo el Centro de Transfusión Sanguínea debería disponer de sus datos relativos a las donaciones, recibe un escrito remitido por la Hermandad de Donantes, solicitando nuevas donaciones y en el que se le informa que sus datos se los ha facilitado el Centro de Transfusión Sanguínea. NOTAS DEL PROFESOR: En este documento hay un caso práctico que ha servido de base para la elaboración del presente, puede localizarse a partir de la página 24.

Opciones: La Hermandad, como organización sin ánimo de lucro cuya actividad es fundamental para el normal abastecimiento de sangre a los hospitales, no está sujeta al régimen sancionador de la LOPD. El acceso de la Hermandad a algunos datos de los donantes no puede considerarse una cesión de datos, ya que resulta necesario para prestar un servicio de promoción y planificación al Centro de Transfusión recogido en un convenio. Debería existir un contrato firmado de prestación de servicios, mediante el que el Centro de Transfusión facilitaría su fichero de donantes a la Hermandad con la finalidad de promover las donaciones de sangre. Es legítima la comunicación de algunos datos de los donantes justificada por la finalidad de la promoción y programación de la hemodonación establecida por un convenio. NOTAS DEL PROFESOR: Las opciones están basadas en las alegaciones del Banco de Sangre del Caso Práctico de la presentación de la AEPD, mencionada en las notas del profesor de la primera diapositiva del presente caso práctico (nº 13), donde dice así: “...para cumplir con las tareas de colaboración en la promoción y planificación de las donaciones, encomendada en la estipulación primera del Convenio de creación del BSB, todas las asociaciones y hermandades de donantes de la provincia se agrupan en esas fechas, en la Hermandad de donantes se Sangre de la provincia la cual se encargará de convocar las colectas de las donaciones de sangre. Pero, para llevar a cabo el proceso de programación de las donaciones, la Hermandad debía conocer algunos datos de los donantes, como mínimo el nombre y dirección.” “El Convenio de Colaboración de 25 de febrero de 1997 no es mas que el contrato de prestación de un servicio por parte de la Hermandad a la Fundación, que para llevarse a cabo precisaba el tratamiento de algunos datos de los donantes por cuenta de un tercero: la Hermandad. Ciertamente no adopta el documento la forma de contrato por no tener ninguna de las entidades colaboradoras fin de lucro, sino al contrario, se trata de dos entes altruistas que velan por la garantía del suministro de sangre a las personas necesitadas, pero, en el fondo se trata de un contrato de prestación de servicio por parte de la Hermandad al Banco de Sangre, en las fases de promoción y programación de las donaciones.” “...Siendo totalmente legítima la comunicación de algunos datos de los donantes dado que la finalidad de la promoción y programación de la hemodonación establecida por vía convenial la justifica sobradamente (art c) de la Ley Orgánica 15/1999).” “...el acceso de la Hermandad a algunos datos de los donantes no puede considerarse una cesión de datos ya que resulta necesario para prestar un servicio al responsable del tratamiento: el Banco de Sangre de Baleares, en este caso la promoción y planificación de las donaciones. Nos estamos refiriendo con ello al artículo 12 de la Ley 15/1999, de protección de datos de carácter personal que no considera comunicación de datos el caso expuesto...” La respuesta a) NO es correcta, el ámbito de aplicación de la LOPD (y por tanto de su régimen sancionador) no atiende al ánimo de lucro de las entidades. La respuesta b) NO es correcta, el “Convenio de Colaboración de 25 de febrero de 1997” no puede ser considerado como un contrato. La respuesta c) SI es correcta. Artículo 12. Acceso a los datos por cuenta de terceros 1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento. 2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas. La respuesta d) NO es correcta por no ser suficiente un convenio para estar exceptuado de requerir el consentimiento al donante en relación al artículo 11.2 Artículo 11.2. c) Cuando el tratamiento responda a la libre y legítima aceptación de una relación jurídica cuyo desarrollo, cumplimiento y control implique necesariamente la conexión de dicho tratamiento con ficheros de terceros. En este caso la comunicación sólo será legítima en cuanto se limite a la finalidad que la justifique.

Dudas del profesional: ¿Qué cesiones de datos de donantes pueden dirigirse a las Hermandades de Donantes de Sangre que colaboran en la provincia? Ninguna, salvo que se cuente con el consentimiento de los donantes titulares de los datos objeto de la comunicación. Necesidad de disponer de algún medio de prueba válido en Derecho, donde conste el consentimiento prestado por el afectado. NOTAS DEL PROFESOR: (…) Por otra parte, la LOPD exige al responsable del fichero la obtención del consentimiento previo del afectado para llevar a cabo la cesión de sus datos personales a terceros, a salvo de algunos supuestos contemplados en la citada Norma, como excepciones al principio general. En torno a la cesión de datos personales a terceros y a la forma de solicitud de dicho consentimiento por parte del responsable del fichero, según mi experiencia profesional en la tramitación de procedimientos sancionadores incoados por la Agencia Española de Protección de Datos, es reiterado el criterio del citado Órgano al considerar que “si bien el consentimiento tácito puede ser válido para la cesión de datos como interpreta el Tribunal Supremo: fuera de los casos en que la Ley exige una declaración expresa, el consentimiento en los negocios jurídicos puede ser prestado de forma tácita, correspondería a la entidad que ha solicitado el consentimiento del afectado la prueba de que lo ha obtenido en cada caso concreto”. Por contra, otros Órganos competentes en la materia, como es la Audiencia Nacional (Sala de lo Contencioso-Administrativo, Sección Primera), en varias de las sentencias dictadas en recursos contenciosos-administrativos interpuestos contra las resoluciones sancionadoras de la Agencia Española de Protección de Datos, niega la validez a la recogida del consentimiento del afectado para la cesión de sus datos mediante silencio positivo, en base a que “la empresa que recaba el consentimiento por silencio positivo para la cesión no puede entender que ha cumplido las obligaciones legales mediante un sistema de meras probabilidades, sino asegurándose de que aquél de quién pide la autorización le ha remitido efectivamente la solicitud, debiendo conservar las pruebas del cumplimiento de la obligación a disposición de la Administración encargada de velar por el cumplimiento de la Ley”. De lo anterior, debe concluirse la necesidad de cualquier empresa de disponer de algún medio de prueba válido en Derecho, donde conste el consentimiento prestado por el afectado ya que, en caso de conflicto frente a la Agencia Española de Protección de Datos, corresponde al responsable del fichero aportar el documento que le sirva para demostrar que ha informado a los afectados en el momento de la recogida de sus datos personales, así como que ha obtenido el consentimiento de cada uno de dichos afectados para llevar a cabo el tratamiento y/o la cesión de sus datos personales a terceros; de lo contrario, la empresa puede resultar sancionado con multas cuyas cuantías oscilan entre los ,21 y los ,10 euros. Asimismo, es aconsejable que los documentos en los que constan los consentimientos otorgados por los afectados sean conservados mientras dure el tratamiento de los datos personales y, una vez finalizado éste, durante los plazos de prescripción de las infracciones leves, graves y muy graves previstas en la LOPD. Iciar Marzo Portera

Dudas del profesional: ¿Una Hermandad puede llevar a cabo promociones de la donación accediendo al fichero de donantes del CRTS? Sólo si se ha formalizado un contrato de prestación de servicios entre esta y el Centro de Transfusión donde la primera asume el papel de Encargado del Tratamiento. El acceso a los datos debe limitarse exclusivamente a los necesarios para llevar a cabo las funciones de promoción y planificación. NOTAS DEL PROFESOR:

Artículo 44.4. Son infracciones muy graves:
CASO PRÁCTICO 13: Cesión de datos a Hermandad Donantes Dudas del profesional: ¿Cuál es la infracción cometida por el Centro de Transfusión Sanguínea y la Hermandad de Donantes? Artículo Son infracciones muy graves: b) Tratar o ceder los datos de carácter personal a los que se refieren los apartados 2, 3 (salud) y 5 del artículo 7 de esta Ley salvo en los supuestos en que la misma lo autoriza o violentar la prohibición contenida en el apartado 4 del artículo 7. NOTAS DEL PROFESOR:

Ello colocaría al CRTS como Encargado del Tratamiento de la Hermandad.
CASO PRÁCTICO 13: Cesión de datos a Hermandad Donantes Dudas del profesional: ¿El CRTS puede recopilar datos de los donantes en nombre de la Hermandad? Ello colocaría al CRTS como Encargado del Tratamiento de la Hermandad. ¿La Hermandad puede recopilar datos de los donantes? El donante puede comunicar sus datos personales a la Hermandad mediante los formularios o fichas que ésta disponga al efecto, y en las que se comunique la finalidad de dichos datos. NOTAS PARA EL PROFESOR:

Artículo 6: Información a facilitar a los donantes.
CASO PRÁCTICO 13: Cesión de datos a Hermandad Donantes Dudas del profesional: ¿En que situaciones el CRTS debe informar al donante en los términos del artículo 5.1 de la LOPD? RD 1088/2005 Artículo 6: Información a facilitar a los donantes. Los candidatos a donantes de sangre recibirán información previa por escrito y en lenguaje comprensible,(…). La información mínima que se deberá proporcionar es la recogida en el anexo I.A). ANEXO I PARTE A Información mínima que se habrá de proporcionar a los posibles donantes de sangre o componentes sanguíneos (…) 3. Información sobre la protección de datos personales. No se revelará sin la correspondiente autorización el nombre del donante, los datos concernientes a su salud ni el resultado de los análisis efectuados. NOTAS PARA EL PROFESOR:

¿Cómo deben tratarse los ficheros de convocatorias de los donantes?
CASO PRÁCTICO 13: Cesión de datos a Hermandad Donantes Dudas del profesional: ¿Cómo deben tratarse los ficheros de convocatorias de los donantes? Los ficheros de convocatoria de los donantes estarán protegidos para preservar su integridad conforme a lo establecido en la LOPD. Dichos ficheros serán accesibles sólo a las personas autorizadas, y utilizados exclusivamente para los fines autorizados por el donante. Las tareas que se realicen externamente se definirán por escrito en un contrato específico. (RD 1343/2007, artículo 5.2) NOTAS PARA EL PROFESOR:

toda la información relacionada con su salud,
CASO PRÁCTICO 13: Cesión de datos a Hermandad Donantes Dudas del profesional: ¿Qué garantías tienen los titulares de los datos inscritos en el sistema de registro de donantes? Se garantizará a los donantes de sangre la confidencialidad exigida en la LOPD respecto de: toda la información relacionada con su salud, de los resultados de los análisis de sus donaciones, así como de la trazabilidad futura de su donación. Dicha información sólo será facilitada al personal autorizado. (RD 1088/2005, artículo 5.1) NOTAS PARA EL PROFESOR:

Dudas del profesional: ¿Qué debo tener en cuenta para manejar los datos del sistema de registro de donantes? Los datos de carácter personal del sistema de registro tendrán carácter confidencial. Estarán a disposición de los interesados y, en su caso, de la autoridad judicial. Su utilización se limitará a fines asistenciales o en interés de la salud pública. Quienes usen los datos están obligados a respetar la intimidad y la vida privada. (RD 1088/2005, artículo 5.4) NOTAS PARA EL PROFESOR:

Ley Orgánica 15/99 de Protección de Datos de Carácter Personal.
CASO PRÁCTICO 13: Cesión de datos a Hermandad Donantes Normativa aplicable: Real Decreto 1088/2005, de 16 de septiembre, por el que se establecen los requisitos técnicos y condiciones mínimas de la hemodonación y de los centros y servicios de transfusión. Real Decreto 1343/2007, de 11 de octubre, por el que se establecen normas y especificaciones relativas al sistema de calidad de los centros y servicios de transfusión. Ley Orgánica 15/99 de Protección de Datos de Carácter Personal. RD 1720/2007 de 21 Diciembre.

CASO PRÁCTICO 13: Cesión de datos a Hermandad Donantes Resumen: Conceptos que hay que tener muy claros: Informar en la recogida de datos Pedir el consentimiento para las cesiones previstas Formalizar los acuerdos de prestación de servicios contemplando la figura del Encargado del Tratamiento. Aplicar las medidas de seguridad de nivel alto Permitir el ejercicio de los derechos ARCO NOTAS DEL PROFESOR:

Casos similares: El presente caso, dada la especificidad del mismo, sólo da cobertura a las cesiones de datos destinadas a Asociaciones Hermandades de Donantes de Sangre en calidad de asociaciones de carácter altruista destinadas al fomento de la donación de sangre. El caso expuesto habla específicamente de los CRTS como posibles cedentes de datos pero en general es aplicable a cualquier Banco de Sangre.

Caso Real: Memoria de la AEPD del 2002 Resolución respecto de una denuncia de un donante formulada en 2001 Notas para el Profesor Memoria AEPD 2002 PROCEDIMIENTO SANCIONADOR: Al Centro de Transfusión por presunta infracción del artículo 11.1 de la LOPD, que dispone que: “ Los datos de carácter personal que hagan referencia... a la salud ... sólo podrán ser ... Cedidos cuando, por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente.” Infracción tipificada como muy grave en el artículo 44.4.b) de dicha norma, como: “La comunicación o cesión de los datos de carácter personal, fuera de los casos en que estén permitidas.” A la Hermandad de donantes, por presunta infracción del artículo 7.3 de la LOPD, que dispone que: “ Los datos de carácter personal que hagan referencia ..., a la salud ... sólo podrán ser ... tratados... por razones de interés general, así lo disponga una Ley o el afectado consienta expresamente.” Infracción tipificada como muy grave en el artículo 44.4.c) de dicha norma, como: “...recabar y tratar los datos referidos en el apartado 3 del artículo 7 cuando no lo disponga una Ley o el afectado no haya consentido expresamente...”. SANCIONES Se sancionó al Centro de Transfusión por haber incurrido en la cesión descrita, toda vez que vulneró el principio de previo consentimiento consagrado en la LOPD cuando cedió los datos de D. XXX sin el mismo y sin que se diera ninguna de las causas de exclusión del consentimiento recogidas en dicha Ley. Se sancionó a la HERMANDAD DE DONANTES por haber incurrido en la vulneración del principio de consentimiento expreso consagrado en la LOPD cuando trató los datos de D. XXX sin el mismo y sin que se diera ninguna de las causas de exclusión del consentimiento recogidas en la LOPD.

CASO PRÁCTICO 14: La Hª Social en las Instituciones Sanitarias
El asistente social de un Centro de salud solicita acceder a la Historia Clínica de un paciente. NOTAS DEL PROFESOR:

Opciones: Es razonable y está justificado el acceso a la Historia Clínica completa del paciente debido a la variabilidad y complejidad de los casos. Debe otorgarse acceso a aquella información que pueda ser adecuada, pertinente y no excesiva, según la finalidad que persigue la asistencia social a los enfermos por los trabajadores sociales integrados en los equipos de atención primaria. Sería recomendable que el parte de interconsulta incluyera un texto informativo conforme a lo establecido en el artículo 5 de la LOPD y se aprovechara para que quedara constancia del consentimiento del enfermo. Las funciones propias de los trabajadores sociales dentro de la prestación socio-sanitaria legitiman a estos para acceder a aquellos datos de los pacientes a los que deben atender necesarios para la actuación social. NOTAS DEL PROFESOR: Respuestas correctas: b,c,d Respuestas incorrecta: a Debe diferenciarse el acceso a la historia clínica completa del paciente (que en ningún caso parece razonable y justificada) con el acceso a aquella información que puede ser adecuada, pertinente y no excesiva, atendiendo a la finalidad que persigue la asistencia social a los enfermos por los trabajadores sociales integrados en los equipos de atención primaria. Dado que la atención a los pacientes por los trabajadores sociales de los equipos de atención primaria se realiza, normalmente, a partir de un parte de interconsulta emitido por el facultativo que le está prestando la atención sanitaria, sería recomendable que en el citado documento o en cualquier otro que pueda utilizarse para que el paciente acceda a la consulta de los trabajadores sociales, se incluyera un texto informativo conforme a lo establecido en el artículo 5 de la LOPD y se aprovechara para que quedara constancia del consentimiento del enfermo para que el trabajador social tenga acceso a la información referente a su salud que sea necesaria para adecuar las actuaciones sociales que fuera necesario llevar a cabo. No obstante, al igual que en el caso del personal administrativo de los Centros Sanitarios, aún cuando los trabajadores sociales no se encuentran dentro de las profesiones sanitarias, en el legítimo ejercicio de sus funciones dentro de la prestación socio-sanitaria en que consiste la atención primaria, parece adecuado que puedan acceder a aquellos datos de los pacientes a los que deben atender, que resulten realmente necesarios para la actuación social que pueda resultar necesaria, con un estricto respeto al principio de calidad de los datos. Respecto de las funciones propias de los trabajadores sociales, estas pueden consultarse, por ejemplo, en la web del Colegio Profesional de Trabajo Social de Málaga ( Respecto de las funciones propias de los trabajadores sociales sanitarios, estas pueden consultarse, por ejemplo en: Web del Hospital Universitario Virgen del Rocío (

Dudas del profesional: ¿Cuál es el desarrollo y alcance de la Historia Social? La historia social es un buen ejemplo de tratamiento de datos de carácter personal, aunque no ha sido objeto de desarrollo legal, a diferencia de la historia clínica, que sí lo ha sido a través de la Ley 41/2002, de 14 de noviembre, Básica Reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en Materia de Información y Documentación Clínica, y diferentes Leyes autonómicas. La historia social es un instrumento documental en el que se registran exhaustivamente los datos personales, familiares, sanitarios, de vivienda, económicos, laborales, educativos y cualesquiera otros significativos de la situación sociofamiliar de un usuario, la demanda, el diagnóstico y subsiguiente intervención y la evolución de tal situación. NOTAS DEL PROFESOR: (…) La historia social es un buen ejemplo de tratamiento de datos de carácter personal, aunque no ha sido objeto de desarrollo legal, a diferencia de la historia clínica, que sí lo ha sido a través de la Ley 41/2002, de 14 de noviembre, Básica Reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en Materia de Información y Documentación Clínica, y diferentes Leyes autonómicas. Por tanto, para atender a la definición de historia social y para enmarcar su contenido habrá que acudir al Código Deontológico de la profesión de Diplomado en Trabajo Social, conforme al texto aprobado por la asamblea general de colegios oficiales de diplomados en trabajo social y asistentes sociales en su sesión extraordinaria de 29 de mayo de El artículo 3 de dicho Código define la historia social como un instrumento documental en el que se registran exhaustivamente los datos personales, familiares, sanitarios, de vivienda, económicos, laborales, educativos y cualesquiera otros significativos de la situación sociofamiliar de un usuario, la demanda, el diagnóstico y subsiguiente intervención y la evolución de tal situación. Las historias sociales permiten describir, analizar, sintetizar y cuantificar las situaciones de los beneficiarios de los servicios sociales tanto a nivel personal como en relación con su entorno. Las historias sociales son imprescindibles, ya que aportan al profesional datos básicos para fijar objetivos, un plan de trabajo, con calendarios, períodos y procedimientos de intervención. Recomendación 1/2005 de la Agencia de Protección de Datos de la Comunidad de Madrid

Dudas del profesional: ¿Se ha publicado y notificado el Fichero específico que da cobertura a la Historia Social? No. Atendiendo a la naturaleza de los datos que contienen las historias sociales, que se corresponden con los definidos en la LOPD como especialmente protegidos, deberán adoptarse las medidas correspondientes al mayor nivel de seguridad exigible cuando se proceda al tratamiento de dichos datos personales. NOTAS DEL PROFESOR: En España, por poner un ejemplo, el Sistema de Información de Usuarios de Servicios Sociales (SIUSS) es una aplicación informática de amplio uso en los servicios sociales generales, comunitarios o de atención primaria. Este sistema es empleado básicamente por ayuntamientos y diputaciones. Consejería de Salud: FICHERO I.V.E. SUMINISTRAR INFORMACION SOBRE EL PATRON DEMOGRAFICO Y SOCIAL DE LAS MUJERES QUE RECURREN A LA IVE IDENTIFICANDO AREAS DE MAYOR DEMANDA Y DESCRIBIENDO CARACTERISTICAS DEL SERVICIO PRESTADO TANTO POR RED PUBLICA COMO PRIVADA SERVIR DE ORIENTACION PARA PLANIFICACION SERVICIOS PROMOCION SALUD MUJER ANALISIS EPIDEMIOLOGICO PROVINCIAL Y REGIONAL CONSEJERIA DE SANIDAD SERVICIO MADRILEÑO DE SALUD HOSPITAL VIRGEN DE LA POVEDA Nombre del fichero: HISTORIA SOCIAL Finalidad:DISPONER DE DATOS GLOBALES DE LOS PACIENTES CON EL FIN DE REALIZAR UNA INTERPRETACION DIAGNOSTICA DE LAS NECESIDADES O CARENCIAS Y LAS POSIBLES INTERVENCIONES PARA AYUDARLES A RESOLVER LOS PROBLEMAS SOCIALES OTROS CENTROS SANITARIOS CON FICHERO DE HISTORIA SOCIAL: CONSEJERIA DE SANIDAD GERENCIA REGIONAL DE SALUD HOSPITAL SANTOS REYES CONSEJERIA DE SANIDAD GERENCIA REGIONAL DE SALUD GERENCIA DE ATENCION PRIMARIA DE VALLADOLID ESTE CONSEJERIA DE SANIDAD GERENCIA REGIONAL DE SALUD HOSPITAL SANTIAGO APOSTOL CONSEJERIA DE SANIDAD GERENCIA REGIONAL DE SALUD COMPLEJO ASISTENCIAL DE BURGOS CONSEJERIA DE SANIDAD GERENCIA REGIONAL DE SALUD GERENCIA DE ATENCION PRIMARIA DE VALLADOLID OESTE

Dudas del profesional: ¿Podrían registrarse los datos referentes a la situación personal y social del paciente en la Historia Clínica? En aquellos centros en los que, además de la asistencia social, se dé también asistencia sanitaria, se tendrá especial cuidado en diferenciar y separar el archivo y custodia de los datos que componen la Historia Social de aquellos que tienen un fin específicamente asistencial sanitario y que se integrarán en la historia clínica del usuario. NOTAS DEL PROFESOR: Recomendación 1/2005, de 5 de agosto, de la Agencia de Protección de Datos de la Comunidad de Madrid, sobre Archivo, Uso y Custodia de la Documentación que compone la Historia Social no informatizada por parte de los Centros Públicos de Servicios Sociales de la Comunidad de Madrid (aprobada por Resolución del Director de la Agencia de Protección de Datos de la Comunidad de Madrid con fecha ) (BO. Comunidad de Madrid 11 agosto 2005, núm. 190, [pág. 7])

Dudas del profesional: ¿Qué datos de salud podría tener La Historia Social? La historia social, siempre que se cuente con el consentimiento expreso del usuario o de su representante legal, podrá recoger aquellos datos de salud que reflejen situaciones de incapacidad o minusvalía, física o psíquica, reconocida legalmente o de hecho, o cualquier otro dato de salud que pueda afectar y repercutir en la situación personal y social del usuario o beneficiario de la prestación social. NOTAS DEL PROFESOR: Recomendación 1/2005, de 5 de agosto, de la Agencia de Protección de Datos de la Comunidad de Madrid, sobre Archivo, Uso y Custodia de la Documentación que compone la Historia Social no informatizada por parte de los Centros Públicos de Servicios Sociales de la Comunidad de Madrid (aprobada por Resolución del Director de la Agencia de Protección de Datos de la Comunidad de Madrid con fecha ) (BO. Comunidad de Madrid 11 agosto 2005, núm. 190, [pág. 7])

¿Quién puede acceder a la Historia Social?
CASO PRÁCTICO 14: La Hª Social en las Instituciones Sanitarias Dudas del profesional: ¿Quién puede acceder a la Historia Social? A la Historia Social de un usuario podrán acceder aquellos profesionales sociales que participen en su proceso asistencial y siempre que el acceso sea necesario para el ejercicio de sus funciones. Los profesionales que prestan la asistencia social al interesado tienen acceso a la historia social completa de éste, como instrumento fundamental para su adecuada asistencia. NOTAS DEL PROFESOR: Recomendación 1/2005 de la APDCM Tercero. Seguridad del archivo de historias sociales 2. Obligaciones del personal Para fijar las obligaciones del personal de cada centro, habrá que distinguir entre los profesionales encargados de prestar la asistencia social al usuario del personal de administración y gestión y del personal sanitario que pueda existir en el centro, señalando que con carácter general todos están obligados por el deber de secreto, deber que con carácter genérico y respecto de los datos de carácter personal viene previsto en el artículo 10 de la LOPD y en el artículo 11 de la LPDCM. Los profesionales que prestan la asistencia social al interesado tienen acceso a la historia social completa de éste, como instrumento fundamental para su adecuada asistencia. Código Deontológico de las Profesiones de Diplomados en Trabajo Social Artículo Los sistemas de informatización de los datos contenidos en fichas, historias, expedientes e informes sociales deben garantizar el derecho a la intimidad del usuario/cliente, siendo el acceso a la citada información restringido a los profesionales directamente implicados en la práctica profesional.

¿El paciente puede acceder a los datos obrantes en el fichero?
CASO PRÁCTICO 14: La Hª Social en las Instituciones Sanitarias Dudas del profesional: ¿El paciente puede acceder a los datos obrantes en el fichero? Derechos de acceso, rectificación, cancelación y oposición. Procedimiento de tutela de derechos ante la AEPD. Sí, además debe realizarse sin ningún coste para el usuario. NOTAS DEL PROFESOR:

Dudas del profesional: ¿Los profesionales sanitarios pueden acceder a la Historia Social de un paciente? Sólo podrán acceder a aquellos datos de circunstancias sociales del paciente que tengan una relación directa con el posible diagnóstico o tratamiento de la salud del interesado, cuando esos datos resultan necesarios para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o la gestión de servicios sanitarios. Código Deontológico de la Profesión de Diplomado en Trabajo Social. Artículo 36: “El diplomado en trabajo social/asistente social debe guardar secreto de todo lo que los usuarios/clientes le transmitan y confíen, así como de lo que conozca en su ejercicio profesional. Tanto la recogida como la comunicación de datos debe ser restringida a las necesidades de la intervención profesional.“ NOTAS DEL PROFESOR: Recomendación 1/2005, de 5 de agosto, de la Agencia de Protección de Datos de la Comunidad de Madrid, sobre Archivo, Uso y Custodia de la Documentación que compone la Historia Social no informatizada por parte de los Centros Públicos de Servicios Sociales de la Comunidad de Madrid (aprobada por Resolución del Director de la Agencia de Protección de Datos de la Comunidad de Madrid con fecha ) (BO. Comunidad de Madrid 11 agosto 2005, núm. 190, [pág. 7]) Tercero. Seguridad del archivo de historias sociales. 2. Obligaciones del personal Código Deontológico de la Profesión de Diplomado en Trabajo Social Artículo 36.- El diplomado en trabajo social/asistente social debe guardar secreto de todo lo que los usuarios/clientes le transmitan y confíen, así como de lo que conozca en su ejercicio profesional. Tanto la recogida como la comunicación de datos debe ser restringida a las necesidades de la intervención profesional.

Dudas del profesional: ¿Debe atenderse la solicitud de datos de un usuario/paciente realizada por los Servicios Sociales Municipales? [Regla general - 1/2] Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado. Ley habilitante: 6/1995 de Garantía de los Derechos de la Infancia y la Adolescencia. Art b: competencia para poder solicitar informes de cuantas personas u organismos puedan facilitar datos relevantes para el conocimiento y la valoración de la situación socio familiar del menor. NOTAS DEL PROFESOR: ¿Debe atenderse la solicitud de datos de un usuario, realizada a un centro de drogodependientes por los Servicios Sociales Municipales y el Instituto Madrileño del Menor y la Familia, a los efectos de valorar si su situación puede suponer un riesgo para el adecuado desarrollo y cuidado de sus hijos? La LOPD viene a regular en sus artículos 6 y 11 uno de los principios básicos en esta materia, como es el principio del consentimiento. En base a este principio se establece que, para la recogida, tratamiento y cesión de los datos de carácter personal se precisará el consentimiento de los propios afectados. En este sentido y respecto de la cesión de datos, el artículo 11.1 establece que: “Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado”. Sin embargo, dicha norma general no es absoluta y así, el propio artículo 11 en su apartado 2, regula una serie de excepciones a la misma, entre las que se encuentra, la posibilidad de que una ley autorice y regule la cesión. La protección del menor viene regulada a través de la Ley 6/1995, de 28 de marzo, de Garantías de los Derechos de la Infancia y la Adolescencia. Dicha norma establece en su artículo 52 que en el momento en que se tenga conocimiento de que un menor se encuentra en situación de desamparo se iniciará por el órgano competente de la Administración Autonómica el oportuno expediente que deberá tramitarse de conformidad con una serie de principios, entre los que se encuentra el previsto en el apartado 1 b), a través del cual se posibilita la competencia para poder solicitar informes de cuantas personas u organismos puedan facilitar datos relevantes para el conocimiento y la valoración de la situación socio familiar del menor.

Dudas del profesional: ¿Debe atenderse la solicitud de datos de un usuario/paciente realizada por los Servicios Sociales Municipales? [Menores - 2/2] Ley 1/98 de los derechos y la atención al menor (Andalucía), artículo 10.6: Los titulares de los servicios de salud y el personal sanitario de los mismos están especialmente obligados a poner en conocimiento de los organismos competentes de la Administración de la Junta de Andalucía en materia de protección de menores, de la Autoridad Judicial y del Ministerio Fiscal aquellos hechos que puedan suponer la existencia de situaciones de desprotección o situaciones de riesgo para los menores, así como a colaborar con los mismos para evitar y resolver tales situaciones en interés del menor. NOTAS DEL PROFESOR:

¿Es obligatorio ceder datos de usuarios a la Policía?
CASO PRÁCTICO 14: La Hª Social en las Instituciones Sanitarias Dudas del profesional: ¿Se puede acceder a los datos de menores para un trabajo de investigación? Regla general, consentimiento o disociación. Aplicar los criterios del caso práctico 3 “publicación de un estudio epidemiológico”. ¿Es obligatorio ceder datos de usuarios a la Policía? Sí, pero la petición debe ser motivada ajustándose al principio de calidad de datos. Aplicar los criterios del caso práctico 11 “solicitud de datos por la policía judicial”. NOTAS DEL PROFESOR: Recomendación 1/2005 de la APDCM 5. Uso de la historia social con fines de investigación, docencia o similares Todos aquellos usos a que quiera destinarse la información contenida en la historia social, distintos del estrictamente asistencial o de gestión de los centros, deberá realizarse con datos previamente disociados. En el caso de que no fuera posible realizar la actividad pretendida con los datos disociados, será obligatorio obtener el consentimiento del titular de los mismos, o persona que lo represente legalmente. Código Deontológico de la Profesión de Diplomado en Trabajo Social Artículo 37.- La información que le sea requerida al profesional a efectos estadísticos, de planificación, evaluación de programas u otros, debe facilitarla sin los datos identificativos de los usuarios/clientes. CUMPLIMIENTO DE LA LEY ORGÁNICA 15/1999 EN LA CESIÓN DE DATOS ENTRE SERVICIOS SOCIALES Y POLICIA PREVISTOS EN EL PROTOCOLO DE COLABORACION EN LA LUCHA CONTRA LA VIOLENCIA DE GÉNERO

Código Deontológico. Artículo 40:
CASO PRÁCTICO 14: La Hª Social en las Instituciones Sanitarias Dudas del profesional: ¿El Asistente Social del Ayuntamiento puede compartir datos de un usuario con profesionales sanitarios en una Comisión de Seguimiento de Casos? Código Deontológico. Artículo 40: No se vulnera el secreto profesional en los siguientes supuestos: b) En la relación y colaboración del diplomado en trabajo social/asistente social con otros profesionales de distinto ámbito técnico o de otras disciplinas, siempre que dicha colaboración se produzca en el marco de la intervención profesional. NOTAS DEL PROFESOR: Código Deontológico de la Profesión de Diplomado en Trabajo Social Artículo 40.- No se vulnera el secreto profesional en los siguientes supuestos: a) Por la realización de la actividad profesional en equipo, siempre que lo que se revele sea necesario para la intervención profesional. b) En la relación y colaboración del diplomado en trabajo social/asistente social con otros profesionales de distinto ámbito técnico o de otras disciplinas, siempre que dicha colaboración se produzca en el marco de la intervención profesional. c) Si con el mantenimiento del secreto profesional se produjera un perjuicio al propio usuario/cliente, por causa de su incapacidad física o psíquica, o se dañaran los intereses de terceros declarados incapaces o no. d) Para evitar una lesión notoriamente injusta y grave que la guarda del secreto profesional pudiera causar al profesional o a un tercero. e) Cuando el profesional fuera relevado del secreto profesional por el propio usuario/cliente o sus herederos. Dicho acto de relevo deberá constar por escrito. En los casos contemplados en los casos c) y d) del presente artículo, los diplomados en trabajo social/asistentes sociales deben ser relevados de la guarda del secreto profesional por la Junta de Gobierno del Colegio Oficial donde se hallen colegiados, previo asesoramiento de la Comisión Deontológica, cuando la haya.

Ley Orgánica 15/99 de Protección de Datos de Carácter Personal.
CASO PRÁCTICO 14: La Hª Social en las Instituciones Sanitarias Normativa aplicable: Ley Orgánica 15/99 de Protección de Datos de Carácter Personal. RD 1720/2007 de 21 Diciembre. Recomendación 1/2005, de 5 de agosto, de la Agencia de Protección de Datos de la Comunidad de Madrid. Código Deontológico de la Profesión de Diplomado en Trabajo Social Circular 1/87 de la Consejería de Salud, que regula las funciones de los Trabajadores Sociales en el ámbito de la Atención Primaria de Salud . Normativa Servicios Sociales Notas para el Profesor

CASO PRÁCTICO 14: La Hª Social en las Instituciones Sanitarias Resumen: Conceptos que hay que tener muy claros: El acceso del trabajador social a la Hª Clínica y del personal sanitario a la Hª Social debe ser proporcional. Deben aplicarse a la Hª Social los “mismos” criterios de protección de datos que a la Hª Clínica (archivo, conservación, custodia, acceso, ejercicio de derechos,…) Debe diferenciarse la Hª Social de la Hª Clínica. “Posibilidad” de cesiones de datos a los Servicios Sociales Los usos de la Hª Social con fines de investigación, docencia o similar, deberán hacerse con datos disociados. NOTAS DEL PROFESOR:

Casos similares: El tratamiento de datos de carácter personal relativos a la Historia Social es similar al tratamiento de datos de carácter personal relativos a la Historia Clínica. Notas para el Profesor

Caso Real: Notas para el Profesor

CONCLUSIONES/DECÁLOGO
1 RECUERDA QUE LOS DATOS SON DE LAS PERSONAS 2 PARA EMPEZAR, COMPRUEBA QUE EL FICHERO ESTÁ CREADO 3 INFORMA Y PIDE EL CONSENTIMIENTO 4 SOLICITA Y TRATA SÓLO DATOS ADECUADOS, PERTINENTES Y NO EXCESIVOS 5 CUMPLE LAS MEDIDAS DE SEGURIDAD 6 FACILITA EL EJERCICIO DE DERECHOS “ARCO” A LAS PERSONAS A LAS QUE SE REFIEREN LOS DATOS 7 CUMPLE CON TU DEBER DE SECRETO 8 NO CEDAS DATOS SIN AUTORIZACIÓN 9 COMPRUEBA QUE EXISTE UN CONTRATO CON EMPRESAS QUE TRABAJAN PARA TU ADMINISTRACIÓN 10 CUANDO NO SEAN NECESARIOS CANCELA LOS DATOS DE FORMA ADECUADA

CONSECUENCIAS La adecuación de los centros a la Ley Orgánica de Protección de Datos, además de ser una obligación legal, permite: Cumplimiento del Contrato Programa Acreditación de Servicios (ACSA) Acreditación de Centros (ACSA) Hemos de considerar las denuncias e inspecciones de las que fuimos objeto: Agencia Española de Protección de Datos: Consejería de Hacienda y Administración Pública 2008 Inspección en Servicios Centrales del SAS 2007 Inspección en Distrito Sanitario Almería… AÑO CENTRO 2010 Solicitud de informe on-line a los hospitales 2006 Denuncia A.G.S. Campo de Gibraltar 2008 Denuncia Hospital Reina Sofía Denuncia D.S.A.P. Málaga 2007 Denuncia Hospital Virgen del Rocío 2005 Denuncia Hospital Carlos Haya NOTAS DEL PROFESOR: ACSA: Agencia de Calidad Sanitaria de Andalucía Denuncias. Sólo se describen las más relevantes. 2008 Hospital Reina Sofía: Denuncia de un paciente 2007 Hospital Virgen del Rocío: Denuncia de un profesional 2006 Área Sanitaria Campo de Gibraltar: Denuncia de un sindicato 2006 Distrito Sanitario Málaga: Denuncia de un sindicato 2005 Hospital Carlos Haya: Denuncia de un paciente Inspecciones Programa General de Inspección de la CJAP

Agencia Española de Protección de Datos
FUENTES DE INFORMACIÓN ADICIONALES Agencia Española de Protección de Datos Agencia Madrileña de Protección de Datos. Consultas Servicios Sanitarios Unidad de Gestión de Riesgos Digitales Instituto Nacional de Tecnologías de la Comunicación Curso LOPD on-line. Consjería de empleo BOE / BOJA

PLAN DE SENSIBILIZACIÓN EN MATERIA DE PROTECCIÓN DE DATOS

Presentaciones similares

Presentación del tema: "PLAN DE SENSIBILIZACIÓN EN MATERIA DE PROTECCIÓN DE DATOS"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback

Iniciar la sesión

Autorizarse a través de una red social:

PLAN DE SENSIBILIZACIÓN EN MATERIA DE PROTECCIÓN DE DATOS

Presentaciones similares

Presentación del tema: "PLAN DE SENSIBILIZACIÓN EN MATERIA DE PROTECCIÓN DE DATOS"— Transcripción de la presentación:

Presentaciones similares

Sobre el proyecto

Feedback