Abandonar datos de salud en la calle puede salir muy caro
Hoy quiero comentar una noticia reciente sobre una sanción de la Agencia de Protección de Datos. El caso se refiere a un médico que en su consulta particular cometió el error de abandonar muestras en la calle. Para desgracia de este médico, la negligencia no ha sido cometida en su trabajo como funcionario y al tratarse de una entidad privada, la sanción es económica y se eleva a los 60.101 euros por una infracción muy grave sobre el artículo 10, Deber de secreto de los datos de carácter personal.
El detalle de la noticia puede leerse en este enlace "La Agencia de Protección de Datos sanciona a un médico de Gijón por tirar envases de biopsias con datos personales" pero lo curioso de la situación es que un porcentaje altísimo de las consultas particulares que los médicos tienen en su domicilio incumple con la legislación en materia de protección de datos.
De mi propia experiencia personal (que por suerte es relativamente poca dado que no suelo tener que ir mucho al médico) siempre observo deficiencias muy básicas como no informar correctamente en las tomas de datos con las cláusulas correspondientes, la presencia de equipamiento informático sin las correspondientes medidas de seguridad.
Además, el vencimiento de los plazos de adaptación del R.D. 1720/2007 de desarrollo de la Ley 15/1999 de Protección de Datos de Carácter Personal hace que médicos que siguen pensando que la LOPD sólo aplica a los medios informáticos no estén considerando que sus fichas de pacientes en papel también tienen que tener medidas de seguridad (entre ellas, el famoso documento de seguridad donde se explican cuáles exactamente).
Todo ello pone de manifiesto la escasa concienciación que hay dentro del sector de la medicina privada y particular (las consultas en domicilios generalmente) de la severidad que tienen las sanciones de la Agencia de Protección de Datos cuando hay cualquier fuga de información. Obviamente, las inspecciones sólo se realizan cuando hay un incidente. Como en otros campos, la seguridad sólo se tiene en cuenta cuando hay problemas, pero en este caso, si eso ocurre, ya tienes sanción impuesta y el coste del incidente puede superar el precio de las medidas preventivas que son necesarias tener aplicadas. Como se suele decir, la letra con sangre entra.
Fuente: Javier Cao Avellaneda
El detalle de la noticia puede leerse en este enlace "La Agencia de Protección de Datos sanciona a un médico de Gijón por tirar envases de biopsias con datos personales" pero lo curioso de la situación es que un porcentaje altísimo de las consultas particulares que los médicos tienen en su domicilio incumple con la legislación en materia de protección de datos.
De mi propia experiencia personal (que por suerte es relativamente poca dado que no suelo tener que ir mucho al médico) siempre observo deficiencias muy básicas como no informar correctamente en las tomas de datos con las cláusulas correspondientes, la presencia de equipamiento informático sin las correspondientes medidas de seguridad.
Además, el vencimiento de los plazos de adaptación del R.D. 1720/2007 de desarrollo de la Ley 15/1999 de Protección de Datos de Carácter Personal hace que médicos que siguen pensando que la LOPD sólo aplica a los medios informáticos no estén considerando que sus fichas de pacientes en papel también tienen que tener medidas de seguridad (entre ellas, el famoso documento de seguridad donde se explican cuáles exactamente).
Todo ello pone de manifiesto la escasa concienciación que hay dentro del sector de la medicina privada y particular (las consultas en domicilios generalmente) de la severidad que tienen las sanciones de la Agencia de Protección de Datos cuando hay cualquier fuga de información. Obviamente, las inspecciones sólo se realizan cuando hay un incidente. Como en otros campos, la seguridad sólo se tiene en cuenta cuando hay problemas, pero en este caso, si eso ocurre, ya tienes sanción impuesta y el coste del incidente puede superar el precio de las medidas preventivas que son necesarias tener aplicadas. Como se suele decir, la letra con sangre entra.
Fuente: Javier Cao Avellaneda
Me consta por vivirlo dia a dia desde la perspectiva de un profesional de TIC subcontratado por un hospital de una comunidad autónoma de España de más de 4 provincias, la capacidad de que cualquiera pueda acceder al escritorio de las estaciones de trabajo ya que el nombre de usuario y password es el mismo y nunca se cambia siendo común que en este existan informes en word de pacientes, con nombres y apellidos; así como la capacidad de la fuga de datos a través de usb o la inclusión de malware, la práctica común por el personal médico de llevarse en usb datos médicos de los pacientes para 'trabajo' en casa sin medidas de protección, la instalación común de software de ocio por disfrutar de permisos de admo. local y estamos hablando de un hospital público, con ordenadores en un porcentaje muy alto con todo tipo de malware conviviendo en el sistema que permiten acceder a los medios y datos para diagnosticar enfermedades.
ResponderBorrarSe la vi!