Guía de recomendaciones de nivel alto en materia de seguridad relativas a la protección de datos personales de salud en la administración pública sanitaria

Abstract

[ES] El objeto de este proyecto es la recogida y tratamiento de datos personales por el Servicio de Programas y Servicios Sanitarios (SPSS ) perteneciente a la Dirección Territorial de Valencia (DTV) de la Consellería de Sanidad (CS). El objetivo principal del Trabajo de Fin de Carrera (TFC) es elaborar una guía de recomendaciones de seguridad relativas a la protección de datos personales de salud gestionados por este servicio, de nivel alto, siendo los criterios a tener en cuenta más restrictivos que en otros servicios del ámbito público. Por otra parte, la legislación específica del sector sanitario excluye algunos de los principios de protección de datos personales a considerar, como es el consentimiento del interesado, que no es necesario. Por el contrario, revisaremos los procedimientos que se establezcan en la cesión de datos en los intercambios telemáticos, de acuerdo a la legislación establecida. Para el desarrollo del proyecto se va a seguir la Evaluación de Impacto en la protección de datos personales (EIPD) publicada en 2014 por la Agencia Española de Protección de Datos (AEPD)1, para evaluar y analizar los riesgos sobre datos personales sensibles gestionados por dicho servicio. Se van a revisar tantos los procesos internos, como los flujos de la información en la comunicación con los diferentes organismos, tanto públicos como privados, de acuerdo al cumplimiento de la legislación vigente. Todo ello con la finalidad de comparar los riesgos identificados con una línea base de seguridad legislativa, de modo que sirva como una guía de recomendaciones de seguridad aplicables en dicho servicio y, por extensión, en la propia organización. A su vez el desarrollo de este proyecto pretende ser marco de trabajo a seguir por los diferentes proyectos a desarrollar por la CS, para que revisen sus riesgos en la gestión de datos personales sensibles en sus procesos y en sus comunicaciones. Aunque una EIPD se ha definido preferentemente para las fases de análisis de un proyecto nuevo por implantar, dado que se está en proceso de implantación y en fase de análisis y desarrollo de nuevas funcionalidades en el PROYECTO CONCERTS de la Consellería de Sanidad, podría admitirse, y ser justificable, la necesidad de dicha evaluación, con la finalidad ya mencionada anteriormente, pues afecta a la gestión administrativa del SPSS sobre el que se realiza este estudio. De esta forma, se parte de la situación inicial con un análisis de la necesidad y una descripción de los procesos y flujos de información existentes entre el SPSS que recibe datos de los diferentes Departamentos y Hospitales de Salud referente a su actividad concertada y no concertada con Empresas Proveedoras privadas. La gestión de pacientes que se realiza afecta cuándo se envían pacientes a otras Comunidades Autónomas (CCAA) y se reciben pacientes de otras CCAA o de la Comunidad Europea (CE) que requieren ciertos tratamientos específicos, dentro del Sistema Nacional de Salud (SNS) establecido por el Ministerio de Sanidad. Este flujo de pacientes se ha ido incrementando con el tiempo y, dado el elevado nº de pacientes tratados, es necesaria esta evaluación de impacto. Tal como marca la EIPD, en sus fases a seguir, se continúa el desarrollo de este proyecto con una revisión de los riesgos para la protección de datos personales. Esta revisión se adapta al caso particular, de riesgos de datos de salud y asistencia sanitaria. De modo que, tal como se establece en la ley, se goza en determinadas circunstancias del consentimiento tácito que se deduce de la asistencia voluntaria del interesado al centro o ante el profesional sanitario, con intención de que se resuelva el problema de salud que pudiera existir, no siendo necesario obtener el consentimiento del mismo con la categoría de expreso. Esto descarta la evaluación de algunos de los riesgos propuestos por la EIPD y los reduce para su identificación y catalogación. Entre los riesgos a evaluar se sigue la clasificación dada entre: cesión de datos, calidad de los datos, deber de secreto, tratamientos por encargo y seguridad. En la fase de gestión de los riesgos, se pretende obtener una tabla resumen siguiendo el modelo propuesto por la EIPD con la codificación, descripción de los riesgos, el nivel de impacto, la probabilidad de que se materialice y las medidas propuestas para minimizarlos o mitigarlos. En base a estos resultados, se revisará el marco legislativo que afecta directamente a CS, desde la ORDEN 9/2012, de 10 de julio, de la Consellería de Sanidad, por la que se establece la organización de la seguridad de la información, el DECRETO 66/2012, de 17 de abril, del Consell que establece la política de seguridad de la información de la Generalitat como referentes de la legislación autonómica. Dentro de la legislación nacional, se revisa la Ley 11/2007, de 2 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, junto con el Esquema Nacional de Interoperabilidad y el Esquema Nacional de Seguridad que marcan la guía de recomendaciones en materia de seguridad, normalización y conservación de la información, de los formatos y de las aplicaciones que deberán ser tenidos en cuenta por las Administraciones públicas (AAPP ). En base a este marco legislativo se dispone de una guía que persigue establecer una línea base de seguridad a ser cumplida por los diferentes proyectos desarrollados por la Consellería de Sanidad. Esto va a permitir llevar a cabo un análisis del cumplimiento legislativo requerido por la EIPD. El propósito que se persigue es relacionar la tabla de gestión de riesgos obtenida con esta línea base de seguridad para que sirva de marco de referencia para otros proyectos y sistemas de información. Por último, se detalla el informe final con las propuestas de actuación y las conclusiones obtenidas de este trabajo. En este informe final, su estructura será adaptada al caso del estudio realizado y las propuestas de mejora servirán para los tratamientos clínicos que todavía siguen utilizando sistemas de información obsoletos, como se ve en la descripción de los procesos que se gestionan por parte del SPSS de la Dirección Territorial de Valencia (DTV) y, en el futuro, pretenden implementarse en el PROYECTO CONCERTS