Documenti di Didattica
Documenti di Professioni
Documenti di Cultura
privada (I)
SUPUESTO:
El supuesto que os presento es el más sencillo que puede ocurrir en lo que a clínicas
privadas se refiere:
Sani-To es una clínica privada compuesta por dos profesionales de la Medicina en la
que prestan sus servicios realizando consultas médicas y pequeñas intervenciones
quirúrgicas. En Sani-To son algo tradicionales, y para las historias clínicas de sus
pacientes utilizan fichas en papel como toda la vida; si les va bien…. ¿para que
cambiar? Hasta no hace mucho, pensaban que como no había ordenadores en la clínica,
eso de la LOPD no iba con ellos, pero un aviso de inspección de la Consejería de Salud
les ha hecho ponerse alerta respecto a estos asuntos, así que se han puesto en contacto
con GC Consultores para que les hagan una auditoría de cumplimiento de la LOPD… a
ver qué sale.
Registro de ficheros
ID Control Resp. Evidencia Comentarios
Con la información de la que
dispone actualmente ¿Cree que Sí
LOPD001 Vd. o su empresa realizan Entrevista
tratamientos de datos de No
carácter personal?
Sí
Si Vd. trata datos personales
LOPD002 Entrevista
¿los incluye en ficheros?
No
¿Se han notificado los ficheros
Registro
a la AEPD para su inscripción
LOPD003 No inscripción
en el Registro General de
AEPD
Protección de Datos?
La Ley Orgánica de Protección de Datos tiene por objeto garantizar y proteger los
derechos de las personas en lo que concierne al tratamiento de los datos personales. Por
ello, por tratar datos personales deben cumplirse con las previsiones y principios de la
Ley.
Si además los datos se incorporan a ficheros, en la legislación española debe cumplirse
con el deber de inscripción de los ficheros ante el Registro General de Protección de
datos de la Agencia Española de Protección de Datos. Si se trata de una administración
distinta de la Administración General del Estado, con sede en el País Vasco, Cataluña o
la Comunidad de Madrid la inscripción se realizará en el Registro de las autoridades
autonómicas de protección de datos.
De acuerdo con los controles realizados y las respuestas obtenidas se proponen las
recomendaciones siguientes:
Tipos de ficheros
Fichero automatizado
Fichero no Automatizado
Información y Consentimiento
ID Control Resp. Evidencia
¿Cómo obtiene sus datos? (Indique Su Respuesta)
LOPD 004
Me los proporciona directamente la persona a
X Entrevista EL PACIENTE
quien pertenecen.
Entrevista
Si le proporciona directamente los datos la persona
a quien pertenecen…
LOPD 005 Procedimiento para TÁCITO
X
obtener
Lo hace con su consentimiento
consentimiento
Los datos que trato me los proporciona
directamente la persona a quien pertenecen sin su
LOPD 006 consentimiento porque los obtengo en el marco de No Entrevista
la celebración de un contrato, precontrato o
relación laboral, o negocial.
Los datos que trato me los proporciona
directamente la persona a quien pertenecen sin su
LOPD 007 consentimiento porque somos Administración No Entrevista
Pública y los obtenemos en el marco del ejercicio
de nuestras funciones.
Trato los datos sin consentimiento porque los
obtengo de una fuente accesible al público como la Fuentes de acceso
LOPD 008 guía telefónica, un listado de profesionales, diarios No Público de donde
y boletines oficiales o medios de comunicación obtiene los datos
social
Los datos que trato me los proporciona Ley que regula el
LOPD 009 directamente la persona a quien pertenecen, sin su No tratamiento sin
consentimiento en virtud de una obligación legal. consentimiento
Los datos que trato me los proporciona
directamente la persona a quien pertenecen Servicios que
LOPD 010 X SANITARIOS
debido a que presto servicios sanitarios y/o debo presta
proteger un interés vital del interesado.
Los datos que trato me los proporciona
directamente la persona a quien pertenecen sin su Ley o Norma que
LOPD 011 consentimiento, porque tiene por objeto la No ampara el
satisfacción de un interés legítimo amparado por la tratamiento
Ley o una norma comunitaria de aplicación directa.
LOPD 012 Los datos que trato me los proporciona un tercero. No Entrevista
Los datos que trato me los proporciona un tercero
LOPD 013 No Entrevista
que los recoge por encargo mío.
Indique si trata alguno de los siguientes datos
(Escoger entre los siguientes).
LOPD 014 X Entrevista
Origen racial, salud o vida sexual
Trato datos sobre ideología, afiliación sindical,
LOPD 015 religión o creencias y obtengo el consentimiento No Entrevista
del interesado.
Entrevista
Trato datos sobre origen racial, salud o vida sexual
y obtengo el consentimiento del interesado. Modelo para
Sí
recogida del CONSENTIMIENTO
De modo expreso y por escrito, por ejemplo consentimiento TÁCITO (LEY
No
LOPD 016 mediante una ficha que rellenan y firman. 41/2002 DE
Modelo para AUTONOMÍA DEL
Me facilitan el consentimiento por otros medios recogida del PACIENTE)
Si
que no son escritos, pero que no ofrecen duda consentimiento
respecto del carácter expreso del mismo. escrito
La Ley Orgánica de Protección de Datos tiene por objeto garantizar y proteger los
derechos de las personas en lo que concierne al tratamiento de los datos personales. Por
ello, por tratar datos personales deben cumplirse con las previsiones y principios de la
Ley.
Si además los datos se incorporan a ficheros, en la legislación española debe cumplirse
con el deber de inscripción de los ficheros ante el Registro General de Protección de
datos de la Agencia Española de Protección de Datos. Si se trata de una administración
distinta de la Administración General del Estado, con sede en el País Vasco, Cataluña o
la Comunidad de Madrid la inscripción se realizará en el Registro de las autoridades
autonómicas de protección de datos.
De acuerdo con los controles realizados y las respuestas obtenidas se proponen las
recomendaciones siguientes:
El responsable del fichero debe adecuar su actuación de modo que trate los datos
adecuados, leales y lícitamente, procurar que se encuentren actualizados y utilizarlos
exclusivamente para las finalidades para las que se recogieron.
Se han verificado los siguientes puntos de control respecto de los principios que rigen el
tratamiento de los datos personales, obteniendo las siguientes respuestas.
Información y Consentimiento
ID Control Resp. Evidencia
LOPD 028 Usted recoge y trata
Los datos estrictamente necesarios para las Datos recogidos,
NO INFORMA SOBRE
finalidades propias de su organización de las que X copia de HC
LOPD
informó al interesado en la recogida anonimizada
Una vez que deja de existir la finalidad que
LOPD 029 justifique el tratamiento de los datos personales Entrevista
que ha recogido y tratado:
Los sigue conservando X Entrevista
LOPD 030 Respecto de la actualización de los datos: Entrevista
Dispone de un método que le permite corregir
SE CORRIGE SOBRE EL
errores y cancelar los datos cuando dejan de ser No Procedimiento
PAPEL
necesarios.
NO SE CEDEN DATOS A
Si cedió datos a otra persona u organización y estos ASEGURADORAS NI
LOPD 031 Entrevista
resultaran ser inexactos o debe cancelarlos. OTRAS INSTITUCIONES
SANITARIAS
No dispone de ningún método para notificar la
X Entrevista
rectificación o cancelación al cesionario.
Respecto de los datos personales que trata conoce
LOPD 032
su deber de secreto y confidencialidad
Nº DE TRABAJADORES
Sí X Entrevista
(MÉDICOS)
Se recogen y tratan los datos estrictamente necesarios para las finalidades propias de su
organización. Esta práctica es adecuada siempre que se informe previamente al
interesado de dicha finalidad. En el caso de que dichas finalidades cambien o se
requiera tratar los datos personales para una nueva finalidad se debería modificar la
inscripción de su fichero, e informar y obtener el consentimiento de los interesados en
los casos en los que proceda.
Sin necesidad de que lo solicite el interesado, el principio de calidad de los datos obliga
al responsable a corregir errores cuando se constatan y a cancelar los datos cuando dejan
de ser necesarios.
Los llamados derechos ARCO forman parte del contenido esencial del derecho
fundamental a la protección de datos. Mediante su ejercicio el interesado, la persona
cuyos datos se tratan, puede ejercer control sobre los tratamientos efectivamente
realizados por el responsable.
Deben tenerse como mínimo en cuenta los criterios que se indican a continuación:
DERECHO DE ACCESO
DERECHO DE RECTIFICACIÓN
Resolución: Su denegación debe motivarse y procede indicar que cabe invocar la
tutela de la Agencia Española de Protección de Datos.
Justificación: Debe indicarse el dato a rectificar y la causa que lo justifica,
aportando documentación.
Plazo: 10 días hábiles
DERECHO DE CANCELACIÓN
DERECHO DE OPOSICIÓN
Se han verificado los siguientes puntos de control respecto de los derechos de Acceso,
Rectificación, Cancelación y Oposición (ARCO), obteniendo las siguientes respuestas.
Derechos ARCO
ID Control Resp. Evidencia Comentarios
¿Conoce Vd. los derechos que la LOPD otorga a las
LOPD 033 Entrevista
personas cuyos datos trata?
CONOCE LA LEY Y UNA
No Sí
CIERTA IDEA
¿Se han establecido los procedimientos para
facilitar y garantizar el ejercicio de los derechos de
LOPD 034 No Procedimientos
oposición al tratamiento, acceso, rectificación y
cancelación?
No Sí
¿Sabría Vd. como actuar si alguien le solicita
LOPD 035 Entrevista
acceder a sus datos personales?
Contestar en cualquier caso, en el plazo máximo de
un mes, tenga o no datos, y ofrecer en su caso el Sí ACEPTARÍA EN 30 DÍAS
acceso en los 10 días siguientes.
¿Sabría Vd. como actuar si alguien le solicita
LOPD 036 Entrevista
rectificar o cancelar sus datos personales?
Contestar en 10 días denegando o aceptando su
petición y rectificando o cancelando en su caso el Sí
dato.
¿Qué debe Vd. hacer si alguien le pide que deje de
LOPD 037 utilizar sus datos oponiéndose al tratamiento que Entrevista
realiza?
NO HAY
Atender su petición en 10 días, pues está
Sí PROCEDIMIENTO
ejercitando su derecho de oposición
ESTABLECIDO
Si alguien consintió libremente en tratar sus datos
LOPD 038 Entrevista
y le notifica que revoca su consentimiento…
NO HAY
Atiende su petición en 10 días, pues está
Sí PROCEDIMIENTO
ejercitando su derecho de revocación
ESTABLECIDO
Los derechos de acceso, rectificación, cancelación y
LOPD 039 Entrevista
oposición.
Los satisface únicamente cuando los ejerce el
afectado o interesado cuyos datos puede estar Vd.
Sí
tratando, o su representante si es menor de u
otorgó representación.
Si alguien ejerce derechos de acceso, rectificación,
LOPD 040 Entrevista
cancelación y oposición
Estos derechos son gratuitos, no los factura, salvo
que se escoja un modo de acceso distinto del que Sí
Vd. ofrece
Tengo un servicio de atención al cliente en el que NO HAY SERVICIO DE
LOPD 041 No Entrevista
existe un procedimiento de identificación previa. ATENCIÓN AL USUARIO
Pero no permito el ejercicio de los derechos de
acceso, rectificación, cancelación y oposición, a Sí
través de este medio.
NO HAY ENCARGADOS
LOPD 042 Tengo un encargado del tratamiento y… No Entrevista
DE TRATAMIENTO
No he fijado ningún procedimiento Sí
Cuando se satisface un derecho de acceso efectivamente debe contestarse en cualquier
caso en el plazo máximo de un mes, se tenga o no datos. Tenga en cuenta que el objeto
de este derecho se limita a los datos objeto de tratamiento y que dispone de un plazo de
10 días hábiles para hacerlo efectivo.
Se Actúa correctamente ante el ejercicio de un derecho de rectificación o cancelación.
No olvide que debe contestar siempre a los ciudadanos cuando ejerciten sus derechos
con independencia de que se tengan datos personales o no en los ficheros, dentro del
plazo previsto de 10 días hábiles. Si se deniega la petición deberá motivarlo, indicar la
razón de la denegación, e informar al afectado que podrá invocar la tutela de la Agencia
Española de Protección de Datos.
Su organización atiende las peticiones relativas al derecho de oposición en el plazo
previsto. Recuerde el plazo se mide en días hábiles. Si el derecho se denegase deberá
motivarlo, indicar la razón de la denegación, e informar al afectado que podrá invocar la
tutela de la Agencia Española de Protección de Datos.
Se atienden correctamente las peticiones de revocación del consentimiento para el
tratamiento de los datos. Recuerde que el consentimiento para el tratamiento de los
datos podrá ser revocado cuando exista causa justificada para ello y no se le atribuyan
efectos retroactivos.
Las relaciones con terceros abarcan un conjunto de supuestos en las que una persona
física o jurídica distinta de la organización del responsable, y distinta del interesado
cuyos datos tratamos, usa, trata, accede o simplemente consulta los datos. Estos
supuestos pueden ser de naturaleza muy distinta.
Se han verificado los siguientes puntos de control respecto de las relaciones con
terceros, obteniendo las siguientes respuestas:
Relación Terceros
ID Control Resp. Evidencia Comentarios
¿los datos de carácter personal son comunicados
a otras personas ajenas a la organización y
LOPD 043
distintas del interesado o del responsable del
fichero?
NO SE COMUNICAN
No Sí Entrevista
DATOS A TERCEROS
¿Solicita Vd. el consentimiento para realizar la
LOPD 044
comunicación de datos?
No, en aquellos casos en los que conforme a la
Ley Orgánica 15/1999, de 13 de diciembre, de
Sí
Protección de Datos de Carácter Personal, el
consentimiento no es necesario.
¿Se ha externalizado algún servicio o tarea de la
LOPD 045 organización que requiera que el prestador No
acceda o trate datos de carácter personal?
NO HAY
No Sí SUBCONTRATACIONES
CON ACCESO A DATOS
¿Se ha regulado la prestación del servicio en un No
LOPD 046
contrato conforme a lo previsto por la LOPD? procede
En caso de haber formalizado un contrato que No
LOPD 047 permita el acceso a los datos por cuenta de procede
terceros:
Si su prestado de servicios contrata o subcontrata No
LOPD 048
la prestación… procede
¿Cede datos o externaliza servicios que No
LOPD 049
comporten la transferencia de los mismos fuera procede
de España?
¿Alguno de los destinatarios de la información, ya No
sea cesionarios o prestadores de servicio, se procede
LOPD 050 encuentra en un país fuera de la Unión Europea o
del estado económico Europeo (Noruega,
Islandia, Liechtenstein)?
Las transferencias internacionales, ¿tienen como No
LOPD 051 destino países que no proporcionan un nivel de procede
protección equiparable al que presta la LOPD?
En el caso de que la transferencia se deba a la No
contratación de un prestador de servicios en un procede
país sin un nivel de protección equiparable, ¿ha
LOPD 052 formalizado un contrato con el destinatario de la
transferencia internacional que garantice el
cumplimiento de los principios y garantías que
establece la legislación comunitaria y española?
Relación Terceros
ID Control Resp. Evidencia Comentarios
Defina de acuerdo con la clasificación del R.D.
1720/2007, de 21 de diciembre, por el que se
LOPD 053 Datos
aprueba el Reglamento de Desarrollo de la Ley
Orgánica 15/1999, de 13 de diciembre de
Protección de Datos de Carácter Personal, el
máximo nivel de seguridad de sus ficheros.
Alto X SALUD
¿Ha adoptado las medidas de seguridad de NIVEL
LOPD 054 BÁSICO previstas en el Reglamento de desarrollo Entrevista
de la LOPD?
ALGUNAS SI, BAJO
No X
LLAVE
¿Ha adoptado las medidas de seguridad de NIVEL
LOPD 055 MEDIO previstas en el Reglamento de desarrollo Entrevista
de la LOPD?
No X
¿Ha adoptado las medidas de seguridad de NIVEL
LOPD 056 ALTO previstas en el Reglamento de desarrollo de Entrevista
la LOPD?
No X
Documento
LOPD 057 Dispone Vd. de documento de seguridad.
seguridad
NO HAY DOCUMENTO
No X
DE SEGURIDAD
¿Forma Vd. a sus empleados indicándoles cuáles
LOPD 058 Certificación
son sus obligaciones de seguridad?
CONCIENCIACIÓN
Sí X
LOPD, SIN EVIDENCIAS
Cuando compra, contrata o diseña software
LOPD 059 ¿verifica si cumple con el nivel de seguridad que
corresponda?
De acuerdo con los controles realizados y las respuestas obtenidas se proponen las
recomendaciones siguientes: