Revista
- Punto de Encuentro -
 Punto Informativo

Volver a la Página Principal

PROTECCIÓN DE DATOS

  La actual normativa en materia de protección de datos (Real Decreto 994/1999 de 11 de junio / Ley Orgánica 15/1999 de 13 de diciembre) impone a todos aquellos que mantengan organizados una serie de datos personales a terceros las obligaciones de registrar los ficheros en la Agencia de Protección de Datos y de implantar determinadas medidas de seguridad.

IMPLANTACIÓN DE MEDIDAS DE SEGURIDAD: 

   El responsable del fichero está obligado a adoptar las medidas de índole técnica y organizativas que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado.

   Las medidas de seguridad exigibles se clasifican en tres niveles: básico, medio y alto. Los ficheros que contengan datos relativos a la salud deberán cumplir los tres.

   Los ficheros creados antes del día 26 de junio del 1999 deben implantar las medidas de seguridad de nivel alto antes del día 26 de junio de 2002.

Medidas de seguridad de nivel básico, medio y alto: 

   Documento de seguridad: el responsable del fichero elaborará e implantará la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos automatizados de carácter personal y a los sistemas de información.

   Este documento deberá contener, como mínimo, los siguientes aspectos: 

a) Ámbito de aplicación del documento con especificación, detallada de los recursos protegidos.

b) Medidas, normas, procedimientos, reglas y estándares encaminados a garantizar el nivel de seguridad exigido en el Reglamento.

c) Funciones y obligaciones del personal.

d) Estructura de los ficheros con datos de carácter personal y descripción de los sistemas de información que los tratan.

e) Procedimiento de notificación, gestión y respuesta ante las incidencias.

f) Los procedimientos de realización de copias de respaldo y de recuperación de los datos.

g) Identificación del responsable o responsables de seguridad. 

h) Los controles periódicos que se deban realizar para verificar el cumplimiento de lo dispuesto en el propio documento.

i) Medidas a adoptar cuando un soporte vaya a ser desechado o reutilizado.

   Este documento de seguridad deberá mantenerse en todo momento actualizando y deberá ser revisado siempre que se produzcan cambios relevantes en el sistema de información o en la organización del mismo.

   El documento de seguridad no hay que presentarlo en la Agencia de Protección de Datos, sino tan sólo tenerlo disponible por si fuera requerido. La Agencia no ha elaborado ningún modelo de este documento de seguridad.

   Funciones y obligaciones del personal: tal como requiere el documento de seguridad, las funciones y obligaciones de cada una de las personas con acceso a los datos de carácter personal y a los sistemas de información estarán claramente definidas y documentadas. El responsable del fichero adoptará las medidas necesarias para que el personal conozca las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.

   Registro de incidencias: el procedimiento de notificación y gestión de incidencias contendrá necesariamente un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se le comunica y los efectos que se hubieran derivado de la misma.

   En este registro deberán consignarse, además, los procedimientos realizados de recuperación de los datos, indicando la persona que ejecutó el proceso, los datos restaurados y, en su caso, qué datos ha sido necesario grabar manualmente en el proceso de recuperación. Para la ejecución de los procedimientos de recuperación de los datos será necesaria la autorización por escrito del responsable del fichero.

   Identificación y autenticación: el responsable del fichero se encargará de que exista una relación actualizada de usuarios que tengan acceso autorizado al sistema de información y de establecer procedimientos de identificación y autenticación para dicho acceso.

   Cuando el mecanismo de autenticación se base en la existencia de contraseñas existirá un procedimiento de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad.

   El responsable del fichero establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.

   Se limitará la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.

   Control de Acceso: los usuarios del fichero tendrán acceso autorizado únicamente a aquellos datos y recursos que precisen para el desarrollo de sus funciones, estableciendo el responsable del fichero mecanismos para evitar que un usuario pueda acceder a datos o recursos con derechos distintos de los autorizados. Conforme a esto, la relación de usuarios contendrá el acceso autorizado para cada uno de ellos.

   Exclusivamente el personal autorizado para ello en el documento de seguridad podrá conceder, alterar o anular el acceso autorizado sobre los datos y recursos, conforme a los criterios establecidos por el responsable del fichero.

   Registro de accesos: de cada acceso se guardarán, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado.

   En el caso de que el acceso haya sido autorizado, será preciso guardar la información que permita identificar el registro accedido.

   Los mecanismos que permiten el registro de los datos detallados en los párrafos anteriores estarán bajo el control directo del responsable de seguridad competente sin que se deba permitir, en ningún caso, la desactivación de los mismos.

   El período mínimo de conservación de los datos registrados será de dos años.

   El responsable de seguridad competente se encargará de revisar periódicamente la información de control registrada y elaborará un informe de las revisiones realizadas y los problemas detectados al menos una vez al mes.

   Control de acceso físico: exclusivamente el personal autorizado en el documento de seguridad podrá tener acceso a los locales donde se encuentren ubicados los sistemas de información con datos de carácter personal.

   Gestión de soportes: los soportes informáticos que contengan datos de carácter personal deberán permitir identificar el tipo de información que contienen, ser inventariados y almacenarse en un lugar con acceso restringido al personal autorizado para ello en el documento de seguridad.

   La salida de estos soportes fuera de los locales en los que esté ubicado el fichero únicamente podrá ser autorizada por el responsable del fichero.

   Deberá establecerse un sistema de registro de entrada y salida de soportes informáticos que permita, directa o indirectamente, conocer el tipo de soporte, la fecha y hora, el emisor o destinatario, el número de soportes, el tipo de información que contienen, la forma de envío y la persona responsable de la recepción o entrega que deberá estar debidamente autorizada.

   Cuando un soporte vaya a ser desechado o reutilizado, se adoptarán las medidas necesarias para impedir cualquier recuperación posterior de la información almacenada en él, previamente a que se proceda a su baja en el inventario.

   Cuando los soportes vayan a salir fuera de los locales en que se encuentren ubicados los ficheros como consecuencia de operaciones de mantenimiento, se adoptarán las medidas necesarias para impedir cualquier recuperación indebida de la información almacenada en ellos.

   Copias de respaldo y recuperación: el responsable del fichero se encargará de verificar la definición y correcta aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos.

   Deberán realizarse copias de respaldo, al menos semanalmente, salvo que en dicho período no se hubiera producido ninguna actualización de los datos.

   Deberá conservarse una copia de respaldo y de los procedimientos de recuperación de los datos en un lugar diferente de aquel en que se encuentren los equipos informáticos que los tratan, cumpliendo, en todo caso, las medidas de seguridad exigidas en este Reglamento.

   Responsable de seguridad: el responsable del fichero designará uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el documento de seguridad. En ningún caso esta designación supone una delegación de la responsabilidad que corresponde al responsable del fichero.

   Auditoría: los sistemas de información e instalaciones de tratamiento de datos se someterán a una auditoría interna o externa, que verifique el cumplimiento del Reglamento, de los procedimientos e instrucciones vigentes en materia de seguridad de datos, al menos, cada dos años.

   El informe de auditoría deberá dictaminar sobre la adecuación de las medidas y controles al Reglamento, identificar sus deficiencias y proponer las medidas correctoras o complementarias necesarias. Deberá, igualmente, incluir los datos, hechos y observaciones en que se basen los dictámenes alcanzados y recomendaciones propuestas.

   Los informes de auditoría serán analizados por el responsable de seguridad competente, que elevará las conclusiones al responsable del fichero para que adopte las medias correctoras adecuadas y quedarán a disposición de la Agencia de Protección de Datos.

   Pruebas con datos reales: las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos  de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tipo de fichero tratado.

   Telecomunicaciones: la transmisión de datos a carácter personal a través de redes de telecomunicaciones se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que la información no sea inteligible ni manipulada por terceros.

INSCRIPCIÓN DE LOS FICHEROS:

   Los ficheros que ya existían el día 14 de enero de 2000 deberán adecuarse a la normativa vigente e inscribirse en la Agencia de Protección de Datos:

   En el caso de ficheros automatizados antes del día 14 de enero de 2003.

   En el caso de ficheros no automatizados antes del día 24 de octubre de 2007.

   Los ficheros de nueva creación deben registrarse en la Agencia previamente a su utilización.

   El modelo de inscripción de los ficheros se compone de una hoja de solicitud de inscripción (es la primera), y de las hojas de detalle de la notificación (todas las restantes).

   La hoja de solicitud de inscripción deberá ser cumplimentada y presentada en todo caso en papel y debidamente firmada, cualquiera que sea el tipo y la modalidad de presentación de las hojas anteriores.

   La forma de presentación puede ser a través de Internet, mediante soporte magnético o en formulario en soporte papel.

   Si se desea presentar a través de Internet o mediante soporte magnético es necesario descargar e instalarse el programa de ayuda para la generación de notificaciones a través de Internet o en soporte magnético (www.agenciaprotecciondatos.org )

   Si se desea utilizar el formulario en papel se puede obtener de la página Web de la Agencia (www.agenciaprotecciondatos.org ) o fotocopiándolo directamente del B.O.E. núm. 153 de 27 de junio de 2000.

   La remisión del formulario ha de realizarse por correo o entregándola en mano en el Registro (AGENCIA DE PROTECCIÓN DE DATOS calle Sagasta, 22. 28004. MADRID).

   Si se ha optado por la declaración a través de Internet la hoja de solicitud generada por el programa deberá enviarse al número de Fax 91-4483680 o bien a través del correo.

   Es importante recordar que cualquier modificación posterior en el contenido de la inscripción de un fichero en el Registro General de Protección de Datos deberá comunicarse a la Agencia de Protección de Datos mediante una solicitud de modificación o de supresión de la inscripción.

   Apartados que deben cumplimentarse: sólo deben cubrirse obligatoriamente la hoja de solicitud y los apartados: Responsable, Nombre del Fichero, Sistema de Tratamiento, Medidas de Seguridad, Estructura, Finalidad y Procedencia.

   No obstante, deberán rellenarse el resto de apartados en caso de que sea necesario.

   Los impresos se deben cumplimentar a máquina o utilizando bolígrafo, y con letras mayúsculas.

   Las fechas deberán indicarse con 2 dígitos para el día y el mes, y 4 dígitos para el año (ddmmaaaa).

   En el apartado TIPO DE VÍA, los códigos que deben ponerse, más comunes son: PO - paseo; VI - vía; RD - ronda; AV - avenida; CL calle; GT - glorieta; PG - polígono; PQ - parque TV travesía; CM - camino; CR - carretera; LG - lugar; UR- urbanización.

   En CÓDIGO ACTIVIDAD PRINCIPAL hay que poner 851, que es el código de actividad sanitarias.

   Para más información sobre este tema puedes dirigirte a AGENCIA DE PROTECCIÓN DE DATOS (teléfono de atención al ciudadano 91-3996200) a las oficinas de este Colegio (986-864449).

   LEGISLACIÓN

  1. LEY ORGÁNICA 15/99 de 13 de diciembre, de Protección de Datos de Carácter Personal.

  2. REAL DECRETO 1332/94 de 20 de junio por el que se desarrollan algunos preceptos de la Ley Orgánica.

  3. INSTRUCCIÓN 1/95, de 1 de marzo de la Agencia de Protección de Datos, relativa a prestación de servicios de información sobre solvencia patrimonial y crédito.

  4. INSTRUCCIÓN 2/1995, de 4 de mayo, de la Agencia de Protección de Datos, sobre medidas que garantizan la intimidad de los datos personales recabados como consecuencia de la contratación de un seguro de vida de forma conjunta con la concesión de un préstamo hipotecario o personal.

  5. INSTRUCCIÓN 1/1996, de 1 de marzo, de la Agencia de Protección de Datos, sobre ficheros automatizados establecidos con la finalidad de controlar el acceso a los edificios.

  6. INSTRUCCIÓN 2/1996, de 1 de marzo, de la Agencia de Protección de Datos, sobre fichero automatizados establecidos con la finalidad de controlar el acceso a los casinos y salas de bingo.

  7. INSTRUCCIÓN 1/98, de 19 de enero, de la Agencia de Protección de Datos,  relativa al Ejercicio de los Derechos de Acceso, Rectificación y Cancelación.

  8. REAL DECRETO 994/1999 de 11 de junio por el que se aprueba el Reglamento de Medidas de Seguridad de los Ficheros Automatizados que contengan Datos de Carácter Personal.

  9. REAL DECRETO 195/2000 de 11 de febrero por el que se establece el plazo para implementar las Medidas de Seguridad de los Ficheros Automatizados previstas por el Reglamento aprobado por el R.D. 994/1999 de 11 de junio.

  10. INSTRUCCION 1/2000, de 1 de diciembre, de la Agencia de Protección de Datos, relativa a las normas por las que se rigen los movimientos internacionales de datos.

  11. DIRECTIVA 95 / 46 / CE DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación.

AUTORIZACIÓN DE CENTROS, SERVICIOS Y ESTABLECIMIENTOS SANITARIOS.

   El pasado día 11 de abril han salido publicados en el Diario Oficial de Galicia núm. 72, el Decreto 77/2001 de 29 de marzo sobre centros, servicios y establecimientos sanitarios de la Comunidad Autónoma de Galicia, y la Orden de 29 de marzo de 2001 por la que se regula la autorización de centros, servicios y establecimientos sanitarios.

   Se trata básicamente de una puesta al día de la normativa existente, de la que vamos a detallar los aspectos que nos interesan; así, según el Decreto 77/2001, los centros servicios y establecimientos sanitarios tienen las siguientes obligaciones:

  1. Comunicar previamente su cierre.

  2. El cumplimiento de los requisitos técnicos y condiciones mínimas establecidos con carácter general o específico para su correcto funcionamiento.

  3. La adaptación de su estructura, organización y funcionamiento a lo establecido, en su caso, para cada clase o tipo de centro, servicio o establecimiento sanitario.

  4. Proporcionar la información solicitada por la Administración sanitaria.

  5. Mantener actualizada y expuesta al público una relación de servicios sanitarios autorizados en función de la titulación de los profesionales sanitarios.

  6. Garantizar en su caso la constancia documental, durante un mínimo de cinco años, de la atención sanitaria prestada a cada usuario, así como la confidencialidad de dicha documentación.

  7. Garantizar el cumplimiento de los derechos  de los usuarios que les sean de aplicación.

  8. Hojas de reclamaciones

  9. La identificación del personal del centro, servicio o establecimiento sanitario que deberá exhibir en lugar visible de su indumentaria.

  10. Tener designado un director que asuma la responsabilidad del centro, servicio o establecimiento sanitario.

  11. El cumplimiento de las obligaciones derivadas de los principios de coordinación, solidaridad e integración sanitaria en caso de emergencia y peligro para la salud.

   En cuanto a la Orden de 29 de marzo que tiene por objeto regular el procedimiento de autorización de los centros servicios y establecimientos sanitarios, hay que tener en cuenta que la mayoría de las clínicas dentales de nuestra demarcación se encuentran autorizadas por la Consellería de Sanidad, ya que en el año 1996/1997 este Colegio, de acuerdo con las delegaciones de Sanidad de Pontevedra y Ourense, había impulsado la legalización de las clínicas que en aquel momento aún no habían tramitado la documentación correspondiente.

   Estas clínicas ya autorizadas no tienen que volver a realizar el procedimiento de autorización, pero es importante tener en cuenta estos dos supuestos:

  1. Las clínicas dentales que a la entrada en vigor de la Orden (11 de mayo de 2001) cuenten con autorización de funcionamiento desde hace más de ocho años, dispondrán de un plazo de un año para solicitar su renovación. Para solicitar la renovación hay que presentar en la Delegación de Sanidad el impreso de Renovación de la Autorización de Funcionamiento de Centros, Servicios y Establecimientos Sanitarios, acompañado del justificante de liquidación de la tasa correspondiente. Transcurrido el citado plazo sin que sea solicitada la renovación, se entenderá que la clínica cesó en su actividad, por lo que se procederá a su baja en el registro.

  2. Las clínicas dentales que a la entrada en vigor de la Orden (11 de mayo de 2001) cuenten con autorización de funcionamiento desde hace menos de ochos años, deberán solicitar su renovación con una antelación mínima de tres meses a la fecha de cumplimiento de los ochos años desde la fecha de autorización. El método de renovación es el mismo que el descrito en el punto anterior. Transcurrido el citado plazo sin que sea solicitada la renovación, se entenderá que la clínica cesó en su actividad, por lo que se procederá a su baja en el registro.

   NOTA: nos encontramos en conversaciones con la Consellería con la intención de que sea la propia Administración la que notifique a la Clínica Dental correspondiente -bien directamente o por medio de este Colegio- la fecha de cumplimiento de los ocho años, ya que entendemos la dificultad que entraña el no pasarse del plazo previsto, con los problemas que acarrearía pues habría que volver a tramitar desde el principio la solicitud de la Autorización.

   Las clínicas que no hayan tramitado aún la solicitud de autorización, las de nueva creación, o las que se vayan a modificar sustancialmente, deberán seguir el siguiente procedimiento:

   Solicitud de autorización previa de creación o modificación: deberá presentarse en la correspondiente delegación provincial de Sanidad o en cualquiera de los registros previstos, y será suscrita por la persona física o jurídica titular, o su representante legal. Hay que cubrir el impreso correspondiente, el cual se puede fotocopiar del Diario Oficial de Galicia núm. 72 de 11 de abril, o solicitar en la delegación de Sanidad o a este Colegio. A este impreso se acompañará la siguiente documentación:

  1. D.N.I

  2. Cuando el solicitante se constituya como persona jurídica, CIF, copia compulsada de dicha constitución y certificación de su inscripción en el registro mercantil

  3. Documentos acreditativos de la propiedad o disponibilidad del espacio inmueble.

  4. Nombre comercial del centro, servicio o establecimiento y domicilio a efecto de notificaciones.

  5. Memoria de la naturaleza del centro, servicio y establecimiento sanitario en la que conste al menos:

    • Oferta de servicios sanitarios que pretenden ser autorizados en función de la titulación y especialidad reconocida de los profesionales.

    • Régimen de asistencia.

    • Previsión de plantilla de personal especificando las titulaciones y especialidades sanitarias reconocidas oficialmente.

    • Plan de equipamiento.

  6. Planos a escala de conjunto y detalle que permitan conocer la perfecta localización, identificación, destino y tamaño de las dependencias del centro, servicio o establecimiento sanitario y de sus diferentes áreas así como la ubicación del equipamiento más sobresaliente.

  7. Aquella otra que, tanto por parte del interesado como de la administración se considere necesaria para aclarar el expediente de autorización.

  8. Justificante de haber abonado la tasa correspondiente. El impreso de tasa se debe recoger en la delegación de sanidad. El importe a pagar es de 13.355 pesetas que debe ingresarse en cualquier entidad financiera colaboradora autorizada.

   Solicitud de autorización de funcionamiento: finalizada la instalación de la clínica y antes de iniciar la activida debe procederse a solicitar esta autorización, para lo cual hay que cubrir el impreso correspondiente y acompañarlo de la siguiente documentación:

  1. Identificación del director y documentación acreditativa de su conformidad.

  2. Plantilla de personal y en el caso de personal sanitario justificación documental de la titulación y especialidad correspondiente.

  3. Documentación acreditativa de las autorizaciones y requisitos que precisen las instalaciones o equipamiento conforme a la normativa de aplicación.

  4. Aquella otra que se considere necesaria para aclarar el expediente de autorización.

  5. Justificante de haber abonado la tasa correspondiente. El impreso de tasa se debe recoger en la delegación de sanidad. El importe a pagar es de 13.355 pesetas.

   Cuando la autorización se refiera a una clínica en funcionamiento se podrá tramitar su autorización acompañando además la documentación exigida para la tramitación de la autorización previa y la justificación de haber abonado la tasa correspondiente.

   Una vez tramitada la documentación se procederá a la visita de inspección.

   Comunicación de modificaciones: los cambios efectuados en la titularidad, denominación o director de una clínica serán comunicados en el plazo máximo de un mes adjuntando los documentos acreditativos al respecto. También se debe hacer por cambio del personal sanitario o por modificaciones no sustanciales.

  Traslado: el traslado de la clínica deberá seguir los mismos trámites que la creación de una nueva. Su autorización de funcionamiento implica el cierre de la anterior ubicación.