Proyecto: Adaptacin de una entidad de salud a la Ley de Proteccin de Datos
Cliente: POVISA - Policlnico de Vigo
Hospital Povisa, S.A es un hospital privado con categora de hospital general y es el mayor hospital privado de Espaa, con una atencin anual promedio de 15000 pacientes, realizando aproximadamente 14000 cirugas (entre internas y ambulatorias) y respondiendo a 85.000 casos de urgencia al ao.
Adems de la prctica mdica tiene una importante actividad destinada a la investigacin cientfica y la educacin, encargndose de la organizacin de importantes congresos en distintas disciplinas.
Por tratarse de una institucin que gestiona informacin clasificada como de nivel bsico, medio y alto, o sea, todo tipo de informacin a proteger desde el punto de vista de la Ley de Proteccin de Datos (LOPD), necesariamente tuvo que encarar un importante proyecto de adaptacin a la misma.
Luego de evaluar distintas alternativas eligi contratar los servicios profesionales de NextVision Ibrica para su implementacin, quien lleva ya ms de 5 aos de experiencia en el tema.
LOPD es la Ley de Proteccin de Datos espaola, vigente en ese pas desde 1999, la cual ha sido tomada como base para la redaccin en Argentina de la denominada Ley de Habeas Data, promulgada en el ao 2001 y a la cual organismos y empresas pblicas y privadas debern estar adaptadas en Septiembre de 2007.
V Etapas realizadas en la consultora:
Anlisis de la situacin de partida Deteccin y determinacin de archivos que gestionan informacin de carcter personal y su clasificacin. Creacin, rectificacin y cancelacin de inscripciones de Archivos en el Registro de Agencia de Proteccin de Datos (en Argentina la DNPDP Direccion Nacional de Datos Proteccin de Datos Personales (www.jus.gov.ar/dnpdp) Anlisis de las medidas de seguridad a implementar Determinacin de las funciones y obligaciones del personal. Elaboracin del clusulado para la autorizacin al tratamiento de datos. Revisin de la gestin de soportes. Gestin de copias de seguridad y de recuperacin. Revisin de los procedimientos de cesin y/o comunicacin de datos. Tratamiento de informacin por cuenta de terceros (Responsables del tratatimiento) Gestin de incidencias. Definicin de requerimientos de las auditoras. Elaboracin del manual de procedimientos. Definicin de un Documento de Seguridad. Requisito obligatorio legalmente donde se reflejarn todos los archivos que gestionan informacin de carcter personal existentes, su clasificacin (nivel bsico, medio o alto), las medidas de seguridad implementadas en cada caso, responsable de base de datos y responsable de seguridad Modelos de acceso, rectificacin y cancelacin parcial o total de datos en archivos con informacin de carcter personal.
Cambios en la cultura organizacional :
Este tipo de proyectos obliga adems de la propia implementacin de las medidas de seguridad y administrativas, a un reciclaje y educacin de toda la organizacin para el conocimiento del alcance de esta ley y las medidas a adoptar para su cumplimiento.
El cumplimiento de la Ley no solo tiene un carcter formal, sino tambin desde el punto de vista operativo. El personal de la organizacin debe tener un conocimiento de esta legislacin, de lo que puede y no puede hacer con la informacin de carcter personal, buenas prcticas, implicaciones legales, etc.
Esto tambin afecta por supuesto a la informacin interna de la organizacin, como por ejemplo la base de datos de empleados y nminas, que es un archivo de carcter personal, que tiene informacin confidencial.
V Mejoras visibles en la organizacin al trmino del proyecto:
- Implementacin de medidas de seguridad (a fin de garantizar confidencialidad, integridad y disponibilidad) en la gestin de bases de datos de carcter personal. - Procedimientos de gestin de informacin de carcter personal. - Regularizacin de la cesin/tratamiento de informacin por parte de terceros. - Derechos de las personas sobre la informacin almacenada. - Calidad de los datos. - Definicin de rganos internos ante los que se ejercen los derechos de acceso, rectificacin y/o cancelacin de datos.
- Existencia de un Documento de seguridad, exigible por el organismo de contralor.
En definitiva un proyecto de adaptacin a una Ley de Proteccin de Datos es similar a la adecuacin de cualquier ley, normativa o estndar como lo es ISO 27001 Sarbanes Oxley - Cobit, etc.
Integrantes del equipo de proyecto:
Por parte del cliente:
Juan Brea.: Director del Departamento de Sistemas:
Jos Antonio Vzquez Montero.: Responsable de Seguridad:
Por parte de NextVision Ibrica:
Marcos Saco Andrade: Dto. De Tecnologa Dr. Enrique Soria - Dto. Legales