ACCESO A LA INFORMACION PERSONAL DE SALUD Y SU PROTECCIÓN

Transcripción

1 ACCESO A LA INFORMACION PERSONAL DE SALUD Y SU PROTECCIÓN Sebastián Pavlovic Jeldres Superintendente de Salud 15 de Marzo de 2016 Comisión de Salud H. Cámara de Diputados

2

3 MARCO NORMATIVO RESPECTO DE LA PROTECCION DE LA INFORMACION DE LAS PERSONAS, EN PARTICULAR, EN SALUD. LA SEGURIDAD Y LA CONFIDENCIALIDAD DE LA INFORMACIÓN, EN ESPECIAL, EN MATERIA SANITARIA ACCIONES DE LA SUPERINTENDENCIA EN RELACIÓN A LA SEGURIDAD DE LA INFORMACION DE LAS PERSONAS COMENTARIOS FINALES

4 1. La Constitución Política de la República protege la vida privada de las personas Artículo 19.- La Constitución asegura a todas las personas: N 4º: El respeto y protección a la vida privada y a la honra de la persona y su familia

5 2. La Ley , Sobre Protección de la Vida Privada Artículo 2: Para los efectos de esta ley se entenderá por: f) Datos de carácter personal o datos personales, los relativos a cualquier información concerniente a personas naturales, identificadas o identificables. g) Datos sensibles, aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual.

6 2. La Ley , Sobre Protección de la Vida Privada Artículo 2.- Para los efectos de esta ley se entenderá por: a) Almacenamiento de datos, la conservación o custodia de datos en un registro o banco de datos. c) Comunicación o transmisión de datos, dar a conocer de cualquier forma los datos de carácter personal a personas distintas del titular, sean determinadas o indeterminadas. i) Fuentes accesibles al público, los registros o recopilaciones de datos personales, públicos o privados, de acceso no restringido o reservado a los solicitantes. o) Tratamiento de datos, cualquier operación o complejo de operaciones o procedimientos técnicos, de carácter automatizado o no, que permitan recolectar, almacenar, grabar, organizar, elaborar, seleccionar, extraer, confrontar, interconectar, disociar, comunicar, ceder, transferir, transmitir o cancelar datos de carácter personal, o utilizarlos en cualquier otra forma.

7 2. La Ley , Sobre Protección de la Vida Privada Artículo 21.- Los organismos públicos que sometan a tratamiento datos personales relativos a condenas por delitos, infracciones administrativas o faltas disciplinarias, no podrán comunicarlos una vez prescrita la acción penal o administrativa, o cumplida o prescrita la sanción o la pena. Exceptúase los casos en que esa información les sea solicitada por los tribunales de Justicia u otros organismos públicos dentro del ámbito de su competencia, quienes deberán guardar respecto de ella la debida reserva o secreto y, en todo caso, les será aplicable lo dispuesto en los artículos 5, 7, 11 y 18.

8 2. La Ley , Sobre Protección de la Vida Privada Título V De la responsabilidad por las infracciones a esta ley Artículo 23.- La persona natural o jurídica privada o el organismo público responsable del banco de datos personales deberá indemnizar el daño patrimonial y moral que causare por el tratamiento indebido de los datos, sin perjuicio de proceder a eliminar, modificar o bloquear los datos de acuerdo a lo requerido por el titular o, en su caso, lo ordenado por el tribunal. La acción consiguiente podrá interponerse conjuntamente con la reclamación destinada a establecer la infracción, sin perjuicio de lo establecido en el artículo 173 del Código de Procedimiento Civil. En todo caso, las infracciones no contempladas en los artículos 16 y 19, incluida la indemnización de los perjuicios, se sujetarán al procedimiento sumario. El juez tomará todas las providencias que estime convenientes para hacer efectiva la protección de los derechos que esta ley establece. La prueba se apreciará en conciencia por el juez. El monto de la indemnización será establecido prudencialmente por el juez, considerando las circunstancias del caso y la gravedad de los hechos.

9 3. Código Sanitario Artículo (inc. 9 ) La receta y su contenido, los análisis y exámenes de laboratorios clínicos y los servicios prestados relacionados con la salud serán reservados y considerados datos sensibles sujetándose a lo establecido en la ley N

10 4. Ley , Establece normas relativas al virus de inmuno deficiencia humana y Artículo 5º.- El examen para detectar el virus de inmunodeficiencia humana será siempre confidencial y voluntario, debiendo constar por escrito el consentimiento del interesado o de su representante legal. ( ) Sus resultados se entregarán en forma personal y reservada, a través de personal debidamente capacitado para ello, sin perjuicio de la información confidencial a la autoridad sanitaria respecto de los casos en que se detecte el virus, con el objeto de mantener un adecuado control estadístico y epidemiológico. Serán aplicables en esta materia las disposiciones de la Ley sobre protección de datos personales.

11 4. Ley , Establece normas relativas al virus de inmuno deficiencia humana y CAPITULO IV SANCIONES Y PROCEDIMIENTOS - Infracción a lo dispuesto en el artículo 5º (CONFIDENCIALIDAD) multa a beneficio fiscal de 3 a 10 UTM, sin perjuicio de la obligación de responder de los daños patrimoniales y morales causados al afectado. - Si infracción fuese cometida por 2 o más personas, solidaridad en multa y la indemnización. - La infracción a lo dispuesto en el artículo 7(NO DISCRIMINACIÓN) multa a beneficio fiscal de 10 a 50 UTM, sin perjuicio de la responsabilidad por los daños causados. - reincidencia montos mínimos y máximos de las multas se duplicarán. - Tratándose de los funcionarios de la Administración del Estado, las sanciones se aplicarán sin perjuicio de la responsabilidad administrativa que pudiere corresponderles, conforme con el estatuto que los rija. - Tribunal competente para conocer juzgado de policía local correspondiente al domicilio del afectado, sin perjuicio de la competencia que corresponda a los juzgados del trabajo y al tribunal aduanero o criminal respectivo.

12 5. Ley , sobre derechos y deberes (ficha clínica) Párrafo 5º De la reserva de la información contenida en la ficha clínica Artículo 12.- La ficha clínica es el instrumento obligatorio en el que se registra el conjunto de antecedentes relativos a las diferentes áreas relacionadas con la salud de las personas, que tiene como finalidad la integración de la información necesaria en el proceso asistencial de cada paciente. Podrá configurarse de manera electrónica, en papel o en cualquier otro soporte, siempre que los registros sean completos y se asegure el oportuno acceso, conservación y confidencialidad de los datos, así como la autenticidad de su contenido y de los cambios efectuados en ella. Toda la información que surja, tanto de la ficha clínica como de los estudios y demás documentos donde se registren procedimientos y tratamientos a los que fueron sometidas las personas, será considerada como dato sensible, de conformidad con lo dispuesto en la letra g) del artículo 2º de la ley Nº

13 5. Ley , sobre derechos y deberes (ficha clínica) Artículo 13.- La ficha clínica permanecerá por un período de al menos quince años en poder del prestador, quien será responsable de la reserva de su contenido. Un reglamento expedido a través del Ministerio de Salud establecerá la forma y las condiciones bajo las cuales los prestadores almacenarán las fichas, así como las normas necesarias para su administración, adecuada protección y eliminación. Los terceros que no estén directamente relacionados con la atención de salud de la persona no tendrán acceso a la información contenida en la respectiva ficha clínica. Ello incluye al personal de salud y administrativo del mismo prestador, no vinculado a la atención de la persona. Sin perjuicio de lo anterior, la información contenida en la ficha, copia de la misma o parte de ella, será entregada, total o parcialmente, a solicitud expresa de las personas y organismos que se indican a continuación, en los casos, forma y condiciones que se señalan ( )

14 6. DS 41, de 2012, sobre Fichas Clínicas (almacenamiento y protección) Artículo 8º.- Las fichas clínicas, cualquiera sea su soporte, deben almacenarse en un archivo o repositorio que garantice que los registros son completos y asegure el acceso oportuno, la conservación y confidencialidad de los datos, así como la autenticidad de su contenido y de los cambios efectuados en ella. I. Fichas en soporte electrónico: a) La información debe respaldarse en cada proceso de incorporación de los documentos. b) Habrá una copia de seguridad en el lugar de operación de los sistemas de información y otra en un centro de almacenamiento de datos electrónicos que tenga un estricto control de acceso, registro de entrada y salida de respaldos. c) Medidas de seguridad y barreras de protección frente a accesos no autorizados. d) Sustitución de la información por la versión más reciente que se disponga, en el menor tiempo posible, en casos de alteración no programada. e) Programas que permitan la restauración del servicio en el menor tiempo posible en los casos que deje de operar.

15 6. DS 41, de 2012, sobre Fichas Clínicas (administración, acceso y eliminación) Artículo 9º.- Las fichas clínicas deberán gestionarse en una forma centralizada que asegure el acceso controlado a las mismas de solo aquellas personas que puedan tomar conocimiento de sus registros y consignar nuevos datos en ella y que asegure la confidencialidad de su información. Este sistema debe llevar registro de las fechas y personas que han accedido a las fichas. Deberán existir medidas de seguridad para evitar los accesos de quienes no estén directamente relacionados con la atención de salud del titular de la ficha, incluido el personal de salud y administrativo del prestador.

16 7. Ley Sobre la investigación científica en el ser humano, su genoma, y prohíbe la clonación humana Artículo 12.- La información genética de un ser humano será reservada. Lo anterior es sin perjuicio de las facultades de los tribunales de justicia, en los casos y en la forma establecidos en la ley. Asimismo, para los efectos de esta ley, resultan plenamente aplicables las disposiciones sobre secreto profesional. Artículo 13.- La recopilación, almacenamiento, tratamiento y difusión del genoma de las personas se ajustará a las disposiciones de la ley N , sobre protección de datos de carácter personal. Los datos del genoma humano que permitan la identificación de una persona deberán ser encriptados para su almacenamiento y transmisión. La encriptación podrá omitirse temporalmente por razones de utilidad pública.

17 8. Ley , de Transparencia Artículo 5.- En virtud del principio de transparencia de la función pública, los actos y resoluciones de los órganos de la Administración del Estado, sus fundamentos, los documentos que les sirvan de sustento o complemento directo y esencial, y los procedimientos que se utilicen para su dictación, son públicos, salvo las excepciones que establece esta ley y las previstas en otras leyes de quórum calificado. Artículo 11.- c) Principio de apertura o transparencia, conforme al cual toda la información en poder de los órganos de la Administración del Estado se presume pública, a menos que esté sujeta a las excepciones señaladas. d) Principio de máxima divulgación, de acuerdo al que los órganos de la Administración del Estado deben proporcionar información en los términos más amplios posibles, excluyendo sólo aquello que esté sujeto a las excepciones constitucionales o legales.

18 8. Ley , de Transparencia Artículo 20.- Cuando la solicitud de acceso se refiera a documentos o antecedentes que contengan información que pueda afectar los derechos de terceros, la autoridad o jefatura o jefe superior del órgano o servicio de la Administración del Estado, requerido, dentro del plazo de dos días hábiles, contado desde la recepción de la solicitud que cumpla con los requisitos, deberá comunicar mediante carta certificada, a la o las personas a que se refiere o afecta la información correspondiente, la facultad que les asiste para oponerse a la entrega de los documentos solicitados, adjuntando copia del requerimiento respectivo. Los terceros afectados podrán ejercer su derecho de oposición dentro del plazo de tres días hábiles contado desde la fecha de notificación. La oposición deberá presentarse por escrito y requerirá expresión de causa. Deducida la oposición en tiempo y forma, el órgano requerido quedará impedido de proporcionar la documentación o antecedentes solicitados, salvo resolución en contrario del Consejo, dictada conforme al procedimiento que establece esta ley. En caso de no deducirse la oposición, se entenderá que el tercero afectado accede a la publicidad de dicha información.

19 8. Ley , de Transparencia Artículo 21.- Las únicas causales de secreto o reserva en cuya virtud se podrá denegar total o parcialmente el acceso a la información, son las siguientes: 2. Cuando su publicidad, comunicación o conocimiento afecte los derechos de las personas, particularmente tratándose de su seguridad, su salud, la esfera de su vida privada o derechos de carácter comercial o económico.

20 9. D.F.L. 1/2005, del Minsal Artículo 4.- Al Ministerio de Salud le corresponderá formular, fijar y controlar las políticas de salud. En consecuencia tendrá, entre otras, las siguientes funciones: 5.- Tratar datos con fines estadísticos y mantener registros o bancos de datos respecto de las materias de su competencia. Tratar datos personales o sensibles con el fin de proteger la salud de la población o para la determinación y otorgamiento de beneficios de salud. Para los efectos previstos en este número, podrá requerir de las personas naturales o jurídicas, públicas o privadas, la información que fuere necesaria. Todo ello conforme a las normas de la ley N y sobre secreto profesional.

21 9. D.F.L. 1/2005, del Minsal Artículo Corresponderán a la Superintendencia, en general, las siguientes funciones y atribuciones: 14.- Elaborar y difundir índices, estadísticas y estudios relativos a las Instituciones y al sistema privado de salud Requerir de los prestadores, sean éstos públicos o privados, la entrega de la certificación médica que sea necesaria para decidir respecto de la procedencia de beneficios regulados por el presente Capítulo y el Libro III de esta Ley. La Superintendencia deberá adoptar las medidas necesarias para mantener la confidencialidad de la ficha clínica.

22 9. D.F.L. 1/2005, del Minsal Artículo Le corresponderán a la Superintendencia las siguientes funciones y atribuciones, las que ejercerá a través de la Intendencia de Fondos y Seguros Previsionales de Salud, respecto de la supervigilancia y control de las Garantías Explícitas transitorio en Salud y el Sistema de Protección Financiera para Diagnósticos y Tratamientos de Alto Costo: 9.- Requerir de ( ) en general, de cualquier institución pública y/o privada la información que acredite el cumplimiento del Sistema de Protección Financiera para Diagnósticos y Tratamientos de Alto Costo, sobre oportunidad y calidad de las prestaciones y beneficios de salud que se otorguen a los beneficiarios, sin perjuicio de las facultades que pudieren corresponder a otros organismos. Esta facultad se extenderá al otorgamiento de las prestaciones no contempladas pero asociadas al Sistema, efectuadas en la Red de Prestadores aprobada por el Ministerio de Salud;

23 MARCO NORMATIVO RESPECTO DE LA PROTECCION DE LA INFORMACION DE LAS PERSONAS, EN PARTICULAR, EN SALUD. LA SEGURIDAD Y LA CONFIDENCIALIDAD DE LA INFORMACIÓN, EN ESPECIAL, EN MATERIA SANITARIA ACCIONES DE LA SUPERINTENDENCIA EN RELACIÓN A LA SEGURIDAD DE LA INFORMACION DE LAS PERSONAS COMENTARIOS FINALES

24 Seguridad de la Información: Marco General Artículo 1 D.S. 83 de 2005, de SEGPRES, Aprueba norma técnica para los órganos de la administración del Estado sobre seguridad y confidencialidad de los documentos electrónicos: La presente norma técnica establece las características mínimas obligatorias de seguridad y confidencialidad que deben cumplir los documentos electrónicos de los órganos de la Administración del Estado, y las demás cuya aplicación se recomienda para los mismos fines. NCH ISO/IEC 27001:Of. 2009: Tecnologías de la Información Técnica de Seguridad Sistemas de gestión de seguridad de la información - Requisitos

25

26

27 Confidencialidad de la información: Circular SSRA A15/01/2009

28 Confidencialidad de la información: Circular SSRA A15/01/2009

29 Confidencialidad de la información: Circular SSRA A15/01/2009

30 Confidencialidad de la información: Ordinario Minsal A15/1675/2009

31 Confidencialidad de la información: Ordinario Minsal A15/1404/2014

32 Seguridad de la Información: Otras Indicaciones del Ministerio de Salud Ordinario A22/N del MINSAL con instrucciones referidas a seguridad en el uso de carpetas compartidas. Ordinario N 407 del 9 de febrero de 2016 del MINSAL con directrices de Seguridad de la Información. Auditoría Ministerial Memo N 73 del 4 de febrero de 2016, referida a seguridad de la información en organismos autónomos del sector de salud.

33 MARCO NORMATIVO RESPECTO DE LA PROTECCION DE LA INFORMACION DE LAS PERSONAS, EN PARTICULAR, EN SALUD. LA SEGURIDAD Y LA CONFIDENCIALIDAD DE LA INFORMACIÓN, EN ESPECIAL, EN MATERIA SANITARIA ACCIONES DE LA SUPERINTENDENCIA EN RELACIÓN A LA SEGURIDAD DE LA INFORMACION DE LAS PERSONAS COMENTARIOS FINALES

34 Superintendencia de Salud REGULACION FISCALIZACION RESOLUCION DE CONFLICTOS ORIENTACION A LAS PERSONAS ISAPRES FONASA PRESTADOR FF.AA F.O.S.

35 Relaciones en el ámbito de las prestaciones de salud Isapre Fonasa Prestadores Personas

36 Información sensible y/o personal en la Superintendencia de Salud. Datos reservados en archivos maestros y bases de datos de sistemas computacionales. Expedientes con información de carácter personal y sensible (datos clínicos, fichas de pacientes, rentas o situación socioeconómica, entre otros). Datos sensibles o personales de beneficiarios del sistema obtenidos en procesos de fiscalización a prestadores de salud y/o aseguradoras o de vendedores de planes de salud de isapres Información personal de funcionarios(as) de la SdS

37 Seguridad de la Información: Política de la Superintendencia de Salud Política de Seguridad, aprobada según Resolución Exenta N 1002 de 2011 (Roles claves, funciones y atribuciones) D.S. 83 de 2005 Norma NCH ISO/IEC 27001:Of Oficial de Seguridad de la Información Comité de TI y Seguridad de la Información

38 Seguridad de la Información: Política de la Superintendencia de Salud Control de Acceso: Perfiles de usuarios autorizados para acceder a los datos, operar el sistema, mantener parámetros y/o utilizar Firma electrónica avanzada. Reglas y autenticación a nivel de WAN: Determinada la identificación y clave en el ingreso de nuevos funcionarios, se les asigna un perfil y privilegios de acceso en segmentos de red definidos y con las restricciones necesarias para el buen desempeño de las tareas asignadas a cada funcionario. Información sensible: Política de Seguridad de la información Sanciones por incumplimiento

39 Seguridad de la Información: Política de la Superintendencia de Salud

40 Medidas (adoptadas desde el año 2014) Resolución de controversias: expedientes electrónicos, con acceso reservado Publicación de documentos (por ejemplo, sentencias y resoluciones) sin referencias a datos personales o sensibles de los afectados Entrega de información vía solicitud formal Formalización vía convenios con instituciones que requieren información de manera permanente (principalmente, Universidades) La información siempre se entrega encriptada.

41 Gobernabilidad de Seguridad de la Información en la Superintendencia Oficial de Seguridad de la Información Comité de Seguridad de la Información. Los roles claves, funciones y atribuciones en Seguridad se describen en la Política aprobada según Resolución Exenta N 1002 de La Política y Normas Internas de seguridad se basan en directrices del DS 83 y NCH 27001:Of Tratamiento de la Información, Administración de Usuarios, Respaldo de Información, Antimalware, Ambientes de Procesamiento, Tratamiento de Continuidad Operacional, Licencias Legales de Software, Uso de Recursos Tecnológicos, Seguridad Física y Ambiental, Uso de Correo Electrónico e Internet, Comunicaciones, Desarrollo de Sistemas, Auditoría Automática de sistemas de información y Anexo de Sanciones por Incumplimiento

42 Evolución Institucional Última evaluación formal en Seguridad: año Procesos evaluados: Atención de Público, Fiscalización de Aseguradoras y Registro Público de Prestadores Individuales de Salud. Directrices e instrumentos de trabajo: los proporcionados por DIPRES Plan de Contingencia Tecnológica (DRP), desarrollado por INTELLEGO en el segundo semestre 2013 y entregado en Marzo Auditoría de Sistemas y de Seguridad al Registro de Prestadores Individuales, desarrollado por ACENDER durante el segundo semestre de 2013 y finalizado en marzo En 2015 se desarrolló una Evaluación Diagnóstica de implementación de controles de NCh ISO 27001:2013, con propuesta de metas de crecimiento para 2016, según instructivo enviado por MINSAL y mediciones solicitadas por DIPRES. En 2015, se desarrolló una Auditoría Ministerial a Organismos Autónomos en Seguridad.

43 Políticas de Seguridad de la Superintendecia de Salud referidas a indicaciones del Of. Ord N 665 Minsal sobre tratamiento de información en carpetas de uso compartido El manejo de información en los distintos repositorios existentes en la Superintendencia se tratan de acuerdo a lo indicado en: Norma N 1 sobre Tratamiento de la información que trata de su clasificación, acceso, conservación, transferencia y eliminación, además de referencias a la Ley sobre protección de datos personales Norma N 2 de Administración de Usuarios, que trata de cuenta y clave para funcionarios, acceso a redes y servicios de red y responsabilidad del monitoreo Norma N 5 de Ambientes de Procesamiento, tratamiento de información en ambientes diferenciados de red, de acuerdo a perfil y privilegios o restricciones de acceso Norma N 11 de Comunicaciones, que indica normas de seguridad para las comunicaciones internas y externas, y Norma N 14 Anexo Sanciones por incumplimiento, con indicaciones de la Ley sobre Estatuto Administrativo, el manejo de reservado de información y el Acuerdo de Confidencialidad que formaliza el acuerdo de reserva.

44 Planificación en Seguridad de la Información para año 2016 Se han programado las siguientes actividades a realizar el año 2016: Actualización del Comité TI y Seguridad de la Información en cuanto a la designación de roles y funciones. Realización de auditoría de Seguridad a Procesos de Negocio, aplicando los controles establecidos en la Norma. Monitoreo mensual del indicador transversal de implementación de seguridad de la información definido por la DIPRES.

45 MARCO NORMATIVO RESPECTO DE LA PROTECCION DE LA INFORMACION DE LAS PERSONAS, EN PARTICULAR, EN SALUD. LA SEGURIDAD Y LA CONFIDENCIALIDAD DE LA INFORMACIÓN, EN ESPECIAL, EN MATERIA SANITARIA ACCIONES DE LA SUPERINTENDENCIA EN RELACIÓN A LA SEGURIDAD DE LA INFORMACION DE LAS PERSONAS COMENTARIOS FINALES

46 La información como un derecho de las personas La ley N establece que la ficha clínica es el instrumento obligatorio en el que se registra el conjunto de antecedentes relativos a las diferentes áreas relacionadas con la salud de las personas, que tiene como finalidad la integración de la información necesaria en el proceso asistencial de cada paciente. Toda la información que surja tanto de la ficha clínica como de los estudios y demás documentos donde se registren procedimientos y tratamientos a los que fueron sometidas las personas, será considerada como dato sensible. El D.S. N 41/2012, del Minsal (Reglamento sobre fichas clínicas) regula el contenido, almacenamiento, administración, protección y eliminación de fichas clínicas de manera de resguardar el correcto empleo, disponibilidad y confidencialidad de las mismas.

47 Facultades de la Superintendencia en la materia Resolver los reclamos presentados por usuarios, y, en su caso instruir que se subsanen las faltas Fiscalizar (en forma programada o extraordinaria) e informar resultado del procedimiento al prestador, instruyendo subsanar las irregularidades encontradas. Ante el incumplimiento de la instrucción se puede iniciar un proceso sancionatorio (Multas hasta 500 UF en prestadores privados o sumario administrativo si el prestador es público).

48 Fiscalizaciones realizadas en el año 2015 Entre los prestadores fiscalizados se encuentra el Hospital Clínico de la Universidad de Chile, quien, en general, cumplió los aspectos fiscalizados, encontrándose deficiencias en dos aspectos: Exigir únicamente posesión efectiva para la entrega de copia de ficha clínica de paciente fallecido. Existen documentos que se agregan a la ficha clínica sin contar con el número identificatorio.

49 Reclamos asociados a la ficha clínica De los 932 reclamos ingresados por ley el año 2015, 14 están relacionados con el manejo de documentación clínica. 4 por pérdida de ficha clínica 9 por denegación de entrega de copia de antecedentes clínicos (ficha o parte de ella) 1 por vulneración de la reserva de información clínica (antecedentes clínicos fueron conocidos por la secretaria).

50 El respecto a la información como requisito para la acreditación REG 1.1: Ficha Clínica Única e Individual (Obligatoria, y de esta manera sujeta a fiscalización ex post) REG 1.2: El prestador cuenta con un sistema estandarizado de registro de datos clínicos y administrativos de los pacientes (No obligatoria) REG 1.3: El prestador institucional entrega por escrito información relevante sobre las prestaciones realizadas e indicaciones de seguimiento (No obligatoria) REG 1.4: Se aplican procedimientos establecidos para evitar pérdidas, mantener la integridad de los registros y su confidencialidad, por el tiempo establecido en la regulación vigente (No obligatoria)

51 Minsal frente a denuncia CIPER Se bloquearon los siguientes accesos (a los que solo se dará acceso a través de la mesa de ayuda de la red Minsal y siempre que cumpla con las condiciones de seguridad y autorización del Jefe TIC correspondiente): Carpetas compartidas entre establecimientos de la red Accesos remotos desde fuera de la red Servicio web que contenga vulnerabilidades de seguridad Todos los Jefes TIC de los Servicios de Salud y Seremis deben: Verificar en terreno y bloquear las carpetas compartidas que no cumplan con las condiciones de seguridad. Verificarán el correcto funcionamiento de sus aplicaciones y servicios TI Reenvío del Ordinario A22 N 3890 del 16 de diciembre de 2015, de la Ministra de Salud, a los Jefes TIC, sobre seguridad de la información, que reitera los controles mínimos a cumplir. Los trabajos de mitigación, escaneo y bloqueo terminaron a las 04:00 hrs. del 5 de marzo de 2016.

52 Exposición de información sensible de pacientes en Internet Exposición de información sensible de pacientes con VIH por la publicación en Internet de sumario administrativo incoado en el Hospital Clínico de la Universidad de Chile. Sumario Administrativo origina destitución de profesional, sanción que se aplica en el SSMS, interviene CGR, tomado razón. Cámara de Diputados, en uso de sus facultades de fiscalización, requiere información a Universidad de Chile, CGR y SSMS. Respuestas son publicadas en la web institucional Minsal es alertado de publicación de información sensible. Copias de Sumarios no están en la web, pero fueron entregadas a diversos organismos públicos. Superintendencia de Salud Ofició con fecha 10 de marzo de 2016 a Hospital Clínico J.J. Aguirre y con fecha 11 de marzo de 2016 efectuó fiscalización en terreno.

53 MARCO NORMATIVO RESPECTO DE LA PROTECCION DE LA INFORMACION DE LAS PERSONAS, EN PARTICULAR, EN SALUD. LA SEGURIDAD Y LA CONFIDENCIALIDAD DE LA INFORMACIÓN, EN ESPECIAL, EN MATERIA SANITARIA ACCIONES DE LA SUPERINTENDENCIA EN RELACIÓN A LA SEGURIDAD DE LA INFORMACION DE LAS PERSONAS COMENTARIOS FINALES

54 Comentarios finales Desde la perspectiva normativa, existe a nivel legal, reglamentaria y administrativa, pero en creciente obsolescencia, además de presentar debilidades respecto del catálogo de sanciones, que es limitado, poco disuasivo e insuficientemente reparador. Desde la óptica de la institucionalidad, se constata una tensión no resuelta entre transparencia y confidencialidad de la información, lo que se destaca aun más ante la ausencia de una autoridad de cumplimiento con facultades suficientes y atomicidad en los controles. Falta una mayor reflexión doctrinaria, jurisprudencial y pública sobre los alcances del secreto profesional como derecho-deber de los integrantes del equipo médico. Se observa una falta de cultura de respeto al carácter confidencial de la información clínica. Sistema muy vulnerable al error humano, adicionalmente la desconcentración de los repositorios de información y posibilidad de acceso remoto desdibujan la noción de territorialidad de las legislaciones, transformando así este problema en un problema global

55

56

57 Declaración de Helsinki Deben tomarse toda clase de precauciones para resguardar la intimidad de la persona que participa en la investigación y la confidencialidad de su información personal (Párrafo 24, Ethical Principles for Medical Research Involving Human Subjects)

58

59

60