Vamos a ir por partes en mi comentario que vale para este caso y para los que han ido saliendo/saldrán de datos de salud filtrados en varios hospitales, y por ejemplo, en el robo de los de la ANC del otro día.
Una cosa es que se derive a un paciente de la pública a la privada para tratarle y la privada pueda, legalmente, llamar al paciente para citarle, darle el tratamiento, el informe y listo. Si nos restringimos solo al esto hay cobertura legal.
Pero no se puede hacer uso de esos datos con otras finalidades. Es ilegal. No puede enviar o proponer otros tratamientos en sus servicios fuera de los contratados por la pública.
Ahora bien, si el tema es que en realidad son filtraciones, entendiendola como que un hospital público le da los datos a un privado porque si, sin haber contrato de prestación de servicio de por medio, cabe recordar que los datos de salud son datos con especial protección y se les aplica nivel de seguridad ALTO según la LOPD.
Esto exige, entre otras cosas:
1.- Listado completo de personas autorizadas a acceder al fichero. Esa lista la firma el responsble del fichero o el responsable de seguridad.
2.- Autorizaciones para cualquier mierda firmadas por una persona física a la que se la ha asignado esa función y que además es de obligado cimplimiento.
3.- Control de acceso paranoico, es decir, para cada registro accedido se ha de registrar tanto el intento de acceso frustrado (y al tercero bloquear el usuario) como el acceso permitido.
4.- Si se consigue el acceso por que es legítimo, se ha de registrar quien ha accedido a que registro y que ha hecho. Uno a uno, usuario a usuario y registro a registro.
5.- Mensualmente el responsable de seguridad ha de revisar los dos puntos anteriores y validarlos. Si existen problemas sobre todo con los accesos incorrectos (ataques) establecer medidas excepcionales para mitigarlo y controlarlo. Debe formar un documento que acredite que lo ha hecho.
6.- Los usuarios han de firmar una serie de obligaciones y responsabilidades que dicta el responsable del fichero (volvemos a una persona física designada por la jurídica)
7.- Absolutamente todos los soportes han de estar controlados, etiquetados e inventariados. Cada usuario con acceso a estos soportes (pendrives, unidades de cinta, discos duros) ha de estar autorizado por el Responsable de Seguridad.
8.- Solo los usuarios autorizados han de poder acceder a las cosas autorizadas.
Podría seguir dos días teniendo en cuenta solo los requisitos de la LOPD. Si además hablamso de ISO27000 etc.. ya ni os cuento.
9.- Autorizaciones de salida de datos firmadas por el responsable de seguridad.
10.- Exigencia de contrato para tratamiento por terceros por escrito y bien documentado.
Aquí no vale escudarse en la figura jurídica. Hay personas físicas identificadas que son responsables de todo este tinglado. Ni "ha sido un fallo informático". No hay sitio para un fallo de este tipo y por eso el RD 1720/2007 en lo relativo al documento de seguridad y sus mínimos exigibles POR LEY.
Creo que con este tema la AEPD tiene un buen momento para limpiar su imagen, al menos la que tiene entre los profesionales.
Y la fiscalía tambien puede limpiar su imagen. Los que hayan "filtrado" los datos han cometido los delitos de descubrimiento, revelación y seguramente con agravantes por ser administradores de los mismos. Y los que los reciben cometen una infracción muyt grave de la LOPD (Max. 600.000€) que puede complementarse con delitos penales según el Codigo Penal en asuntos de delitos informáticos.
Hay responsabilidad PENAL exigible y debe exigirse para todos, filtradores y receptadores.
Bueno que el PP mienta no es la noticia, la noticia que se salta la ley, ¿tendrían que poner al PP una multa de 600.000 euros como marca la ley por la filtración de datos?
El PP se tendría que disolver y entregar los votos
Lo que no se es porque a una venta de datos de pacientes, se le llama filtración. Porque podemos estar seguros, que más de uno se ha enriquecido con esta operación.
Comentarios
Vamos a ir por partes en mi comentario que vale para este caso y para los que han ido saliendo/saldrán de datos de salud filtrados en varios hospitales, y por ejemplo, en el robo de los de la ANC del otro día.
Una cosa es que se derive a un paciente de la pública a la privada para tratarle y la privada pueda, legalmente, llamar al paciente para citarle, darle el tratamiento, el informe y listo. Si nos restringimos solo al esto hay cobertura legal.
Pero no se puede hacer uso de esos datos con otras finalidades. Es ilegal. No puede enviar o proponer otros tratamientos en sus servicios fuera de los contratados por la pública.
Ahora bien, si el tema es que en realidad son filtraciones, entendiendola como que un hospital público le da los datos a un privado porque si, sin haber contrato de prestación de servicio de por medio, cabe recordar que los datos de salud son datos con especial protección y se les aplica nivel de seguridad ALTO según la LOPD.
Esto exige, entre otras cosas:
1.- Listado completo de personas autorizadas a acceder al fichero. Esa lista la firma el responsble del fichero o el responsable de seguridad.
2.- Autorizaciones para cualquier mierda firmadas por una persona física a la que se la ha asignado esa función y que además es de obligado cimplimiento.
3.- Control de acceso paranoico, es decir, para cada registro accedido se ha de registrar tanto el intento de acceso frustrado (y al tercero bloquear el usuario) como el acceso permitido.
4.- Si se consigue el acceso por que es legítimo, se ha de registrar quien ha accedido a que registro y que ha hecho. Uno a uno, usuario a usuario y registro a registro.
5.- Mensualmente el responsable de seguridad ha de revisar los dos puntos anteriores y validarlos. Si existen problemas sobre todo con los accesos incorrectos (ataques) establecer medidas excepcionales para mitigarlo y controlarlo. Debe formar un documento que acredite que lo ha hecho.
6.- Los usuarios han de firmar una serie de obligaciones y responsabilidades que dicta el responsable del fichero (volvemos a una persona física designada por la jurídica)
7.- Absolutamente todos los soportes han de estar controlados, etiquetados e inventariados. Cada usuario con acceso a estos soportes (pendrives, unidades de cinta, discos duros) ha de estar autorizado por el Responsable de Seguridad.
8.- Solo los usuarios autorizados han de poder acceder a las cosas autorizadas.
Podría seguir dos días teniendo en cuenta solo los requisitos de la LOPD. Si además hablamso de ISO27000 etc.. ya ni os cuento.
9.- Autorizaciones de salida de datos firmadas por el responsable de seguridad.
10.- Exigencia de contrato para tratamiento por terceros por escrito y bien documentado.
Aquí no vale escudarse en la figura jurídica. Hay personas físicas identificadas que son responsables de todo este tinglado. Ni "ha sido un fallo informático". No hay sitio para un fallo de este tipo y por eso el RD 1720/2007 en lo relativo al documento de seguridad y sus mínimos exigibles POR LEY.
Creo que con este tema la AEPD tiene un buen momento para limpiar su imagen, al menos la que tiene entre los profesionales.
Y la fiscalía tambien puede limpiar su imagen. Los que hayan "filtrado" los datos han cometido los delitos de descubrimiento, revelación y seguramente con agravantes por ser administradores de los mismos. Y los que los reciben cometen una infracción muyt grave de la LOPD (Max. 600.000€) que puede complementarse con delitos penales según el Codigo Penal en asuntos de delitos informáticos.
Hay responsabilidad PENAL exigible y debe exigirse para todos, filtradores y receptadores.
Veremos en que queda....
#4 muy acertado tu comentario.
Bueno que el PP mienta no es la noticia, la noticia que se salta la ley, ¿tendrían que poner al PP una multa de 600.000 euros como marca la ley por la filtración de datos?
El PP se tendría que disolver y entregar los votos
in∫idia∫
Que cierren la Agpd de Madrid. Total, para lo que vale. Y de paso ahorramos.
Ya es que mienten por deporte
Lo que no se es porque a una venta de datos de pacientes, se le llama filtración. Porque podemos estar seguros, que más de uno se ha enriquecido con esta operación.
Esta gentuza lleva la mentira en la sangre.....