I FORO SOBRE PROTECCIÓN DE DATOS

Transcripción

1 Actividades de la SEIS I FORO SOBRE PROTECCIÓN DE DATOS El foro tuvo lugar en el hotel NH Eurobuilding de Madrid los pasados 11 y 12 de Febrero y despertó gran interés por tratarse de un tema de máxima actualidad: la protección de los datos de salud. Dicho interés se vio muy bien reflejado en la activa participación tanto de los ponentes, como de los asistentes, surgiendo interesantes debates. Acto inaugural. D. Rafael Catalá Polo y D. Luciano Sáez 60 El acto se centró en los aspectos fundamentales de la protección de datos de salud frente al impacto que sobre la privacidad tienen la implantación de las tecnologías de la información y las comunicaciones, y en las leyes y la ética que deben regir el tratamiento de dichos datos para garantizar el respeto a la intimidad de los ciudadanos. El acto de inauguración fue Presidido por el Excmo. Sr. D. Rafael Catalá Polo, Secretario de Estado del Ministerio de Justicia. En primer lugar tomó la palabra el Presidente de La S.E.I.S, D. Luciano Sáez Ayerra, que dijo las siguientes palabras: Buenas tardes, en primer lugar quiero dar las gracias por presidir este acto inaugural al Excmo. Sr. D. Rafael Catalá Polo. Es para nosotros un honor que nos acompañe. Su presencia demuestra la importancia que concede al derecho de la protección de datos personales y su sensibilidad por los temas sanitarios. Quiero resaltar que aunque ya hace algunos años sus responsabilidades no estaban directamente relacionadas con la sanidad, siempre ha permanecido próximo a nosotros, apoyándonos en todo lo posible. Por otra parte todos los que hemos coincidido con él durante su gestión en el Ministerio de Sanidad y Consumo

2 le reconocemos su valía profesional, su trato siempre humano, buscando en todo momento soluciones a los problemas planteados. Mi agradecimiento como presidente de la S.E.I.S a todos ustedes por acudir a nuestra convocatoria, a los moderadores y ponentes por su esfuerzo en transmitir su conocimiento y experiencia y a las entidades patrocinadoras, socios y colaboradores tecnológicos de la S.E.I.S por su apoyo para la materialización de esta actividad. El objetivo que nuestra sociedad se plantea con la realización de este foro, es transmitir a los directivos del sistema sanitario y a los profesionales de la salud, que la protección de datos es un factor clave para la implantación de las tecnologías de la información y comunicación en el ámbito s a n i t a r i o. Para ello, es necesario que en las fases iniciales de la concepción de un nuevo proy e c t o, se estudien y resuelvan como un requerimiento funcional más, todos los aspectos precisos para el cumplimiento de la normativa legal y ética a la que pueda estar sujeta la información que se vaya a tratar. Es conocida la complejidad de nuestros sistemas de información y la alta protección que debemos asegurar al tratarse de datos de salud. Por ello, las medidas a adoptar no solo deben ser Tecnológicas y de procedimientos, sino que es preciso impulsar esta cultura de confidencialidad y seguridad de la información a todos los profesionales que intervienen en la protección de la salud. Es necesario que se realice una labor difusora,entre los profesionales de la salud implicados, sobre las medidas que en materia de seguridad y confidencialidad, llevan incorporados todos los proyectos en su implantación y que para su operatividad real se necesita su colaboración y apoyo. Denominamos a esta actividad Foro de protección de datos de salud, no con la intención de realizar un seminario o jornada difusora,sino que se pretende canalizar una opinión y plantear la adopción de medidas encaminadas a impulsar la protección de datos y mantener una línea de comunicación y participación de todos los profesionales interesados. La labor de esta jornada y media de trabajo, debería finalizar con la elaboración de unas conclusiones sobre las acciones que se consideren útiles para mejorar y avanzar en la resolución de los problemas detectados y convertirlos en elementos impulsores para la innovación tecnológica. Para finalizar, nuestro agradecimiento a la Agencia Española de Protección de Datos, a la Agencia de Protección de Datos de la Comunidad de Madrid y a la Agencia de Protección de Datos de Cataluña por todo el apoyo y ánimo que nos han prestado. Agradecemos a los miembros del comité organizador y del comité de programa, su esfuerzo y dedicación para conseguir que hoy podamos iniciar este Foro de Protección de Datos de Salud. Muchas Gracias. Actividades de la SEIS El Secretario de Estado, Excmo Sr. D. Rafael Catalá Polo, pronunció las siguientes palabras: Intervengo con gran satisfacción en este acto inaugural del I Foro sobre Protección de Datos de Salud, organizado por la Sociedad Española de Informática de la Salud, y que se va a desarrollar bajo el lema El papel del profesional de la Salud. En el van a participar prestigiosos expertos en una materia que actualmente está alcanzando su mayor auge debido, sobre todo, a la modernización de nuestras sociedades y a la mayor exigencia en cuanto a la protección de sus derechos, específicamente del derecho a la privacidad por los ciudadanos. Me estoy refiriendo a los datos personales y a su protección. Para comprender lo anterior basta echar un vistazo a nuestra Constitución,que es una de las pocas constituciones europeas que contempla específicamente esta cuestión. En efecto, el artículo 18.4 dice expresamente lo siguiente: "La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. Ello quiere decir que el tema de los datos personales de los ciudadanos y de su tratamiento por terceras personas, sobre todo por medios informáticos, es una preocupación de los Estados modernos. El Ministerio de Justicia,también comparte esa preocup a c i ó n, pues no en vano la Agencia Española de Protección de Datos, órgano que se encarga de velar por el control y cumplimiento de la normativa sobre protección de datos, aunque actúa con plena independencia de las administraciones públicas en el ejercicio de sus funciones, depende en última instancia del Ministerio de Justicia. Hay que destacar que desde el Gobierno se están impulsando constantemente medidas que permitan a la citada Agencia cumplir con mayor grado de satisfacción sus funciones, entre las que se deben destacar las de su potestad inspectora,para inmovilizar ficheros y su potestad sancionadora. A s í, la Ley de Acompañamiento de la Ley de Presupuestos de 2004 prevé que la Agencia Española de Protección de Datos pueda hacer públicas, hasta el 1 de enero de este año, las resoluciones que adopte. Sentado lo anterior, quiero también poner de relieve que la actual sociedad de la información se está proyectando muy especialmente en el ámbito sanitario. Así, los ordenadores de pequeño formato lnternet y las intranet,las bases de datos y los teléfonos móviles son sólo algunos de los aliados modernos con los que cuenta el personal sanitario. Aunque estas nuevas herramientas han sido acogidas en ocasiones con reticencias, allí donde se han implantado se ha comprobado enseguida sus ventajas. Actualización de datos, precisión diagnostica,ahorro de tiempo, intercambio de datos del paciente y facilidad en la colaboración entre departamentos hospitalarios, son solo 61

3 algunas de ellas. Pero la consideración de estas ventajas no nos debe hacer olvidar el derecho que el ciudadano (el paciente en este caso) tiene a mantener su intimidad. Para garantizar este derecho no solo contamos con la acción de la Agencia Española de Protección de Datos sino también con todas las exigencias que a los titulares de ficheros de datos personales impone la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Así, la obligación del uso autorizado de los datos, la prohibición de obtención por medios fraudulentos, o ilícitos, su no utilización para finalidades incompatibles con aquellas para las que se recogieron, o el ejercicio de los derechos a acceso, rectificación, cancelación y oposición, entre otras muchas, son exigencias que impone la Ley para salvaguardar los derechos de los particulares pero, a la vez, para permitir que el progreso social, especialmente en el ámbito de las comunicaciones, no se vea paralizado. En definitiva,el desarrollo de las nuevas tecnologías, de la comunicación y la información, en todos los ámbitos pero especialmente en el sanitario, no puede desconocer el aspecto de la protección de datos de los pacientes. La confidencialidad,para garantizar la intimidad de las personas, la integridad de los datos recogidos, su disponibilidad y sujeción a las normas sobre protección de datos y su autenticidad se revelan así como conceptos fundamentales para aumentar la seguridad de los sistemas de información sanitarios. Me consta que la Sociedad Española de Informática de la Salud está firmemente empeñada en este propósito y con actos como el que ahora inauguramos demuestra su preocupación por conseguir que los diseños de los proyectos que se abordan en el sistema sanitario cumplan satisfactoriamente las exigencias éticas y legales en el tratamiento de la información. En este empeño, desde el Ministerio de Justicia va a encontrar todo el apoyo y colaboración necesarios. Dicho lo anterior y confiando en que las reflexiones y opiniones que a partir de ahora se efectúen serán muy útiles en la protección de los derechos a la intimidad y privacidad de los pacientes, declaro inaugurado el Primer Foro sobre Protección de Datos de Salud, Muchas gracias. A continuación comenzó el Foro. Ofrecemos a continuación un breve resumen de las ponencias presentadas. 62 Aspecto de la sala

4 1ª MESA REDONDA: LEGISLACIÓN SOBRE DATOS E INFORMACIÓN SANITARIA Primera Mesa Redonda.De izda.a dcha. D. Antonio Troncoso, D. Luis Bohigas, D. Jesús Rubí y D. Agustín Puente Luis Bohigas Santasusagna, Director de la Agencia de Calidad del MSC. La mesa estuvo moderada por D. Luis Bohigas Santasusagna, Director de la Agencia de Calidad del MSC. El primer ponente fue D. Jesús Rubí Navarre t e, Secre t a r i o General de la Inspección de Datos. AEPD, quien comentó la Ley Orgánica 15/ Enfocó su ponencia desde un punto de vista práctico. Los datos de Salud, son todos aquellos re l a- cionados con la Salud, menos los de incapacidad. Los datos de salud deben tratarse con consentimiento, no con consentimiento escrito, pero si con consentimiento expre s o. D e s a rolló las normativas sectoriales y termino su interv e n- ción apuntando que hay un entrelazamiento entre la Ley de protección de Datos y la Ley sectorial. El segundo ponente de este mesa fue D. Agustín Puente Escobar, Abogado del Estado adscrito a la AEPD, que destacó en primer lugar que La parte más importante, son las normas que regulan las historias clínicas, que solo lo abarcaba el artículo 61 de la Ley General de Sanidad, el Convenio de Oviedo y la recomendación del Consejo de Europa. Apuntó que la primera regulación a nivel de Comunidad Autónoma tuvo lugar en Cataluña en El tercero en hablar fue D. Antonio Troncoso Reigada, Director de la Agencia de Protección de Datos de la C. A de Madrid, que comenzó diciendo que El incremento de las TI en el ámbito sanitario es un elemento positivo que ha contribuido a la mejora de la gestión sanitaria y de la atención a los pacientes. A la vez, un uso abusivo de las TI puede llevar a vulnerar los derechos y libertades de las personas. Comento la Ley 41/2.002 que es la Ley que más afecta a la salud, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. En estas páginas y mas adelante podrán encontrar la ponencia completa de D. Antonio Troncoso. 63

5 2ª MESA REDONDA: APLICACIÓN E INCIDENCIA DE LA LEGISLACIÓN EN LA INFORMACIÓN SANITARIA Segunda Mesa Redonda. D. Alberto Andarez; D. Javier Sánchez Caro, D. Roberto Sabrido, D. Rafael Fernández y D. Jaime Nieto 64 Roberto Sabrido Bermúdez Gerente del Servicio de Salud de Castilla la Manch a. Dirigió esta mesa D. Roberto Sabrido Berm ú d e z, Gerente del Servicio de Salud de Castilla la Mancha. El primer ponente fue D. Javier Sánchez Caro de la Unidad de Bioética y Orientación Sanitaria de la Consejería de Sanidad de Madrid cuyo tema a tratar fue Historia Clínica/Historia de Salud. La Ley de Protección de Datos del 99 no es suficientemente adecuada para mantener la protección de datos. Todas las leyes que regulan la pro t e c c i ó n de datos se llegan a contradecir en algunas normas, como por ejemplo en la de mantenimiento de los datos una vez que no hacen falta, la LOPD dice que se desechen, mientras otros obligan a mantenerlos 5 años más. También comentó que ley en mano, el traslado urg e n t e de los historiales clínicos se ve perjudicado y esto puede influir negativamente en la salud del paciente si urge rapidez. El segundo ponente D. Rafael Fernández Cuenca del Instituto de Salud Carlos III comentó los Sistemas de Información de Salud Pública. En primer lugar repasó las distintas definiciones sobre salud pública y la legislación española referente a la salud pública. Destacó que se ha puesto en marcha un programa proyecto para la mejora de la salud pública: el EUPHIN. Los sistemas de vigilancia necesitan identificar los casos de enfermedades notificadas de manera que sea posible la detección de problemas y se realice una intervención eficaz. El tercer ponente, D. Alberto Andérez González, Asesor Jurídico del Gobierno de Navarra y Letrado de la Seguridad Social, analizó el transvase del flujo de la información en la transacción de los datos sanitarios. Destacar de la LOPD, que al final frente a la regla general tenemos excepciones que superan muchas veces a la propia regla general, (Artículos 11 y 12). Para finalizar, propuso cuatro supuestos distintos sobre la concertación desde distintos puntos de vista y dio su opinión sobre el amparo de la ley. El cuarto ponente, D. Jaime Nieto Cerv e r a, C o o rdinador del Proyecto Estrategia Digital de los Hospitales Universitarios Vi rgen del Rocio, basó ponencia en una encuesta que realizó al personal de su centro para saber su opinión sobre la protección de datos. Destacar de dicha encuesta, que se trabaja mucho con los datos personales, que el 72,34% de los encuestados sabía que existía una legislación sobre protección de datos y todos los que sabían que existían la legislación, sabían el re g l a m e n t o.

6 3ª MESA REDONDA: OBLIGACIONES DE LOS CENTROS SANITARIOS EN MATERIA DE PROTECCIÓN DE DATOS Tercera Mesa Redonda.De Izda a dcha: D. Francisco José López Carmona,Dña.Mª Mar Martínez, D. Ramiro González, D. Juan Luis Gordo y Dña.Nieves Ramírez D. Ramiro González Fandos Gerente del Hospital Virgen del Camino de Pa m p l o n a. El moderador de esta mesa fue D. Ramiro González F a n d o s, Director Gerente del Hospital Virgen del Camino de Pamplona. La primera ponente fue Dª. Mª Mar Martínez Sánchez, S e c retaria General del Registro de la AEPD, trató el tema de la declaración de ficheros, (notificación de tratamiento y f i c h e ros con datos de salud). Los derechos fundamentales de los ciudadanos en relación a la protección de datos, vienen descritos del artículo 14 al 16 de la LOPD (Derecho de Acceso, Tutela de los derechos...). Serán objeto de inscripción los ficheros que contengan datos personales, titularidad pública o privada, las autorizaciones de transferencias internacionales, los códigos de tipos (código deontológico) y los de modificación y cancelación de los asistentes registrales. El segundo ponente de esta tercera mesa fue D. Juan Luis G o rdo Pére z, Secretario General de Atención Sanitaria del Instituto de Nacional de Atención Sanitaria del MSC, que habló s o b re el Tratamiento y comunicación de la información del paciente. Realizó un re c o rrido centrándose en los aspectos o rganizativos desde el ámbito estructurado. Comentó la preocupación de los Sistemas Sanitarios por la calidad de la asistencia, la seguridad de los pacientes y la confidencialidad de la información clínica. También trató los riesgos de tratamiento y comunicación de información al paciente donde destacó el mayor o menor desconocimiento de las leyes que lo regulan y el desarrollo reglamentario e impulso por las Comunidades Autónomas. Te rminó su intervención diciendo que La ley de acompañamiento de este año ha abierto la p u e rta a la receta electrónica. El tercer ponente D. Francisco José López Carm o n a, Director del Área del Registro y la Inspección de la APD de la Comunidad de Madrid, tituló a su ponencia Tratamiento de datos por terceros. El tratamiento por terceros es cuando el centro (responsable del fichero) decide sobre el contenido, finalidad y uso de los datos personales y a la vez encarga a un tercero la prestación de servicios que implican la necesidad de tratar datos personales (encargado del Tratamiento). El acceso a datos personales del centro por un tercero no es cesión de datos, no precisa de consentimiento expreso del interesado. El centro ha de firmar un contrato con el encargado del tratamiento donde se fijen las condiciones para el tratamiento de los datos personales (cumplir con las normas exigidas, destruir o devolver los datos personales al finalizar el contrato y no comunicar datos personales a terceros entre otros). Debido al interes de la ponencia, en un próximo número de I+S publicaremos la ponencia completa. La cuarta y última ponente de esta tercera mesa fue D ª. Nieves Ramírez Neila, Inspectora de datos de la AEPD que habló de las medidas de seguridad de los ficheros: Son muy pocas aquellas organizaciones que conocen, estudian e implantan el reglamento de seguridad que es obligatorio. Distinguió tres niveles distintos de seguridad, el básico (ficheros de carácter personal), el medio (infracciones administrativas y penales, hacienda pública ) y el alto (ideología, religión, creencias, afiliación sindical ). También comentó lo que debe llevar el documento de seguridad: (ámbito de aplicación, medidas, normas de procedimientos, estructuras de ficheros, gestión de incidencias, copias de respaldo y recuperación y funciones y obligaciones del personal. Por último destacó que el trabajo fuera del local del fichero, necesita de una autorización expresa del responsable del fichero y mismas garantías que el fichero. 65

7 4ª MESA REDONDA: POLITICAS Y MEDIDAS DE SEGURIDAD EN EL ENTORNO SANITARIO Cuarta Mesa Redonda. D. Josep Xavier Hernández i Moreno, acompañado por D.Arturo Ribagord a,d. Luis A r r a n z,d. Francisco Reigosa, Dª Cristina Bausa y D. Luis Codeseda 66 D. Joseph Xavier Hernández i Moreno Director de la APD de la Generalitat de Cataluña La mesa estuvo presidida por D. Joseph Xavier Hern á n d e z i More n o, Director de la APD de la Generalitat de Cataluña. El cual hizo una breve introducción sobre el tema a tratar en esta mesa: Es un reto de las sociedades avanzadas el conjugar el respeto de las personas con la información sanitaria. El primer ponente de esta mesa fue D. Art u ro R i b a g o rd a, Catedrático de la Universidad Carlos III, que comento las estrategias y políticas de seguridad. El tema del Foro es un tema importante porque en ocasiones no sabemos el problema que supone el tema de la pro t e c c i ó n de datos en la intimidad. Hay que encontrar un equilibrio e n t re la información sobre sanidad que necesita la sociedad y el derecho a la intimidad. Es muy importante la cre a c i ó n de un departamento de seguridad.. Destacó que el tema más importante es el tema del personal, si el usuario no está formado o no tiene conciencia de la importancia de la seguridad, todo trabajo resulta superfluo. El segundo ponente, D. Luis Arranz Ramos, Gerente de DMR, experto en seguridad, habló de las medidas de seguridad organizativas y procedimentales. La organización de la seguridad es importante, hay que identificar los roles y funciones de los responsables, hay que tener un responsable de seguridad que deberá encargarse de mantener actualizadas las notificaciones y los documentos de seguridad y de verificar el seguimiento de las incidencias de seguridad. Destacó que las medidas organizativas y documentales suponen un bajo coste en comparación con algunas medidas técnicas. Su correcta aplicación mejora los procesos de gestión del sistema. D. Luis Francisco Reigosa Gago, Responsable de P royectos de I+D de Siemens, comentó las medidas técnicas. Seguridad lógica y física. Comenzó destacando que la presencia de Internet abre la puerta a los ataques cada vez más sofisticados y el conocimiento del atacante es cada vez menor gracias a los avances. Internet es el primer medio de ataque cuantitativamente, pero cualitativamente los ataques más fuertes son internos. Al distinguir los ataques se refirió a los ataques externos como aquellos que intentan dañar la imagen o al negocio mientras que los ataques internos tienen como finalidad intentar un robo o llevar a cabo un mal uso de la información. Después describió lo que debe abarc a r la seguridad física y lógica. La seguridad física se encarga del acondicionamiento del entorno, sistemas de copias de seguridad, sistemas hard w a re de alta disponibilidad, centros de respaldo y sistemas de seguridad para estaciones de trabajo, mientras que la seguridad lógica se ocupa de la seguridad perimetral, seguridad de los sistemas, uso de contraseñas y seguridad de datos. Finalizó diciendo que cualquier medida es susceptible de ser evitada por un uso inadecuado. La cuarta ponente fue Dª. Cristina Baúsa Rósa, Consultora experta en auditoria y seguridad informática de Indra. Habló sobre las Auditorias de seguridad. El objetivo de la presentación es ver la parte más amable de la auditoria y no como haceres obligatorios. Es una ayuda. La auditoria es un aliado que pro p o rciona una visión del nivel de seguridad implantado en los sistemas de información. Antes de empezar una auditoria se debe aclarar el alcance de la misma por ambas partes y se debe disponer de un documento de seguridad. Un informe de auditoria contiene: Objetivos y alcance, resultados de la auditoria, conclusiones y recomendaciones, anexos y adecuación a la LOPD. Te rminó diciendo que no hay ningún re g i s t ro de empre s a s que tengan autorización para realizar auditorias. El quinto y último ponente de esta mesa fue D. Luis Codeseda Oliaga, Responsable del grupo IBM Consultoría, que nos habló de las políticas de seguridad en entorn o s Web. La seguridad lógica aporta robustez a los procesos del negocio trabajando en tres áreas (evaluar, proteger y detectar). En IBM creemos que el modelo aplicable debe ser: O rganización de seguridad, marco normativo, pro c e s o ( a n t i v i rus, cortafuegos ) arquitectura tecnológica, gestión (identidades, riesgos/eventos e infraestructura) y auditoria. Te rmino diciendo que Entendemos que la seguridad además de ser transversal, es un proceso de mejora continuo.

8 5ª MESA REDONDA: EXPERIENCIAS EN DIFERENTES ENTORNOS SANITARIOS Quinta Mesa Redonda. D. JuanDíaz, D. Jon Darpon, D. Fernando Uribe, Dª María Rovira y D. Guillermo Vázquez D. Fernando Uribe Ladrón de Cegama Director General de Desarrollo Sanitario de la Consejería de Sanidad y Bienestar Social de Castilla y León Moderó la mesa D. Fernando Uribe Ladrón de C e g a m a, Director General de Desarrollo Sanitario de la Consejería de Sanidad y Bienestar Social de Castilla y León. El primer ponente fue D. Jon Darpón Sierr a, Director de Asistencia Sanitaria de Osakidetza, que habló sobre el papel de los profesionales ante las aplicaciones informáticas con datos de salud: La experiencia en Osakidetza. El derecho a la información del paciente y la intimidad de los datos relativos al paciente son derechos emergentes. Según el ponente los ámbitos relevantes son: La seguridad física y lógica y la estructura organizativa de los S.I y los hábitos de los profesionales en el manejo de la información clínica. Lo que el médico escribe en observaciones personales solo puede ser visto por él y no es imprimible en ningún tipo de informe. Concluyó diciendo que para el sistema sanitario, transmitiría seguridad y facilitaría el cumplimiento de la legislación una adaptación de la LOPD al entorno específico de los datos de salud. El segundo ponente fue D. Juan Díaz Garc í a, Director de la Unidad de Gestión de riesgos digitales del Servicio Andaluz de Salud desarrolló el tema la Gestión de riesgos digitales. Cada vez surgen más daños en la información debido a la facilidad de los ataques. Explicó la gestión de riesgos y expuso las diez mejores prácticas iniciales: identificar los riesgos, implicar a la dirección, tener un responsable, desarro l l a r e implantar unas políticas de seguridad, educar y concienciar a los usuarios, realizar una auditoria de seguridad, tener presente las amenazas internas, mantenerse actualizado, prepararse para lo peor (plan de respuesta ante incidentes). El resumen de su ponencia más extensamente es el siguiente: La tercera ponente fue Dª. María Rovira Barberá, Jefa del Servicio de Documentación Médica del Hospital de la Santa Creu i Sant Pau, que expuso la Experiencia en el tratamiento de la documentación clínica. La información si s i rve para algo es para tomar decisiones y disminuir incert i- d u m b res. La historia clínica que recogía la información de la relación médico-paciente pasa a ser una historia de salud donde se ha de compartir la información para juntar todas las historias clínicas. En empezaron a digitalizar las historias clínicas. Como eran muchas su tuvo que re a l i z a r una selección de documentos relevantes. En apareció el reglamento de seguridad. En este momento estamos en un proceso de digitalización de historias clínicas activas, no pasivas. Concluyó diciendo que La estructura de la historia clínica actual es la misma que la del siglo XVIII mientras que la medicina a evolucionado. El último ponente de esta mesa fue, D. Guillerm o Vázquez González, Jefe del Servicio de Informática del Hospital Juan Canalejo de la Coruña, quien relató su experiencia en el ámbito sanitario. Esta experiencia nace en y termina en Noviembre del mismo año. Tenemos un CPD y los hospitales están comunicados mediante una re d de fibra óptica. Nuestro entorno físico es muy complejo con 45 racks, algunos compartidos, 1900 ord e n a d o res personales y 1000 impresoras, 600 de ellas en red. Los usuarios son los del Hospital, los del área de atención primaria y los usuarios de servicios centrales. Del análisis de tipos de datos por actividad en el conjunto del SERGAS (dicha experiencia) se registran cinco ficheros. Después se realizó un análisis de riesgos donde encontramos 150 amenazas que nos bajaron los pies al suelo. Las limitaciones no eran conocidas y por lo tanto no eran asumidas. Después de adoptar las medidas necesarias se realizó otro análisis y las amenazas se re d u j e- ron a 6. Como conclusiones de su experiencia aportó que es necesario mantener una estratégia permanente de culturización en seguridad y la seguridad informática se está c o n v i rtiendo en una especialización. 67

9 6ª MESA REDONDA: TECNOLOGÍAS PARA LA PROTECCIÓN DE DATOS Sexta Mesa Redonda. D. Carlos García Codina acompañado por D. Ignacio Rederó, D. José María González, D. Hector Sánchez, D. Gonzálo de la Hoz y D. Ismael Valenzuela. 68 D. Carlos García Codina Vocal de la Junta Directiva de la SEIS La última mesa del acto fue moderada por D. Carlos G a rcía Codina. Vocal de la Junta Directiva de la SEIS La primera ponencia la realizó D. Ignacio Redero Garc í a, Consultor de Hewlett Packard bajo el nombre de Seguridad de los sistemas y aplicaciones. Nuestra filosofía es establecer una solución integral. Disponemos de una consultoría especializada. Hemos creado la seguridad HP-HCIS y disponemos de un centro de desarrollo mundial, certificado con el nivel 5. Los mecanismos de seguridad que ofrecen son: C o n t rol de usuarios y accesos mediante encriptación (accesos denegados), Sistemas de privilegio ( conjunto de funcionalidades, Sistema de administración de seguridad ), Sistema de permisos, Control de accesos, Sistema de auditoria ( p e rmite operar y saber lo que ha hecho el usuario en los últimos 3 meses), HCE-versionado de elementos, encriptación de datos y PKI, procesos disociados. Todo esto con la posibilidad para cada organización de salud de introducir sus políticas de acceso en el comportamiento de S.I. El segundo ponente fue D. José María González Z u b i e t a, de Telefónica Soluciones, que trató sobre la Seguridad en las redes de telecomunicaciones. Tr a b a j a m o s en todo el mundo y se puede conseguir el modelo seguro en Internet mediante cifrado de password, cifrado de información estática, cifrado de transmisiones y la obtención de huellas de tamaño fijo de informaciones. Las aplicaciones prácticas que nos ofrece son: Servicio Web, Servicio de c o rreo seguro y Banco electrónico entre otros. Destaco que cuando el Carnet Digital este funcionando puede que la banca empiece a apuntar hacia la certificación, al igual que la gente, y sería más fácil la seguridad jurídica. Si no hablas de seguridad, no puedes hablar de servicios. El tercer ponente fue D. Hector Sánchez Montenegro, Responsable de Seguridad Corporativa de Microsoft, que expuso la Protección de Datos en entornos Microsoft. No solo hablo de seguridad, sino de privacidad e integridad. Intentamos que la tecnología se adapte a la existente en cada país. En la pagina hay un manual, descargable gratuitamente, llamado La protección de datos personales: soluciones en entornos Microsoft que tiene 265 paginas. El cuarto ponente fue D. Gonzalo de la Hoz, de IBM. Habló sobre las nuevas tecnologías en protección de datos y soluciones. La seguridad se basa en la triple A, Autenticación ( Quién eres?), Autorización ( Qué usas?) y Auditoria ( Qué has hecho?). En cuanto a la autenticación, el usuario debe tener cuentas creadas en el sitio donde deben estar. Una vez que se ha realizado un control de acceso a los recursos, se realiza otro control de acceso a los datos personales. El Privacy Manager edita políticas y comprueba el cumplimiento de la política. La arquitectura es: Base de datos propietaria, control de acceso a recursos, informes individuales y globales. El quinto y último ponente de este acto fue D. Ismael Valenzuela Espejo, Director General de G2 Security-Grupo Novasoft, quien expuso para cerrar esta sesión la Autentificación Fuerte para la Protección de Datos. El eslabón más débil de la seguridad es la contraseña. El acceso a la información desde cualquier lugar y a través de cualquier dispositivo presenta múltiples posibilidades. La autentificación fuerte se realiza poniendo de contraseña: algo que conoces, algo que tienes y algo que eres (rasgo físico). Se deben usar contraseñas dinámicas de un solo uso, que cambie cada 30 segundos aproximadamente, por ejemplo el Digipass (algo que tienes, algo que conoces) y genera una contraseña de un solo uso.

10 Hay que destacar que a continuación de cada mesa hubo debates tan interesantes como animados hasta el punto Actividades de la SEIS que los moderadores respectivos tuvieron que cortar para intentar cumplir con los horarios establecidos. ACTO DE CLAUSURA Acto de Clausura. D. José Luis Piñar, Director de la AEPD, acompañado de D. Luciano Sáez.Presidente de la SEIS y D. Javier Carnicero de la Junta Directiva de la SEIS y encargado de presentar las conclusiones D. José Luis Piñar Mañas Director de la Agencia Española de Protección de Datos Estuvo presidido por el llmo. Sr. D. José Luis Piñar M a ñ a s, Director de la Agencia Española de Protección de Datos. Le acompañaron en la mesa D. Luciano Sáez y D. Javier Carnicero, de la Junta Directiva de la SEIS que fue el encargado de presentar las conclusiones. D. José Luis Piñar dio la palabra, en primer lugar a D. Javier Carnicero que expuso las siguientes conclusiones: La Sociedad Española de Informática de la Salud celebró en Madrid los días 11 y 12 de febrero el Primer Foro de Protección de Datos de la SEIS. Durante esos dos días se expusieron los aspectos más relevantes de la legislación, las obligaciones de los centros, las experiencias llevadas a cabo en nuestro sistema sanitario y los aspectos tecnológicos de protección de datos. La organización de la reunión ha considerado conveniente que se redactaran unas conclusiones del Foro que puedan servir para transmitir a las autoridades sanitarias y de protección de datos, las inquietudes y propuestas de los asistentes. Se considera que unas conclusiones de una reunión de trabajo deben ser acordadas por todos los presentes. Esta t a rea resulta casi imposible con la estructura del Foro, que se organizó en mesas redondas con cuatro ponencias cada mesa, seguidas de un coloquio con el auditorio. Por este motivo, se ha optado por elaborar un texto que re g i s- tra aquellos aspectos que se han considerado más re l e- vantes, tanto de las ponencias como de los debates. El esquema de este documento fue presentado en el acto final del Foro al Director de la Agencia Española de P rotección de Datos, que presidió la ceremonia de claus u r a. LEGISLACIÓN Sobre la información de salud confluye tanto la normativa de protección de datos como la de salud, en especial la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica; y la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal. Esta confluencia de dos legislaciones es la responsable de algunas de las dificultades que presenta su aplicación. 69

11 70 Actividades de la SEIS El concepto de dato de salud El concepto de dato de salud, que no está definido en la normativa de protección de datos, se deduce de la normativa europea y de convenios internacionales. El dato de salud es el que se refiere a información de salud pasada presente o futura, en personas sanas o enfermas, en enfermedades de carácter físico o psicológico, e incluye la adicción al alcohol o las drogas. También incluye la información de datos genéticos. Los datos de salud se consideran sensibles; por ello requieren la máxima protección, lo que a juicio de alguno de los ponentes del Foro dificulta el normal funcionamiento del sistema sanitario. El consentimiento del interesado para el tratamiento y cesión de los datos La normativa de protección de datos establece que se debe dar cuenta al interesado de la existencia de la historia clínica electrónica, o del fichero, y de la identidad y dirección de su responsable. Como son datos sensibles su tratamiento exigiría el consentimiento expreso de los afectados. No se exige que ese consentimiento sea por escrito pero, en ese caso existirían dificultades para probarlo. Algunos ponentes utilizaron las palabras tácito, expreso e inequívoco para calificar ese consentimiento. La cesión de datos de salud sin necesidad de consentimiento del interesado exige una habilitación legal, con rango de ley y con la suficiente concreción o determinación. En el Foro se hizo una mención expresa al caso de los ensayos clínicos, en los que se precisa el consentimiento expreso para el tratamiento y comunicación o transferencia de los datos a entidades que, en algunos casos, están ubicadas fuera de nuestras fronteras o de la Unión Europea. Con carácter general, el tratamiento de los datos de salud para usos distintos del asistencial se debe hacer con carácter restrictivo. La conservación y cancelación de los datos Tanto en la conservación de la historia, como en la cancelación y en el acceso a los datos, la normativa sanitaria y la de protección de datos no siguen los mismos criterios. CONCLUSIÓN En resumen, se considera que la conjunción de las norm a s de salud y de protección de datos no resulta adecuada para la atención sanitaria. Como consecuencia de ello, algún ponente y varios asistentes al Foro re c l a m a ron una norm a específica de protección de datos para el ámbito sanitario. Obligaciones de los centros Muy pocas organizaciones conocen y han implantado el reglamento de seguridad. Además la legislación de protección de datos es muy poco conocida por los profesionales sanitarios, quienes, como consecuencia de ese desconocimiento, no la viven como un obstáculo. Los centros sanitarios tienen que implantar medidas de organización, estrategias, políticas y destinar recursos, que un ponente estimó en el 15 por ciento del presupuesto que se destine a tecnologías de la información. Entre las políticas de seguridad se citó expresamente el involucrar a la alta dirección, crear departamentos de seguridad, implantar la figura de responsable de seguridad y considerar la seguridad como un requisito del desarrollo de las aplicaciones. La primera recomendación para empezar una política de seguridad es aplicar el Reglamento de Seguridad. Se considera que en materia de seguridad y pro t e c c i ó n de datos el factor humano es crítico. Lo que diferencia unas o rganizaciones de otras es el conocimiento que su personal tenga de las buenas prácticas de seguridad. Se da la circunstancia de que las medidas organizativas que se re f i e re n a este aspecto son de bajo coste. Además, cuando las personas creen en la seguridad cumplen las disposiciones de o rganización y documentales, cuya correcta aplicación mejora los procesos de gestión de los sistemas. Además de las medidas de organización se precisan medidas lógicas y físicas. El plan de seguridad debe incluir la auditoria y los códigos tipo. Como conclusión general puede establecerse que la seguridad es un proceso de mejora continua, en el que, a través de la auditoria, se revisan los resultados de las estrategias, de las políticas, de los recursos empleados y de las medidas de organización, técnicas y lógicas; y que todas ellas se mejoran con las medidas correctoras que sugieren los resultados de esa auditoria. Experiencias La historia clínica evoluciona hacia una historia de salud que se comparte entre varios centros, lo que hace imprescindible la identificación inequívoca del paciente. Entre las experiencias que deben destacarse se encuentran una medida que se dirige a tratar un asunto que suscita gran inquietud entre los médicos de atención primaria: en la historia clínica implantada en el País Vasco existe la posibilidad de generar episodios confidenciales a los que sólo puede acceder el médico que los ha generado. También en el País Vasco se dispone de un campo para las anotaciones subjetivas del profesional, no visible cuando se entrega la historia al paciente. Todos los ponentes coincidieron en la necesidad de implicar a la alta dirección en el plan de seguridad, la contradicción implícita que existe entre la necesidad de garantizar el acceso y garantizar la confidencialidad; y la dificultad de cumplir la normativa en aplicaciones no corporativas que existen en el sistema sanitario. También se destacó que las aplicaciones de electro m e- dicina, con carácter general, no cumplen la norm a t i v a v i g e n t e.

12 FORO SEIS DE PROTECCIÓN DE DATOS El Foro ha sido el comienzo de la actividad de protección de datos en el marco de la SEIS que se dispone a llevar a cabo las siguientes actuaciones: Proponer los cambios de normativa que se consideren necesarios. Impulsar el conocimiento de los profesionales sobre seguridad y protección de datos. Apoyar las acciones de la administración que se propongan sensibilizar, formar a los profesionales del sistema sanitario e implantar medidas de protección de datos. Poner en evidencia los problemas de protección de datos en salud para buscar soluciones por los expertos y empresas del sector. La SEIS también se propone mantener un canal de comunicación en su página electrónica para que todos los interesados puedan intercambiar experiencias, inquietudes, puntos de vista y propuestas. Seguidamente Luciano Sáez Ay e rra agradeció la pre s e n- cia del Director de la Agencia Española en el acto de Clausura y anunció su reciente nombramiento como Vi c e p residente del Grupo Europeo de Protección de Datos. Agradeció el apoyo prestado por la Agencia para la org a n i- zación de este Foro, que ha sido el primero pero que no será el último porque la SEIS piensa seguir por este camino para concienciar a todos de la importancia del tema. Aunque el F o ro termine en estos momentos, no así la actividad de la SEIS sobre este tema ya que a partir de este momento contin u a remos en la web, donde todos Vds. Podrán plantear preguntas y respuestas sobre el tema que nos ocupa. Por último D. José Luis Piñar agradeció a la SEIS su invitación y animó a la Sociedad para que siga organizando actividades en relación a la protección de datos. Destacó que poco a poco la gente se va concienciando con el tema y que la cultura de la protección de datos se va normalizando. Desde que asumí la Dirección de la Agencia me he empeñado en difundir la protección de datos personales y conseguir que esto se incluya en las prioridades de cualquier empresa Siguen existiendo entidades donde este tema está en un segundo plano. Sin embargo esto no ocurre en el ámbito sanitario. También comentó que todos los ficheros recogen datos de terceros y por ello deben ser tratados con seguridad. Hay que respetar los principios de finalidad (para que se usan los datos) y de calidad (qué datos se usan). Teniendo esto claro será mas fácil implantar una cultura de la protección de datos personales. Citaré como ejemplo de la actividad de la Agencia que el número de consultas realizadas en el 2003 fue de , mas que en el Finalmente dio por Clausurado este I Foro de Protección de Datos de Salud. 71