Loading presentation...

Present Remotely

Send the link below via email or IM

Copy

Present to your audience

Start remote presentation

  • Invited audience members will follow you as you navigate and present
  • People invited to a presentation do not need a Prezi account
  • This link expires 10 minutes after you close the presentation
  • A maximum of 30 users can follow your presentation
  • Learn more about this feature in our knowledge base article

Do you really want to delete this prezi?

Neither you, nor the coeditors you shared it with will be able to recover it again.

DeleteCancel

Make your likes visible on Facebook?

Connect your Facebook account to Prezi and let your likes appear on your timeline.
You can change this under Settings & Account at any time.

No, thanks

La realidad de la Protección de Datos en las Clínicas Dentales

LEGITEC describe la importancia de la legislación de las llamadas nuevas tecnologías (protección de datos, LSSI) en aplicación a la administración de empresas. Seminario en MBA de la Universidad de Murcia por Manuel Moreno
by

Manuel Moreno

on 12 April 2011

Comments (0)

Please log in to add your comment.

Report abuse

Transcript of La realidad de la Protección de Datos en las Clínicas Dentales

Presentación Ing. T. Informática.
Auditor de Sistemas de Información Certificado CISA por ISACA.
Gestor de Sistemas de Información Certificado CISM por ISACA.
Postgrado en Auditoría de Sistemas de Información.
Postgrado en Protección de Datos.
Auditor Jefe de SGSIs - ISO27001:2005.
Profesor Colaborador de la Universidad de Murcia
Director de Consultoría y Auditoría de LEGITEC (www.legitec.com)
Director de Symlogic, S.L. (www.symlogic.net)
Fundador de borrame.es
Socio estratégico DLC (dlcmurcia.com)
Destrucción confidencial de documentos Manuel Moreno Aliaga Concienciación.
Formación obligada y Sanciones.
Leyes y especialmente sus Reglamentos de desarrollo debido al continuo cambio tecnológico.
Porqué Qué Cómo Cuándo “Toda persona tiene derecho a saber por qué, quién, para qué y cómo son tratados sus datos personales y decidir sobre su tratamiento”.
¿Por qué especialmente ahora?
Exposición de motivos de la (LORTAD):
“El progresivo desarrollo de las técnicas de recolección y almacenamiento de datos y de acceso a los mismos ha expuesto a la privacidad, en efecto, a una amenaza potencial antes desconocida. […] la privacidad puede resultar menoscabada por la utilización de las tecnologías informáticas de tan reciente desarrollo.”
La distancia y el tiempo tienen hoy poca importancia en el acceso a la información. Hoy, 17 años después. Los datos de carácter personal son los que pueden permitir una intromisión en nuestra vida privada, nuestra intimidad. Protección de Datos Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal.
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley 15/1999, de 13 de diciembre, de
Protección de Datos de Carácter Personal.
Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y derechos y obligaciones en materia de información y documentación clínica.
Ley 34/2002, de 11 de julio de servicios de la sociedad de la información y comercio electrónico. LSSICE
Ley 44/2003, de 21 de noviembre, de ordenación de las profesiones sanitarias. Marco Legislativo Trabajadores, candidatos, CVs, ...
Historia Clínica:
Los informes de exploraciones complementarias y de interconsulta, si los hubiera
El consentimiento informado escrito o las anotaciones del verbal.
El odontograma.
El periodontograma.
Los modelos de estudio.
Las radiografías: teleradiografías o lateral de cráneo,
ortopantomografías y radiografías periapicales o intrabucales.
Las etiquetas de implantes.
Las analíticas de sangre.
Las anotaciones relativas a las prestaciones profesionales dadas con su fecha, y las especificaciones, si las hubiera.
Las fotografías. LOPD Constitución Española Artículo 18
“1. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.
2. El domicilio es inviolable. Ninguna entrada o registro podrá hacerse en él sin consentimiento del titular o resolución judicial, salvo en caso de flagrante delito.
3. Se garantiza el secreto de las comunicaciones y, en especial, de las postales, telegráficas y telefónicas, salvo resolución judicial. 4. La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. Evolución Legislativa 1992 – LORTAD. Ley Orgánica de Regulación del tratamiento Automatizado de Datos de carácter personal.
1995 - Directiva 95/46/CE del Parlamento Europeo y el Consejo de la Unión Europea
Nace norma BS17799 precursora de ISO27001
1999 – RMS. Reglamento de medidas de Seguridad. RD 994/1999 de 11 de Junio.
1999 – LOPD. L.O.15/99 de 13 de diciembre de Protección de Datos de Carácter Personal.
2002 – LSSICE. LEY 34/2002 de 11 de Julio de Servicios de la sociedad de la información y de comercio electrónico.
2008 - R.D 1720/07 de 21 de diciembre por el que se aprueba el reglamento de desarrollo de la LOPD (2008)
Objeto :garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar.

Se aplica a los datos de carácter personal registrados en soporte físico que los haga susceptibles de tratamiento.

Afecta a todo el que tenga ficheros conteniendo datos de carácter personal.

Excepciones:
Datos de personas de contacto de personas jurídicas.
Empresarios individuales.
Personas fallecidas. Objeto Definiciones Dato de Carácter Personal: Cualquier información numérica, alfabética, gráfica, fotográfica, acústica o de cualquier otro tipo concerniente a personas físicas identificadas o identificables.
Videocámara, IP, Matrícula coche, …

Fichero: Todo conjunto organizado de datos personales que permita el acceso a los datos con arreglo a criterios determinados, con cualquier forma de creación, almacenamiento, organización y acceso.

Excepciones:
Los realizados o mantenidos por personas físicas relacionados con actividades personales o domésticas (los tratamientos relativos a las actividades que se inscriben en el marco de la vida privada o familiar de los particulares)
Los sometidos a la normativa sobre protección de materias clasificadas.
Los establecidos para la investigación del terrorismo y de formas graves de delincuencia organizada. Principios Calidad de los datos , adecuación, pertinencia, exactitud, ...
Dcho. de información (en anamnesis, carteles, ...)
Consentimiento (menores, incapacitados, ...)
Datos especialmente protegidos
Medidas de Seguridad (responsabilidad de dirección o titular)
Deber de secreto
Comunicación de datos (laboratorios protésicos, aseguradoras...)
Acceso por cuenta de terceros. Derechos de las personas Impugnación de valoraciones.
Consulta al RGPD
Acceso
Rectificación
Cancelación
Oposición
Tutela de derechos ante la AEPD.
Indemnización.
Obligaciones del
responsable del fichero Inscripción de Ficheros (R.E.S)
Cumplimiento de principios.
Documento de Seguridad. Rble. Seguridad.
Implementación de medidas de seguridad.
Comunicar y formar al personal.
Garantizar confidencialidad en tratamientos.
Auditorías bienales.
Verificaciones de cumplimiento. Niveles de seguridad Básico.
Aplica a todos los ficheros con datos de carácter personal.
Medio
Relativos a infracciones administrativas o penales.
Solvencia patrimonial y crédito.
Relacionados con administración tributaria.
Entidades financieras.
Seguridad social. Mutuas de accidentes de trabajo.
Los que sean suficiente para determinar características o personalidad del individuo.
Retención de datos de tráfico y localización (Medio + registro de accesos)
Alto.
Datos especialmente protegidos: Ideología, afiliación sindical, religión, creencias, origen racial, salud o vida sexual.
Fines policiales sin consentimiento.
Violencia de género.
Infracciones y Sanciones Leves de 900€ a 40.000€ No atender derecho rectificación o cancelación
No inscribir los ficheros. Cuando no sea infracción grave.
No informar de manera correcta en la recogida de datos
Incumplir el deber de secreto. Cuando no sea infracción grave
Graves de 40.001€ a 300.000€ Muy Graves de 300.001 a 600.000€ Incumplir los principios de protección de datos.
Obstaculizar el ejercicio del derecho de acceso y oposición.
Vulnerar el deber de secreto respecto a datos de nivel medio.
No adoptar las medidas de seguridad.
No inscribir el fichero cuando haya sido requerido por la AEPD.
Incumplir el deber de información cuando los datos se hayan recabado de persona distinta del interesado. Cesión de datos que no estén permitidas.
Recabar y tratar datos especialmente protegidos si no lo dispone una ley o sin consentimiento.
Transferencias internacionales a países que no dispongan de nivel de protección equiparable a España.
No cesar en el uso ilegítimo de los datos cuando sea requerido a ello por el Director de la AEPD o por el titular.
Vulnerar el deber de secreto respecto de los datos especialmente protegidos.
Datos que tenemos LOPD Agencia Española de
Protección de Datos “La Agencia Española de Protección de Datos es un Ente de Derecho Público, con personalidad jurídica propia y plena capacidad pública y privada, que actúa con plena independencia de las Administraciones Públicas en el ejercicio de sus funciones […] y se relaciona con el Gobierno a través del Ministerio de Justicia.”

Vela por el cumplimiento de la legislación sobre protección de datos.
Atiende a tutela de derechos.
Potestad de inspección.
Potestad sancionadora
Sanciones LSSI Leves hasta 30.000€
Graves de 30.000€ a 150.000€
Muy graves de 150.000€ a 600.000€ LSSI Fuentes de información para el tratamiento con estos fines:
Fuentes accesibles al público.
Exclusivamente: El Censo promocional, los repertorios telefónicos, las listas de personas pertenecientes a grupos profesionales, diarios y boletines oficiales, los medios de comunicación.
Información
El origen de los datos: que los datos han sido obtenidos de fuentes accesibles al público, y de la entidad de la que hubieran sido obtenidos.
La identidad del responsable del tratamiento
Los derechos que le asisten y ante quién ejercitarlos
Otras prescripciones legales (LSSI)
Dcho. de exclusión y caducidad.

Consentimiento del interesado
para finalidades determinadas, explícitas y legítimas relacionadas con la actividad de publicidad o prospección comercial,
habiéndose informado a los interesados sobre los sectores específicos y concretos de actividad respecto de los que podrá recibir información o publicidad. / Excepción Marketing y publicidad Listas Robinson Responde a la facultad que la normativa otorga a los ciudadanos de ser excluidos de la actividad de publicidad: derecho de oposición.

El responsable del fichero podrá conservar los mínimos datos imprescindibles para identificar a la persona excluida y adoptar las medidas necesarias que eviten el envío de publicidad.

Objetivo: Permitir a los ciudadanos eliminar su nombre y dirección de los listados de publicidad con el fin de reducir al mínimo la publicidad que reciben en sus hogares en forma de mailings personalizados.

La Federación Española de Comercio Electrónico y Marketing Directo (FECMED), gestiona una de estas Listas Robinson. ¿A quién afecta? La Ley se aplica a todas las actividades que se realicen por medios electrónicos y tengan carácter comercial o persigan un fin económico.

La Ley se aplica tanto a las páginas web en las que se realicen actividades de comercio electrónico como a aquéllas que suministren información u ofrezcan servicios de forma gratuita para los usuarios, cuando constituyan una actividad económica para su titular.

En principio, la LSSI no se aplica a las actividades realizadas sin ánimo de lucro, como las de los partidos políticos, sindicatos, asociaciones, ONGs, etc, en cuanto no constituyan una actividad económica o comercial.
Obligaciones de información Obligaciones de información (web):
Denominación social, NIF, domicilio y dirección de correo electrónico, teléfono o fax.
Datos de inscripción registral.
Códigos de conducta a que estén adheridos.
Precios de servicios, impuestos y gastos de envío.
En su caso, datos relativos a la autorización administrativa para el ejercicio de la actividad:
Datos de colegiación, titulación reglada, más información adicional en servicios de tarificación adicional. Contratación electrónica Además de la información anterior y previo a la contratación:
Tramites a seguir para contratar on-line.
Si el contrato se archivará y si estará accesible.
Medios técnicos para identificar y corregir errores.
Lenguas en que se podrá formalizar el contrato.
Condiciones generales del contrato.
Posteriormente a la contratación:
Se informará mediante acuse de recibo del pedido. Publicidad por via electrónica Obligaciones:
El anunciante debe identificarse claramente.
Carácter publicitario inequívoco.
Si se realizan ofertas, concursos o juegos promocionales:
Identificarlas como tales.
Expresar claramente condiciones de participación.
En envíos por email o SMS:
Petición de autorización expresa previa del destinatario.
Identificación con “publicidad” o “publi”
Establecer procedimientos sencillos para revocación del consentimiento del usuario. Procedimiento Nº PS/00059/2008: La Policía Local de Ourense encontró en [...] “Emule”, un fichero con datos de carácter personal correspondiente a una entidad denominada Centro [...] con registros asociados a pacientes y su historia clínica [...] De ellos, más de cuatro mil se refieren a consultas de interrupción voluntaria del embarazo.
[...]El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a DÑA. X.X.X., por una infracción del artículo 10 de la LOPD, [...]una multa de 150.000 € [...]. Procedimiento Nº PS/00172/2010:
Con fecha 15 de diciembre de 2009, tuvo entrada en esta Agencia un escrito remitido por Doña A.A.A. [...] reclamación formulada por la denunciante y se instaba a ________ para que en el plazo de diez días procediera a facilitar el acceso completo a su historia clínica, dicha entidad no le proporcionó el acceso, limitándose a remitirle un Burofax en el que certifica que se la ha facilitado el acceso completo a la historia clínica, sin que en ningún caso figure dicha historia, más aún cuando en el propio documento resumen de Burofax se hace referencia a que el mismo consta únicamente de
una página, excluyendo carátula.
[...]

El Director de la Agencia Española de Protección de Datos RESUELVE:
PRIMERO: IMPONER a la entidad ______, por una infracción del artículo 15 de la LOPD [...] una multa de 60.101,21 € Información de contacto www.legitec.com
murcia@legitec.com
Telfs.: 968 902 975
902 22 LOPD- 902 22 5673
Full transcript