Imprimir

L.O.P.D.

Puntos aplicables de la Ley Orgánica de Datos de Carácter Personal a los productos de la gama Teracat medicum. Estos puntos son solamente informativos y no obligan a nada por parte de Teracat. A continuación se muestran algunos enlaces útiles:
Agencia de Protección de Datos | Texto de la ley (en noticias.juridicas.com) | Guía Documento Seguridad (AGPD)

Índice:
Artículo 2. Ámbito de aplicación.
Artículo 3. Definiciones.
Artículo 4. Calidad de los datos.
Artículo 8. Datos relativos a la salud.
Artículo 9. Seguridad de los datos.
Artículo 10. Deber de secreto.
Artículo 11. Comunicación de datos.
Artículo 12. Acceso a los datos por cuenta de terceros.
Artículo 15. Derecho de acceso.
Artículo 16. Derecho de rectificación y cancelación.
Artículo 26. Notificación e inscripción registral.
Artículo 27. Comunicación de la cesión de datos.

(...)
Artículo 2. Ámbito de aplicación.
1. La presente Ley Orgánica será de aplicación a los datos de carácter personal registrados en soporte físico, que los haga susceptibles de tratamiento, y a toda modalidad de uso posterior de estos datos por los sectores público y privado.
Afecta a los datos de la Base de Datos de la aplicación.

 

(...)
Artículo 3. Definiciones.
A los efectos de la presente Ley Orgánica se entenderá por:
a. Datos de carácter personal: cualquier información concerniente a personas físicas identificadas o identificables.
Los datos guardados en la Base de Datos referentes a Pacientes, Profesionales, Ayudantes, Responsables de Actuaciones, Proveedores, etc.
b. Fichero: todo conjunto organizado de datos de carácter personal, cualquiera que fuere la forma o modalidad de su creación, almacenamiento, organización y acceso.
El archivo de la Base de Datos (generalmente llamado: medicum.fdb).
c. Tratamiento de datos: operaciones y procedimientos técnicos de carácter automatizado o no, que permitan la recogida, grabación, conservación, elaboración, modificación, bloqueo y cancelación, así como las cesiones de datos que resulten de comunicaciones, consultas, interconexiones y transferencias.
Modificaciones sobre los datos y las copias de seguridad de la Base de Datos.
d. Responsable del fichero o tratamiento: persona física o jurídica, de naturaleza pública o privada, u órgano administrativo, que decida sobre la finalidad, contenido y uso del tratamiento.
El cliente.
e. Afectado o interesado: persona física titular de los datos que sean objeto del tratamiento a que se refiere el apartado c) del presente artículo.
Los Pacientes, los Doctores, los Técnicos, etc.
f. Procedimiento de disociación: todo tratamiento de datos personales de modo que la información que se obtenga no pueda asociarse a persona identificada o identificable.
Bloqueo de la ficha del Paciente. También se puede borrar toda la información relacionada con un Paciente (depende de un permiso especial desactivado por defecto).
g. Encargado del tratamiento: la persona física o jurídica, autoridad pública, servicio o cualquier otro organismo que, sólo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento.
El cliente.
h. Consentimiento del interesado: toda manifestación de voluntad, libre, inequívoca, específica e informada, mediante la que el interesado consienta el tratamiento de datos personales que le conciernen.
Responsabilidad del cliente. El programa incorpora opciones para facilitar el control de los pacientes que han firmado el impreso de la LOPD y permite imprimir el impreso a firmar.
i. Cesión o comunicación de datos: toda revelación de datos realizada a una persona distinta del interesado.
Responsabilidad del cliente.

 

(...)
Artículo 4. Calidad de los datos.
(...)
6. Los datos de carácter personal serán almacenados de forma que permitan el ejercicio del derecho de acceso, salvo que sean legalmente cancelados.
Se puede imprimir la historia médica de los pacientes y/o mostrar-les su ficha directamente desde la aplicación.

 

(...)
Artículo 8. Datos relativos a la salud.
Sin perjuicio de lo que se dispone en el artículo 11 respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad.

 

Artículo 9. Seguridad de los datos.
1. El responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que esten expuestos, ya provengan de la acción humana o del medio físico o natural.
Para evitar el acceso no autorizado, la aplicación utiliza la identificación de usuarios con su nombre y contraseña. Además, a través de los permisos, podremos especificar qué podrá hacer el usuario, a qué tendrá acceso y el tipo de acceso (lectura, escritura e impresión).
Como un nivel más de seguridad, los datos más sensibles (como los datos personales y la historia médica de los pacientes) son almacenados de forma codificada para que, en caso de conseguir el acceso, no puedan ser entendidos.
La aplicación también incluye una opción desde donde podremos realizar copias de seguridad de la Base de Datos de forma manual y automática (previa configuración de la misma). A parte, ofrecemos la opción de contratar el seguimiento de las copias dentro del mantenimiento mensual para comprobar de forma regular que estas copias se estén realizando correctamente.
Al guardar datos referentes a la salud de las personas, esta aplicación está en el nivel de seguridad Alto. Por esta razón se realiza un registro de accesos: cuando un usuario accede a la aplicación, este acceso queda registrado. Además, también se guarda información de acceso, modificación o cancelación de los datos de carácter personal. Esta opción no puede ser desactivada y solo se podrán borrar los registros con una antigüedad mayor a dos años (por así imponerlo la ley). También podremos asignar qué usuario puede acceder y borrar registros antiguos.
Además, obligará que el usuario cambie su contraseña pasados un número de meses configurable (no mayor a un año) y la aplicación se bloqueará de forma automática si no se usa el ordenador pasados unos minutos configurables (no más de 5 minutos). Si un usuario intenta entrar 3 veces sin éxito, queda bloqueado el acceso en el ordenador durante 5 minutos.


* Nota referente al Artículo 9:

El Real Decreto 994 /1999, de 11 de junio (BOE 25 de junio) aprobó el Reglamento de medidas de seguridad de los ficheros que contengan datos de carácter personal (Reglamento de Seguridad). El Reglamento tiene por objeto establecer las medidas de índole técnica y organizativa necesarias para garantizar la seguridad que deben reunir los ficheros, los centros de tratamiento, locales, equipos, sistemas, programas y las personas que intervengan en el tratamiento de los datos de carácter personal.
Entre estas medidas, se encuentra la elaboración e implantación de la normativa de seguridad mediante un documento de obligado cumplimiento para el personal con acceso a los datos de carácter personal.

Más información sobre el documento de seguridad en Guía Documento Seguridad (AGPD).

 

(...)
Artículo 10. Deber de secreto.
El responsable del fichero y quienes intervengan en cualquier fase del tratamiento de los datos de carácter personal esten obligados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su caso, con el responsable del mismo.
Responsabilidad del cliente.

 

Artículo 11. Comunicación de datos.
1. Los datos de carácter personal objeto del tratamiento sólo podrán ser comunicados a un tercero para el cumplimiento de fines directamente relacionados con las funciones legítimas del cedente y del cesionario con el previo consentimiento del interesado.

2. El consentimiento exigido en el apartado anterior no será preciso:
(...)
f. Cuando la cesión de datos de carácter personal relativos a la salud sea necesaria para solucionar una urgencia que requiera acceder a un fichero o para realizar los estudios epidemiológicos en los términos establecidos en la legislación sobre sanidad estatal o autonómica.
Responsabilidad del cliente.

 

(...)
Artículo 12. Acceso a los datos por cuenta de terceros.
1. No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento.
Para llebar a cabo las actualizaciones del programa o el seguimiento de las copias de seguridad, no se necesitará un permiso especial.

2. La realización de tratamientos por cuenta de terceros deberá estar regulada en un contrato que deberá constar por escrito o en alguna otra forma que permita acreditar su celebración y contenido, estableciéndose expresamente que el encargado del tratamiento únicamente tratará los datos conforme a las instrucciones del responsable del tratamiento, que no los aplicará o utilizará con fin distinto al que figure en dicho contrato, ni los comunicará, ni siquiera para su conservación, a otras personas.

En el contrato se estipularán, asimismo, las medidas de seguridad a que se refiere el artículo 9 de esta Ley que el encargado del tratamiento está obligado a implementar.

3. Una vez cumplida la prestación contractual, los datos de carácter personal deberán ser destruidos o devueltos al responsable del tratamiento, al igual que cualquier soporte o documentos en que conste algún dato de carácter personal objeto del tratamiento.
En caso de obtener los datos de un cliente por parte de Teracat, ya sea para la comprobación del correcto funcionamiento de las copias de seguridad o para intentar encontrar posibles errores de la aplicación, Teracat se compromete a que estos datos serán destruidos una vez haya acabado el propósito de su obtención.

4. En el caso de que el encargado del tratamiento destine los datos a otra finalidad, los comunique o los utilice incumpliendo las estipulaciones del contrato, será considerado también responsable del tratamiento, respondiendo de las infracciones en que hubiera incurrido personalmente.

 

(...)
Artículo 15. Derecho de acceso.
1. El interesado tendrá derecho a solicitar y obtener gratuitamente información de sus datos de carácter personal sometidos a tratamiento, el origen de dichos datos, así como las comunicaciones realizadas o que se prevén hacer de los mismos.

2. La información podrá obtenerse mediante la mera consulta de los datos por medio de su visualización, o la indicación de los datos que son objeto de tratamiento mediante escrito, copia, telecopia o fotocopia, certificada o no, en forma legible e inteligible, sin utilizar claves o códigos que requieran el uso de dispositivos mecánicos específicos.

3. El derecho de acceso a que se refiere este artículo sólo podrá ser ejercitado a intervalos no inferiores a doce meses, salvo que el interesado acredite un interés legítimo al efecto, en cuyo caso podrán ejercitarlo antes.
Responsabilidad del cliente. El programa permite imprimir desde la ficha del Paciente el documento para solicitar el Derecho de Acceso.

 

Artículo 16. Derecho de rectificación y cancelación.
1. El responsable del tratamiento tendrá la obligación de hacer efectivo el derecho de rectificación o cancelación del interesado en el plazo de diez días.

2. Serán rectificados o cancelados, en su caso, los datos de carácter personal cuyo tratamiento no se ajuste a lo dispuesto en la presente Ley y, en particular, cuando tales datos resulten inexactos o incompletos.

3. La cancelación dará lugar al bloqueo de los datos, conservándose únicamente a disposición de las Administraciones públicas, Jueces y Tribunales, para la atención de las posibles responsabilidades nacidas del tratamiento, durante el plazo de prescripción de éstas. Cumplido el citado plazo deberá procederse a la supresión.

4. Si los datos rectificados o cancelados hubieran sido comunicados previamente, el responsable del tratamiento deberá notificar la rectificación o cancelación efectuada a quien se hayan comunicado, en el caso de que se mantenga el tratamiento por este último, que deberá también proceder a la cancelación.

5. Los datos de carácter personal deberán ser conservados durante los plazos previstos en las disposiciones aplicables o, en su caso, en las relaciones contractuales entre la persona o entidad responsable del tratamiento y el interesado.
Responsabilidad del cliente. El programa permite borrar todos los datos relacionados con los Pacientes (depende de un permiso especial). El programa permite imprimir desde la ficha del Paciente los documentos para solicitar el Derecho de Rectificación, Cancelación, Exclusión y Oposición.

 

(...)
Artículo 26. Notificación e inscripción registral.
1. Toda persona o entidad que proceda a la creación de ficheros de datos de carácter personal lo notificará previamente a la Agencia Española de Protección de Datos.

2. Por vía reglamentaria se procederá a la regulación detallada de los distintos extremos que debe contener la notificación, entre los cuales figurarán necesariamente el responsable del fichero, la finalidad del mismo, su ubicación, el tipo de datos de carácter personal que contiene, las medidas de seguridad, con indicación del nivel básico, medio o alto exigible y las cesiones de datos de carácter personal que se prevean realizar y, en su caso, las transferencias de datos que se prevean a países terceros.

3. Deberán comunicarse a la Agencia Española de Protección de Datos los cambios que se produzcan en la finalidad del fichero automatizado, en su responsable y en la dirección de su ubicación.

4. El Registro General de Protección de Datos inscribirá el fichero si la notificación se ajusta a los requisitos exigibles.

En caso contrario podrá pedir que se completen los datos que falten o se proceda a su subsanación.

5. Transcurrido un mes desde la presentación de la solicitud de inscripción sin que la Agencia Española de Protección de Datos hubiera resuelto sobre la misma, se entenderá inscrito el fichero automatizado a todos los efectos.
Responsabilidad del cliente.

 

Artículo 27. Comunicación de la cesión de datos.
1. El responsable del fichero, en el momento en que se efectúe la primera cesión de datos, deberá informar de ello a los afectados, indicando, asimismo, la finalidad del fichero, la naturaleza de los datos que han sido cedidos y el nombre y dirección del cesionario.
Responsabilidad del cliente.

(...)