|
La definición de los Niveles
de Seguridad de los ficheros tanto de empresas privadas como
públicas - Administración - se definen en la Ley Orgánica
15/1999, de 13 de Diciembre, de Protección de Datos de
Carácter Personal (en adelante LOPD), así como en el Real Decreto
1720/2007, de 21 de diciembre por el que se desarrolla la
Ley Orgánica.
NIVELES DE
SEGURIDAD:
NIVEL BÁSICO: Aplicable a todos los
ficheros con datos personales, nombre, dirección, teléfono,
correo electrónico...
NIVEL MEDIO: Hacienda Pública,
servicios financieros, infracciones administrativas o
penales, prestación de servicios de información sobre
solvencia patrimonial y crédito, ficheros con datos
suficientes para poder evaluar la personalidad del
individuo. (Currículum, cuestionarios de evaluación del
personal, etc...)
NIVEL ALTO: Datos de salud, datos
policiales, datos especialmente protegidos (ideología,
afiliación sindical, religión, creencias, origen racial o
étnico y vida sexual).
NIVEL ALTO DE SEGURIDAD - DATOS DE
SALUD -
La Recomendación nº (975) de 13 de Febrero de 1997,
del Comité de Ministros del Consejo de Europa a los Estados
miembros sobre Protección de Datos Médicos, da una definición
general de "dato médico" definiéndolo como todo dato personal
relativo a la salud de un individuo, incluyendo aquellos que
tienen una clara y estrecha relación con la salud y los datos
genéticos.
La ley
aplicable a los datos médicos es la LOPD, sin embargo existe
una normativa sectorial a la que mas adelante haremos
referencia.
Los datos
relativos a la salud tienen la consideración de datos
especialmente protegidos, y la razón de ello reside en que
forman parte de la intimidad y privacidad del individuo,
derecho reconocido y protegido por nuestra constitución.
(artículo 18.1 y 4 C.E)
El párrafo
3 del artículo 7 de la LOPD establece que los datos de
carácter personal que hagan referencia al origen racial, a la
salud y a la vida sexual solo podrán ser recabados, tratados y
cedidos cuando por razones de interés general, así lo disponga
una ley o el afectado consienta expresamente.
El artículo
8 de la LOPD, establece específicamente para los datos
relativos a la salud lo siguiente:
Sin
perjuicio de lo que se dispone en el artículo 11 respecto de
la cesión, las instituciones y los centros sanitarios públicos
y privados y los profesionales correspondientes podrán
proceder al tratamiento de los datos de carácter personal
relativos a la salud de las personas que a ellos acudan o
hayan de ser tratados en los mismos, de acuerdo con lo
dispuesto en la legislación estatal o autonómica sobre
sanidad.
De manera
que serán los profesionales sanitarios o los individuos u
órganos que trabajen en representación de los mismos los
únicos legitimados para recoger y procesar datos médicos.
Cuando un
paciente da sus datos a un profesional sanitario para que éste
forme su ficha médica o en caso de ingreso hospitalario, puede
exigir al médico que le informe sobre que va a pasar con esos
datos. El paciente debe ser informado de modo expreso, preciso
e inequívoco que sus datos van a ser recogidos en un fichero,
de la finalidad de la recogida y de los destinatarios de los
mismos.
Así mismo,
el paciente puede ejercitar los derechos de acceso,
rectificación, cancelación y oposición, y para ello deberá ser
informado de la identidad del responsable del tratamiento y de
la dirección del mismo.
El
tratamiento de estos datos es totalmente reglamentario siempre
que se realice con fines asistenciales y con el expreso
consentimiento del afectado o autorización legal basada en
razones de interés general.
Respecto al
Insalud existe una Circular 9/97 de 9 de Julio: Instrucciones
del Insalud sobre seguridad y protección de datos, que
establece la obligación de informar sobre la existencia de un
fichero, la finalidad de la recogida, del carácter obligatorio
o facultativo de la recogida de datos y de la existencia de
cesión o transferencia internacional de datos.
|
Seguridad
Informática
La cesión de datos internacionales