Boletines de la Oficina de Seguridad

Boletín nº 2 año 2010

Oficina de Seguridad: Novedades

De nuevo estamos aquí para presentar el segundo número del boletín E-SEGURETAT. Por medio de los sucesivos boletines que enviemos desde la Oficina de Seguridad de la Oficina de las Tecnologías de la Información y las Comunicaciones (OTIC) del Servicio de Salud, tenemos la intención de tratar temas relacionados principalmente con la seguridad de la información y la protección de los datos de carácter personal.

En este sentido, para empezar hemos decidido abordar el tema de las redes de intercambio de archivos P2P, más conocidas por algunos de los programas que explotan este tipo de redes como son eMule o Ares.

Para los números siguientes hemos pensado abordar otros temas, como las redes sociales y la protección de datos o el uso de Internet por parte de los menores.

imagenAsimismo, tengo la satisfacción de anunciar que próximamente estará disponible el curso en línea sobre el Código de buenas prácticas.

Mediante esta formación se podrá aprender de una manera interactiva y práctica los derechos y las obligaciones principales de los profesionales en relación al uso de los sistemas de información y el tratamiento de datos de carácter personal en el ámbito del Servicio de Salud. En cuanto el curso esté disponible, enviaremos la información oportuna mediante el área de formación de cada gerencia.

No duden en hacernos saber cualquier sugerencia o si les interesa que abordemos algún tema concreto: escríbanos a la dirección de correo Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo..

Josep E. Romero

OTIC Seguridad


Las P2P y la protección de datos

Recientemente, en diversos medios de comunicación se han publicado noticias acerca de las sanciones impuestas por la Agencia Española de Protección de Datos a clínicas que estaban compartiendo historiales de pacientes por medio de redes P2P.

La Ley orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, establece como falta muy grave la comunicación de datos a terceras personas sin el consentimiento previo de la persona interesada o sin que haya una ley que lo permita.

En la mayoría de las ocasiones, la información se ha difundido por medio de las redes P2P por una configuración incorrecta de los programas utilizados para compartir archivos. Por otro lado, también hay que recordar que muchas de las descargas de estas redes de intercambio (música o películas) están protegidas por derechos de la propiedad intelectual.

El Código de buenas prácticas en el uso de los sistemas de información y en el tratamiento de los datos de carácter personal, aprobado por la Circular 04/2009, de 28 de abril de 2009, del director general del Servicio de Salud, considera como uso incorrecto del servicio de Internet la descarga y la transmisión indiscriminada de imágenes, sonido y vídeo, ya que su tamaño satura el ancho de banda y disminuye la velocidad de transmisión y perjudica a otros usuarios.

Asimismo, el Código de buenas prácticas establece (punto 4) que debe evitarse usar equipos o aplicativos que no estén especificados directamente como parte del software o del hardware estándar del Servicio de Salud y que, si fuera necesario instalar programas ajenos al estándar establecido, debe solicitarse la autorización del responsable del servicio, para lo cual es necesaria la valoración previa del Servicio de Informática.

Por todo lo anterior, es importante subrayar que la instalación y el uso de programas de intercambio basados en redes P2P (como eMule o Ares) están totalmente prohibidos en los equipos informáticos del Servicio de Salud.

Preguntas más frecuentes sobre el Código de buenas prácticas

Con el fin de explicar de una manera más comprensible el contenido del Códi-go de buenas prácticas en el uso de los sistemas de información y el trata-miento de los datos de carácter personal del Servicio de Salud, en esta sec-ción responderemos algunas de las preguntas más frecuentes que surgen respecto a la aplicación del Código.

¿Cuál es el objeto del Código de buenas prácticas?

El objeto del Código de buenas prácticas es que todos los profesionales del Servicio de Salud conozcan las pautas que deben seguir para usar los recur-sos informáticos a fin de mantener la seguridad, la confidencialidad, la dispo-nibilidad y la integridad de los datos de carácter personal, y también para cumplir la legislación vigente.

¿Quién debe aplicar el Código de buenas prácticas?

Todo el personal que tenga acceso a los sistemas de información del Servicio de Salud debe conocer y aplicar los requisitos establecidos en el Código de buenas prácticas.

¿Sobre qué recursos debe aplicarse el Código de buenas prácticas?

Los requisitos establecidos por el Código de buenas prácticas se refieren al uso de todos los recursos (sistemas de información, ordenadores personales, medios de transmisión…).

¿Qué medidas de seguridad hay que tener en cuenta para usar los siste-mas de información?

El reglamento que desarrolla la Ley orgánica de protección de datos de carác-ter personal describe todas las medidas de seguridad que hay que aplicar pa-ra el funcionamiento correcto de los sistemas que traten datos de carácter personal. Como regla general, los profesionales deben seguir estas pautas:

 Guardar un estricto secreto profesional.

 Conocer los principios de la Ley orgánica de protección de datos de carácter personal.

 Garantizar la confidencialidad de los datos a los que tenga acceso.

 Evitar dejar información confidencial desatendida (memoria USB sin ci-frar o sin guardar, equipos sin bloquear…).

 No acceder a los datos por medios distintos a los proporcionados por el Servicio de Salud.

 Evitar generar ficheros temporales.

¿Cuando termina el compromiso de confidencialidad suscrito con el Servicio de Salut?

Nunca. El personal que haya tenido acceso a datos de carácter personal en el desempeño de su trabajo debe guardar un estricto secreto profesional por tiempo indefinido, incluso después de que se extinga su relación con el Servi-cio de Salud.

¿Qué medidas de seguridad hay que aplicar para el tratamiento de docu-mentación que contenga datos de carácter personal?

 Guardar la documentación confidencial en cajones o armarios cerrados con llave.

 Destruir de manera segura la documentación confidencial.

 Evitar generar documentación impresa en papel.

 Evitar que la documentación confidencial impresa en papel quede al al-cance de personas no autorizadas (en impresoras, faxes, puestos de trabajo…).