Auditorias bienales y análisis de riesgo para proteger los datos del Sacyl

La Política de Seguridad de la Información y Protección de Datos de la Gerencia Regional de Salud de Castilla y León ha sido aprobada recientemente, tal y como recoge el Boletín Oficial de la comunidad autónoma. La Junta de Castilla y León regula la seguridad de la información y protección de datos de la Administración a través del Decreto 22/2021, de 30 de septiembre, y ahora se ha dado luz verde a la norma concreta en el ámbito sanitario, donde se recoge la realización de análisis de riesgo y auditorías bianuales como parte de la gestión. Además, su desarrollo está planteado a través de cuatro niveles.

Los objetivos, tal y como recoge el propio Gobierno, se centran en establecer requisitos para proteger la información y los equipos tecnológicos que sirven de soporte para la mayoría de los procesos que se desarrollan en la gerencia. Además, se pone el foco en garantizar el derecho a la protección de datos de todas las personas que se relacionan con el Sacyl.

El ámbito de aplicación de esta norma aprobada, el Decreto 14/2023 de 21 de agosto, se amplía a todos los sistemas de información y actividades de tratamiento de datos personales de los que sean responsables la gerencia sanitaria, así como sus centros y organismos adscritos.

El desarrollo de la política, planteado en cuatro niveles

El desarrollo de esta política se plantea en cuatro niveles. En primer lugar, la creación de este decreto. El segundo nivel está compuesto por las normas de seguridad de la información que desarrollarán, entre otros aspectos, la protección de datos personales, el control de accesos y gestión de claves y el manejo de incidentes de seguridad. El tercer nivel está protagonizado por los procedimientos operativos de seguridad, orientados a resolver tareas consideradas “críticas” por el perjuicio que puede causar una actuación inadecuada.  Por último, se detalla la puesta en marcha de guías técnicas y de seguridad con el objetivo de proporcionar recomendaciones y para implantar correctamente las medidas de seguridad.

Para la gestión de esta política, el documento establece que se realizarán análisis de riesgo y evaluaciones de impacto de la protección de datos y gestión de riesgos de seguridad; también se recoge el uso de datos digitales, que solo podrán ser utilizados “para el cumplimiento de las obligaciones laborales o estatutarias”; se implantan auditorías de seguridad regulares, al menos cada dos años; se notificarán las violaciones de seguridad de los datos personales y se señala que se creará un registro de las actividades de tratamiento de datos personales.

Este documento también indica las obligaciones de los profesionales con acceso a los datos: “La obligación de conocer y cumplir con la Política de Seguridad de la Información y Protección de Datos se extiende a todo el personal que acceda, tanto a los sistemas de información, como a la propia información gestionada por la Gerencia Regional de Salud de Castilla y León, con independencia de la naturaleza de su relación con esta Administración y de su destino o adscripción”. Además, han de estar al tanto y cumplir con los códigos de conducta y buenas prácticas en esta materia y colaborar con la implementación, mejora de los principios y requisitos en materia de protección de datos. Para hacerlo posible, se desarrollarán actividades formativas y de concienciación.

La estructura organizativa

La estructura organizativa sigue lo establecido en el Decreto 22/2021, de 30 de septiembre. Está compuesta por el Comité de Seguridad de la Información; la Comisión Ejecutiva de Seguridad de la Información; las Comisiones Ejecutivas de las áreas de salud; los responsables de la información y del tratamiento de datos personales; los responsables del servicio; los encargados del tratamiento; la persona responsable de la seguridad de la Gerencia Regional de Salud y los responsables de la seguridad delegados; los responsables del sistema; los administradores de seguridad; y el delegado de protección de datos de la Gerencia Regional de Salud.