LOPD y datos de carácter médico

Hola,

ahora mismo voy peladísimo de tiempo, asi que no te puedo contestar con mucho detalle. Los datos médicos son datos de protección alta, el superior de los tres niveles. Debes ceñirte a las medidas de seguridad de categoría alta para dicho tipo de datos.

Siento no poder ayudarte más ahora mismo.

Hola y gracias por responder tan rápido.

Respecto a lo que me dices, se que son datos de protección alta, la historia es que me he leído el apartado correspondiente en el boe y es que no veo nada de todo esto de los usb.

Si que he visto que hace referencia a la transmisión de datos que tienen que ir cifrados, pero no veo nada relativo a memorias usb y que no puedan contener datos de este tipo.

Estos datos están en una base de datos sqlite cifrada y protegida por password, aunque la aplicación para abrir dicha base de datos si que está en la misma memoria y no está protegida por password.

De todos modos entiendo que el que tiene el usb es el "responsable de los datos" y en cualquier caso si se perdiera ese usb el responsable sería el que violaría la LOPD.

¿Puede ser?

De todos modos lo que más me interesa saber es la pregunta inicial:

Sabéis si la LOPD dice algo sobre si los datos de carácter médico NO pueden estar contenidos en un pendrive USB? (en este caso medidas biométricas tales como peso, altura, etc)

Como bien te han dicho, los datos de caracter medico son considerados como datos de proteccion alta. Las medidas para manejar estos datos las puedes ver aqui:

REAL DECRETO 994/1999, de 11 de junio, por el que se aprueba el Reglamento de medidas
de seguridad de los ficheros automatizados que contengan datos de carácter personal.


Y en el articulo 23 de las medidas de los datos de caracter alto dice:

La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su transporte.

Creo que lo deja claro.

Un saludo!!

bpSz escribió:De todos modos lo que más me interesa saber es la pregunta inicial:

Sabéis si la LOPD dice algo sobre si los datos de carácter médico NO pueden estar contenidos en un pendrive USB? (en este caso medidas biométricas tales como peso, altura, etc)

El contenedor de los datos lo eliges tu, pero debes ofrecer las medidas de seguridad expuestas por lo que deben estar cifrados. A todo esto añadele que se deben cumplir las medidas de seguridad fisica adecuadas para contener este tipo de datos.

Otra cosa es que si te hacen una auditoria te van a decir que no son el soporte adecuado para este tipo de datos debido a la posibilidad de movilidad que ofrecen este tipo de soportes. Ya tu haces lo que quieras.

En fin, personalmente no lo veo como un soporte adecuado.

Lo del responsable, sera aquel que este registrado como en la agencia de proteccion de datos como el mismo. Si lo que preguntas es que si los datos los pierde la persona que se encarga de estos, la sancion es a esta persona, no es asi, se sancionara al organismo dueño del fichero por haber permitido una brecha en la seguridad de proteccion de datos. Ya las medidas que tome la empresa son otra cosa.

Un saludo

entiendo. Gracias por responder

Pues si vas a cualquier hospital, por ejemplo Can Ruti de Badalona ves que los expedientes médicos de las personas que tienen visita con el especialista están en un carrito de supermercado y cualquiera puede cogerlo y llevárselo si le dá la gana.

Todo lo que te dijo Mistercho es correcto, salvo por el RD que te dio, que creo que está derogado por el 1720/2007.

De todas maneras, que sepas que cumplir la LOPD conlleva muchas cosas. Al ser nivel alto, tienes que cumplir también los requisitos de medio y de bajo. Esto es, entre otras cosas: control de acceso, identificación y autenticación, backups, auditoría periódica, gestión de soportes, control de acceso físico, registro de incidencias(log), registro de acceso, cifrado de los datos (de forma que sea ininteligible, es decir, no vale guardar la contraseña en la bbdd, tendrías que guardar su resumen hash y comparar en base a él)...

Por resumir, desde el artículo 89 al 104 del Real Decreto 1720/2007, de 21 de diciembre, de desarrollo de LOPD 15/1999. Y eso, presta atención al 101, porque es uno de los supuestos que preguntas.

De todas maneras, te dejo un resumen del 101 que tengo hecho. Ya sabes, si desarrollas, hay que tratar de cumplir la ley, que siempre es un valor añadido

La identificación de los soportes se deberá realizar usando un sistema de etiquetado confidencial, comprensible y con significado, que permitan el fácil acceso a los usuarios autorizados e identificar el contenido rápidamente.
La distribución de dichos datos se realizará cifrando los datos o utilizando soportes que garanticen que no se va a acceder ni modificar los datos.
Así mismo, tendrá lugar el cifrado de información en dispositivos portátiles fuera de las instalaciones (evitar el uso de dispositivos que no permitan cifrado, o adoptar medidas alternativas).

Aun así, supongo que al preguntar sobre esto, sabes todas las medidas obligatorias, como la existencia del documento de seguridad, la diferencia entre el responsable del fichero y el encargado del tratamiento, aplicación acumulativa, mínimos exigibles...

¡Cualquier duda ya sabes!

Hola

Si, soy conciente del resto de puntos (bueno, más o menos ). Estoy adaptadome a la legislación, es bastante coñazo el proceso... pero en fin, es lo que hay.

De nuevo gracias