Murcia blinda la protección de datos sanitarios con un protocolo normativo

La Región de Murcia ha publicado este miércoles la actualización del protocolo normativo por el cual se protegen los datos del Servicio Murciano de Salud (SMS). Según estipula el decreto publicado en el Boletín Oficial de la Región de Murcia (BORM), es misión de la sanidad autonómica el cumplimiento de toda normativa en materia de seguridad de la información que le sea de aplicación para la protección de la confidencialidad, integridad y disponibilidad de los servicios activos de la información del SMS.

El cuerpo normativo sobre seguridad de la información es de obligado cumplimiento para todo el estamento de la sanidad murciana y se desarrollará bajo cuatro niveles. Concretamente, sobre la política de Seguridad de la Información, las normativas de Seguridad de la Información, los procedimientos de Seguridad de la Información y los registros del Sistema de Gestión de Seguridad de Información (SGSI).

“El personal del SMS tendrá la obligación de conocer y cumplir (...) todas las normativas y procedimientos de seguridad de la información que puedan afectar a sus funciones”, resalta el decreto del BORM, añadiendo que dicha documentación estará disponible en el sistema interno del Servicio Murciano de Salud.

Organización de la seguridad de la información

Para que los datos sanitarios no sean susceptibles de ser robados ni perdidos, la Consejería de Salud de Murcia desarrollará un entramado legal que los supervise y vigile. En total, la sanidad autonómica contará con hasta nueve actores que se encargarán de dicha labor. En el proceso participarán los siguientes organismos y responsables:

• Comité de Protección de Datos y Seguridad de la Información.
• Subcomité de seguridad.
• Responsable del Tratamiento.
• Responsable de la Información.
• Responsable del Servicio.
• Responsable de Seguridad de la Información.
• Responsable del Sistema.
• Delegado de Protección de Datos.
• Administrador de seguridad.

“Cuando la información contenga datos personales se llevará a cabo, de forma periódica en los plazos legalmente establecidos, un análisis de riesgos que permitirá identificar y gestionar los riesgos minimizándolos hasta los niveles que puedan considerarse aceptables”, subraya la publicación. Además, remarca que la propia evaluación incluirá un análisis de los riesgos para los derechos y libertades de las personas físicas respecto de las actividades de tratamiento con datos personales que lleven a cabo en el sistema sanitario regional, así como para los sistemas de información que sirven de soporte para dichas acciones de tratamiento.

“La gestión de riesgos de seguridad de la información debe realizarse de manera continua y al menos una vez al año sobre el sistema de información, conforme a los principios de gestión de la seguridad basada en los riesgos y en la reevaluación periódica”, incide.

Principios de protección de datos sanitarios

La actualización del protocolo también ha traído consigo la regulación de los principios por los cuales se rige el propio documento, que son los siguientes:

• La licitud, lealtad y transparencia
• Limitación de la finalidad
• Minimización de datos
• Exactitud
• Limitación del plazo de conservación, integridad y confidencialidad
• Responsabilidad proactiva
• Legitimación en el tratamiento de datos personales
• Atención de los derechos de los afectados
• Protección de datos y seguridad desde el diseño