CASO DE EXITO CONSULTORA

Proyecto: Adaptacin de una entidad de salud a la Ley de Proteccin de Datos

Cliente: POVISA - Policlnico de Vigo

Hospital Povisa, S.A es un hospital privado con categora de hospital general y es el
mayor hospital privado de Espaa, con una atencin anual promedio de 15000
pacientes, realizando aproximadamente 14000 cirugas (entre internas y
ambulatorias) y respondiendo a 85.000 casos de urgencia al ao.

Adems de la prctica mdica tiene una importante actividad destinada a la
investigacin cientfica y la educacin, encargndose de la organizacin de
importantes congresos en distintas disciplinas.

Por tratarse de una institucin que gestiona informacin clasificada como de nivel
bsico, medio y alto, o sea, todo tipo de informacin a proteger desde el punto de
vista de la Ley de Proteccin de Datos (LOPD), necesariamente tuvo que encarar
un importante proyecto de adaptacin a la misma.

Luego de evaluar distintas alternativas eligi contratar los servicios profesionales de
NextVision Ibrica para su implementacin, quien lleva ya ms de 5 aos de
experiencia en el tema.

LOPD es la Ley de Proteccin de Datos espaola, vigente en ese pas desde 1999, la
cual ha sido tomada como base para la redaccin en Argentina de la denominada
Ley de Habeas Data, promulgada en el ao 2001 y a la cual organismos y
empresas pblicas y privadas debern estar adaptadas en Septiembre de 2007.




V Etapas realizadas en la consultora:

Anlisis de la situacin de partida
Deteccin y determinacin de archivos que gestionan informacin de
carcter personal y su clasificacin.
Creacin, rectificacin y cancelacin de inscripciones de Archivos en el
Registro de Agencia de Proteccin de Datos (en Argentina la DNPDP Direccion
Nacional de Datos Proteccin de Datos Personales (www.jus.gov.ar/dnpdp)
Anlisis de las medidas de seguridad a implementar
Determinacin de las funciones y obligaciones del personal.
Elaboracin del clusulado para la autorizacin al tratamiento de datos.
Revisin de la gestin de soportes.
Gestin de copias de seguridad y de recuperacin.
Revisin de los procedimientos de cesin y/o comunicacin de datos.
Tratamiento de informacin por cuenta de terceros (Responsables del
tratatimiento)
Gestin de incidencias.
Definicin de requerimientos de las auditoras.
Elaboracin del manual de procedimientos.
Definicin de un Documento de Seguridad. Requisito obligatorio
legalmente donde se reflejarn todos los archivos que gestionan
informacin de carcter personal existentes, su clasificacin (nivel bsico,
medio o alto), las medidas de seguridad implementadas en cada caso,
responsable de base de datos y responsable de seguridad
Modelos de acceso, rectificacin y cancelacin parcial o total de datos
en archivos con informacin de carcter personal.



Cambios en la cultura organizacional :

Este tipo de proyectos obliga adems de la propia implementacin de las medidas
de seguridad y administrativas, a un reciclaje y educacin de toda la
organizacin para el conocimiento del alcance de esta ley y las medidas a adoptar
para su cumplimiento.

El cumplimiento de la Ley no solo tiene un carcter formal, sino tambin desde el
punto de vista operativo. El personal de la organizacin debe tener un conocimiento
de esta legislacin, de lo que puede y no puede hacer con la informacin de
carcter personal, buenas prcticas, implicaciones legales, etc.

Esto tambin afecta por supuesto a la informacin interna de la organizacin, como
por ejemplo la base de datos de empleados y nminas, que es un archivo de
carcter personal, que tiene informacin confidencial.


V Mejoras visibles en la organizacin al trmino del proyecto:


- Implementacin de medidas de seguridad (a fin de garantizar
confidencialidad, integridad y disponibilidad) en la gestin de bases
de datos de carcter personal.
- Procedimientos de gestin de informacin de carcter personal.
- Regularizacin de la cesin/tratamiento de informacin por parte
de terceros.
- Derechos de las personas sobre la informacin almacenada.
- Calidad de los datos.
- Definicin de rganos internos ante los que se ejercen los
derechos de acceso, rectificacin y/o cancelacin de datos.

- Existencia de un Documento de seguridad, exigible por el
organismo de contralor.


En definitiva un proyecto de adaptacin a una Ley de Proteccin de
Datos es similar a la adecuacin de cualquier ley, normativa o
estndar como lo es ISO 27001 Sarbanes Oxley - Cobit, etc.


Integrantes del equipo de proyecto:

Por parte del cliente:

Juan Brea.: Director del Departamento de Sistemas:

Jos Antonio Vzquez Montero.: Responsable de Seguridad:


Por parte de NextVision Ibrica:

Marcos Saco Andrade: Dto. De Tecnologa
Dr. Enrique Soria - Dto. Legales