Exigencias de seguridad vinculadas a la LOPD
Gabriel Sotoca (Stratic).- Juan Carlos, en tanto que responsable de Sistemas de Información en una empresa directamente relacionada con temas de salud, ¿a qué situaciones se enfrenta en su día a día?
Juan Carlos Lombardía (Umivale).- La concienciación es importante, pero en una empresa como la nuestra es complicada. En Umivale somos 680 trabajadores con mucha distribución geográfica: 50 centros de trabajo en toda España. En tales circunstancias, el plan de seguridad debe estar integrado en el plan estratégico, contemplando desde los protocolos sanitarios hasta los de formación.
Para nosotros es fundamental la salvaguarda de los datos de salud y, desde esa perspectiva, tenemos resuelto el tema de seguridad externa para defendernos de los ataques a través de cortafuegos, antivirus, antispam, etc. Hace tiempo que nos adaptamos a los requisitos de la Ley Orgánica de Protección de Datos (LOPD) y ahora nuestro plan director de seguridad global contempla también aspectos de seguridad interna relacionados con la fuga de información.
[masinformacion post_ids=»51325,51339,51363,51377″]
Gabriel Sotoca (Stratic).- En materia de protección de datos (LOPD), ¿cómo impacta en su trabajo la legislación tan estricta que tienen asociada por su actividad relacionada con el mundo de la salud?
Juan Carlos Lombardía (Umivale).- La LOPD tiene muchos aspectos específicos: copias de seguridad, registro de incidencias, declaración de ficheros en la Agencia de Protección de Datos, etc. Uno de los aspectos más difícil de cumplir es el registro de documentos en papel. Tenemos que registrar los accesos a cualquier documento que tenga un dato sensible: si un administrativo hace una fotocopia hay que registrarla. Eso multiplica el trabajo.
Otro de los problemas importantes es el registro a los accesos a ficheros ofimáticos. Todo el personal sabe que está prohibido bajar información sensible a los ordenadores. Como medida preventiva, además, cuando los ordenadores se retiran, procedemos a su destrucción física.
La mayor dificultad que hemos tenido ha sido cumplir el artículo 103 de la LOPD, que dice que hay que registrar todos los accesos a cualquier dato de salud. Hacer ese registro significa que para cualquier persona de la organización que necesita ver esos datos para hacer su trabajo, el sistema tiene que registrar el acceso.
Atendemos a 100.000 pacientes cada año y cada uno puede tener una media de dos o tres actos médicos (curas, radiografías, etc.). Es fácil de comprender que gestionar los registros a ese volumen de información desde cualquier parte del sistema es un reto importante pero nosotros lo hemos conseguido con mucho coste de almacenamiento y procesamiento. Hay que buscar un equilibrio razonable entre la confidencialidad de la información y la disponibilidad. Esa es la complejidad que tiene, en nuestro caso, la aplicación de la LOPD.