Proyecto Autoevaluación de Datos Personales Subdirección de Correspondencia, Archivo y Oficina de Información Pública
Objetivo Proyecto de Autoevaluación de Datos Personales Realizar una autoevaluación del funcionamiento de los Sistemas de Datos Personales de los interesados (art. 2 de la LPDPDF Interesado: Persona física titular de los datos personales que sean objeto del tratamiento al que se refiere la presente Ley ) internos y externos de la Secretaría de Salud del Distrito Federal, respecto al cumplimiento de la normatividad en la materia, en sus distintas etapas: antes de recabar los datos; durante la recolección de los datos; durante el tratamiento de los datos; al ceder datos; y al suprimir sistemas de datos personales. Normatividad Norma Oficial Mexicana NOM-168 Del Expediente Clínico, Norma Oficial Mexicana NOM-24 -SSA3-2010 Del Expediente Clínico-Electrónico Ley de Protección de Datos Personales del Distrito Federal. Ley de Transparencia y Acceso a la Información Pública del D.F. Lineamientos para la Protección de Datos Personales en el Distrito Federal. Circular Uno 2011, denominada Normatividad en Materia de Administración de Recursos para las Dependencias, Unidades Administrativas, Unidades Administrativas de Apoyo Técnico Operativo, Órganos Desconcentrados y Entidades de la Administración Pública del Distrito Federal
Glosario de Términos Ley de Protección de Datos Personales del Distrito Federal, en los sucesivo LPDPDF Ley de Transparencia y Acceso a la Información Pública, en los sucesivo LTAIPDF Lineamientos para la Protección de Datos Personales en el Distrito Federal, en los sucesivo Lineamientos Instituto de Acceso a la Información Pública y Protección de Datos Personales, en los sucesivo INFODF Subdirección de Correspondencia, Archivo y Oficina de Información Pública, en los sucesivo SCAOIP Persona física titular de los datos personales que sean objeto del tratamiento al que se refiere la presente Ley Interesado Antecedentes Sistema de Datos Personales: En noviembre de 2008 se celebraron mesas de trabajo con personal de la Dirección General de Servicios Médico y Urgencias, Directores, Subdirectores y Jefes de Unidad Departamental de la Red Hospitalaria, por parte de la Secretaría de Salud y Direcciones de Área y Jurisdicciones Sanitarias de los Servicios de Salud Pública, con la finalidad de identificar los Sistemas de Datos Personales con los que contábamos, así como las medidas de seguridad que se implementan. *Formato de Registro de Datos Personales
Registro Electrónico de Sistemas de Datos Personales Una vez identificados los Sistemas de Datos Personales, la SCAOIP procedió a inscribirlos en el Registro Electrónico de Sistemas de Datos Personales (RESDP) habilitado por el INFODF. (mayo de 2010) En este contexto es obligación de cada unidad médica y administrativa informe a la SCAOIP con oportunidad la creación de un nuevo Sistema a efecto publicarlo en la Gaceta Oficial del Distrito Federal e inscribirlo en el Registro Electrónico; y en su momento actualizar sus datos. Leyenda Se implementó el texto de las leyendas para informar a los ciudadanos que sus datos personales recabados serán protegidos, incorporados y tratados en un Sistema de Datos Personales, Deber de Informar *Leyendas Documento de Seguridad Se elaboraron los Documentos de Seguridad en las unidades médicas y administrativas, con apoyo de sus Titulares. *Documento de Seguridad
Capacitación en materia de Ley de Transparencia y Acceso a la Información Pública; Ley de Protección de Datos Personales; Ley de Archivos; Lineamientos para la Protección de Datos Personales todos del Distrito Federal La Subdirección de Correspondencia, Archivo y Oficina de Información Pública imparte continuamente cursos presenciales de capacitación en la materia, lo que ha permitido obtener la Certificación correspondiente ante el InfoDF; no obstante es necesario continuar con esta tarea derivado de la importancia y responsabilidad que representa el recaba datos personales. Dicha capacitación se enfoca principalmente a los Directores, Subdirectores y Jefes de Unidad Departamental de la Unidades Médicas/Administrativas, responsables de archivos y a todo servidor público que tenga contacto directo con este tipo de datos.
Resultados a obtener El alcance de esta autoevaluación, atiende a la necesidad de implantar medidas técnicas y organizativas en el tratamiento de los datos personales que se extiende de forma específica, a la necesidad del establecimiento de procedimientos, reglas y estándares para el tratamiento de los datos, por las personas que necesitan acceder a los mismos en el ejercicio de las funciones encomendadas, debiendo establecer claramente sus obligaciones y responsabilidades. Esta labor conjunta se efectuará ante la obligación de realizar una auditoría a las medidas de seguridad aplicadas a los sistemas de datos personales en posesión de esta Secretaría y Organismo con nivel de seguridad alto; de conformidad con lo establecido en el artículo 14 de la LPDPDF y el numeral 16, fracción II de los Lineamientos para la Protección de Datos Personales en el Distrito Federal, permitiéndonos establecer las medidas preventivas y correctivas necesarias. Los Lineamientos prevén en su Lineamiento 16 fracción II b) que: Las medidas de seguridad implementadas para la protección de los sistemas de datos personales se someterán a una auditoría interna o externa, mediante la que se verifique el cumplimiento de la Ley, de los presentes Lineamientos y demás procedimientos vigentes en materia de seguridad de datos, al menos, cada dos años. El informe de resultados de la auditoría deberá dictaminar sobre la adecuación de las medidas de seguridad previstas en los Lineamientos, así como en las recomendaciones, que en su caso, haya emitido el Instituto. Además, deberá identificar sus deficiencias y proponer las medidas preventivas, correctivas o complementarias necesarias. El informe de auditoría deberá ser comunicado por el responsable al Instituto dentro de los 20 días hábiles siguientes a su emisión. Asimismo, se deberá informar al Instituto de la adopción de las medidas correctivas derivadas de la auditoría en el plazo referido, a partir de que éstas hayan sido atendidas.
Metodología de Evaluación Octubre-Noviembre 2011 I.Primera Etapa, Presentación del Proyecto de Autoevaluación de Datos Personales: consistió en la presentación y entrega de un Proyecto de Autoevaluación de Datos Personales a los miembros del Pleno de los Comités de Transparencia y Directores de Unidades Médicas/Administrativas, el cual cuenta con una herramienta denominada Cuestionario de Control sobre el Sistema y Tratamiento de Datos Personales, que sirvió de base para obtener un Diagnóstico. II. Segunda Etapa, Diagnóstico: se detectaron las fortalezas, oportunidades, debilidades y amenazas (FODA) a efecto de establecer los parámetros de cumplimiento en materia de protección de datos personales Enero 2012 III. Tercera Etapa, Taller de Capacitación: Realizar un Taller de Capacitación y Evaluación en materia de Datos Personales, que nos permitirá lograr los objetivos de Asegurar el conocimiento y aplicación de la Ley y Lineamientos en materia de Protección de Datos Personales de forma continua, permitiendo Implementar, vigilar, innovar y evaluar los procesos. El cual se desarrollará en dos sesiones de cuatro horas cada una de acuerdo al calendario establecido por la SCAOIP. Dicha capacitación se enfoca principalmente a los Responsables y Encargas de los multicitados Sistemas ( SRIA: Directores, Subdirectores y Jefes de Unidad Departamental de la Red Hospitalaria, Dirección de Servicios de Medicina Legal y en Reclusorios, Voluntad Anticipada, Salud Mental, Recursos Humanos, Recursos Materiales, Responsables de archivos, y todo aquel servidor público que tenga contacto directo con este tipo de datos)
( SSPDF: Directores, Subdirectores y Jefes de Unidad Departamental de la Dirección de Administración y Finanzas, Dirección de Atención Médica, Dirección de Promoción a la Salud, Jurisdicciones Sanitarias y Centros de Salud correspondientes, Centro Dermatológico Dr. Ladislao de la Pascua, Hospital General Ticomán, Clínica de Especialidades Condesa, Responsables de archivos, y todo aquel servidor público que tenga contacto directo con este tipo de datos) Febrero IV. Cuarta Etapa, Autoevaluación: Cada Unidad Médica/Administrativa que cuente con sistemas de datos personales se realizará una autoevaluación, basándose en las Preguntas de Validación, establecidas en la Tercera Etapa, lo que les permitirá identificar su grado de cumplimiento de la normatividad relacionada en la materia y así establecer las medidas preventivas, correctivas o complementarias necesarias. Marzo V. Quinta Etapa, Verificación: La SCAOIP realizará una verificación respecto del cumplimiento de la normatividad en la materia, en sus distintas etapas: antes de recabar los datos; durante la recolección de los datos; durante el tratamiento de los datos; al ceder datos; y al suprimir sistemas de datos personales. Abril VI. Sexta Etapa, Solventación : Cada unidad médica y/o administrativa contará con un periodo de 10 días hábiles para solventar las recomendaciones que se deriven de la Verificación realizada por la SCAOIP. 12 de Mayo VII. Séptima Etapa, Resultados: La SCAOIP presentará un Informe de Resultados del Proyecto de Autoevaluación de Datos Personales a los Comités de Transparencia y al InfoDF.