Diario del Derecho. Edición de 26/04/2024
  • Diario del Derecho en formato RSS
  • ISSN 2254-1438
  • EDICIÓN DE 12/11/2008
 
 

Programa de Seguridad de la Información en el Departamento de Salud

12/11/2008
Compartir: 

Orden SLT/465/2008, de 27 de octubre, por la que se regula el Programa de Seguridad de la Información en el Departamento de Salud (DOGC de 11 de noviembre de 2008). Texto completo.

ORDEN SLT/465/2008, DE 27 DE OCTUBRE, POR LA QUE SE REGULA EL PROGRAMA DE SEGURIDAD DE LA INFORMACIÓN EN EL DEPARTAMENTO DE SALUD.

La Ley orgánica 15/1999 Vínculo a legislación, de 13 de diciembre, de protección de datos de carácter personal establece que los órganos de las administraciones responsables de los ficheros que contienen datos de carácter personal, y si procede, los órganos encargados del tratamiento tienen que adoptar las medidas de carácter técnico y organizativo necesarias que garanticen la seguridad de los datos de carácter personal y eviten la alteración, pérdida, el tratamiento o el acceso no autorizado, teniendo en cuenta el estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, tanto si provienen de la acción humana o del medio físico o natural. A su vez, el Real decreto 1720/2007 Vínculo a legislación, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley orgánica 15/1999, de 13 de diciembre, regula las medidas de seguridad que los responsables de los ficheros y los encargados del tratamiento tienen que implantar en el tratamiento de los datos de carácter personal.

La Orden del Departamento de Salud de fecha 13 de febrero de 1992 creó la Comisión Asesora para el tratamiento de la información confidencial, como órgano consultivo del Departamento de Salud y de los entes y organismos adscritos en el tratamiento de los datos de carácter personal, con la finalidad de conocer e informar sobre cualquier cuestión relativa al tratamiento confidencial de los datos contenidos en los registros administrativos y estadísticos de la administración sanitaria.

Posteriormente, mediante la Orden del Departamento de Salud SLT/88/2006, de 6 de marzo, se creó el Programa de Seguridad de la Información del Departamento de Salud, adscrito a la Secretaría General del Departamento, con la finalidad de garantizar que el uso de las tecnologías de la información y de los sistemas de información en el Departamento de Salud y en los entes y organismos que son adscritos se llevara a cabo con parámetros adecuados de seguridad. Esta misma Orden creó el Comité de Seguridad de la Información con el objetivo de establecer las directrices del Programa de Seguridad de la Información, así como de controlar la ejecución. La Orden SLT/553/2006, de 16 de noviembre, prorrogó por un año la vigencia del Programa de Seguridad de la Información del Departamento de Salud.

La necesidad de seguir disponiendo de un instrumento que delimite cuáles son las directrices que en materia de seguridad de la información y en materia de tratamiento de datos de carácter personal tienen que regir la actuación de las diferentes unidades del Departamento y de los entes y organismos que son adscritos, con el fin de garantizar el derecho de los ciudadanos a la integridad y confidencialidad de los datos, hace necesario regular nuevamente el Programa de Seguridad de la Información en el Departamento de Salud y asignarle nuevas funciones que hagan más eficaz su actuación. Con el objetivo de optimizar la estructura y los recursos que el Departamento de Salud destina a la seguridad en el tratamiento de los datos de carácter personal y con el fin de favorecer una actuación más ágil, eficaz y eficiente en esta materia es necesario que el Programa de Seguridad de la Información del Departamento de Salud aglutine las funciones que hasta estos momentos llevaba a cabo la Comisión Asesora para el tratamiento de la Información Confidencial. Así mismo y dado que desde la creación de esta Comisión ha habido una evolución sustancial en el abordaje de las medidas de seguridad y en el tratamiento de la información de carácter personal y también del marco normativo de aplicación en esta materia, es necesario adaptar las funciones que tenía asignadas esta Comisión a esta nueva realidad.

Por este motivo y de conformidad con lo anteriormente expuesto, esta Orden regula el Programa de Seguridad de la Información del Departamento de Salud, con una doble función. Por una parte, la de velar para que el tratamiento de los datos de carácter personal en el ámbito del Departamento de Salud y de los entes y organismos adscritos se lleve a cabo, de conformidad con la legislación vigente en materia de datos de carácter personal, en materia de estadística de interés de la Generalidad, y, de acuerdo con lo que dispone la legislación sectorial aplicable, y de la otra, la de garantizar que el uso de las tecnologías de la información y de los sistemas de información en el Departamento de Salud y en los entes y organismos que son adscritos se lleve a cabo con parámetros adecuados de seguridad, función, ésta última, que ya le había atribuido la Orden SLT/88/2006, de 6 de marzo de 2008.

Así mismo, esta Orden asigna al Comité de Seguridad de la Información algunas de las funciones que hasta ahora asumía la Comisión Asesora para el tratamiento de la información confidencial del Departamento de Salud y los organismos que dependen. Como consecuencia de este cambio organizativo, se amplían las funciones y se modifica la estructura del Comité de Seguridad de la Información para adaptarla a los requerimientos de las nuevas funciones que se le atribuyen.

El objetivo final que esta Orden pretende es optimizar la estructura y los recursos que el Departamento de Salud destina a la seguridad en el tratamiento de datos personales y favorecer una actuación más ágil, eficaz y eficiente en esta materia.

De acuerdo con lo que se ha expuesto y atendido lo que disponen los artículos 12 Vínculo a legislación y 22 Vínculo a legislación de la Ley 13/1989, de 14 de diciembre, de organización, procedimiento y régimen jurídico de la Administración de la Generalidad de Cataluña,

Ordeno:

Artículo 1

Objeto del Programa de seguridad de la información

El Programa de seguridad de la información, adscrito a la Secretaría General del Departamento de Salud, tiene la finalidad de garantizar que el uso de las tecnologías de la información y de los sistemas de información en el Departamento de Salud y en los entes y organismos que son adscritos se lleve a cabo con parámetros adecuados de seguridad. También es objeto de este Programa velar para que el tratamiento de los datos de carácter personal en el ámbito del Departamento de Salud y de los entes y organismos adscritos se lleve a cabo, de conformidad con la legislación vigente en materia de protección de datos de carácter personal, en materia de estadística de interés de la Generalidad, y, de acuerdo con lo que dispone la legislación sectorial aplicable.

Artículo 2

Comité de Seguridad de la Información

2.1 Se crea el Comité de Seguridad de la Información con la finalidad de elaborar las directrices del Programa de Seguridad de la Información, controlar la ejecución de este programa y velar a fin de que el tratamiento de los datos de carácter personal en el ámbito del Departamento de Salud y de los entes y organismos adscritos se lleve a cabo, de conformidad con la legislación vigente en materia de protección de datos de carácter personal y en materia de función estadística.

2.2 El Comité de Seguridad de la Información está integrado por las personas miembros siguientes:

a) El secretario o secretaria general del Departamento de Salud o persona en quien delegue, que ejercerá la presidencia.

b) Una persona en representación de cada una de las áreas de informática y comunicaciones y/o de los planes de sistemas del Departamento de Salud, del Servicio Catalán de la Salud y del Instituto Catalán de la Salud, designadas por las personas responsables de estas áreas.

c) Una persona en representación de cada una de las unidades de Asesoría Jurídica del Departamento de Salud, del Servicio Catalán de la Salud o del Instituto Catalán de la Salud, con amplios conocimientos en materia de protección de datos, designada rotatoriamente, siguiendo el orden citado por las personas responsables de estas unidades, por periodos de un año.

d) Una persona en representación de cada una de las unidades de Recursos Humanos del Departamento de Salud, del Servicio Catalán de la Salud y del Instituto Catalán de la Salud, designada rotatoriamente, siguiendo el orden citado, para las personas responsables de estas unidades, por periodos de un año.

e) Tres personas que tengan asignada la responsabilidad de gestionar ficheros, de entre las diferentes unidades del Departamento de Salud, del Servicio Catalán de la Salud y del Instituto Catalán de la Salud, designadas por los responsables de estas unidades.

f) La persona responsable del Programa de Seguridad de la Información.

g) Una persona en representación del Instituto de Estadística de Cataluña, designada por el director o directora de este instituto.

h) Una persona en representación del Centro de Telecomunicaciones y Tecnología de la Información designada por el director o directora gerente de este ente.

i) Una persona experta de reconocida experiencia y solvencia en el campo de la bioética, designada por el director o directora general de Recursos Sanitarios.

2.3 Con el objetivo de perseguir la paridad de género, la composición del Comité de Seguridad tenderá a alcanzar una presencia equilibrada de mujeres y hombres.

2.4 La persona responsable del Programa de Seguridad de la Información que se regula en el artículo 4 de esta Orden asume las funciones de secretario o secretaria del Comité, vela por la ejecución de los acuerdos del Comité y lleva a cabo los cometidos que le encargue la presidencia.

2.5 El presidente o presidenta del Comité de Seguridad de la Información puede invitar a las sesiones de este órgano a aquellas personas que considere conveniente en razón de sus conocimientos o del ámbito material del cargo que ocupen, o en función de los asuntos que se tengan que tratar.

2.6 En el Comité de Seguridad de la Información se crearán los grupos de trabajo que el presidente o presidenta del Comité, a iniciativa propia o a propuesta de cualquiera de sus miembros, considere conveniente para el mejor funcionamiento de este órgano.

Artículo 3

Funciones y régimen de funcionamiento del Comité de Seguridad de la Información

3.1 Las funciones del Comité de Seguridad de la Información son las siguientes:

a) Disponer de información actualizada en cada momento de la seguridad de la información en el Departamento de Salud y los entes y organismos que son adscritos, que incluya aspectos técnicos, organizativos y metodológicos.

b) Aprobar las directrices del Programa de Seguridad de la Información durante el primer trimestre de cada anualidad de vigencia del Programa, sin perjuicio de lo que establece el apartado siguiente.

c) Emitir directrices y recomendaciones de seguridad para el desarrollo de nuevos proyectos.

d) Supervisar el nivel de seguridad de los sistemas de información de las diferentes unidades del Departamento de Salud, del Servicio Catalán de la Salud y del Instituto Catalán de la Salud, y de los proveedores de servicios informáticos del Departamento.

e) Promover la implantación de las medidas para difundir las directrices y las medidas de seguridad de la información dentro del Departamento de Salud.

f) Emitir directrices y protocolos de actuación en el tratamiento de los datos de carácter personal y especialmente en los aspectos relativos a la cesión o comunicación de datos y a los accesos que se producen en los datos contenidos en los ficheros de datos de carácter personal en el ámbito del Departamento de Salud y los entes y organismos adscritos.

g) Conocer, trimestralmente, sobre las solicitudes de cesión de datos y accesos a datos autorizados los responsables de los ficheros que contienen datos de carácter personal en el ámbito del Departamento de Salud y los entes y organismos adscritos.

h) Conocer de aquellas solicitudes de cesión o comunicación de datos que por sus especiales características no estén previstas en las directrices y protocolos de actuación aprobados al Comité de Seguridad de la Información a los efectos de determinar su viabilidad en el marco de la normativa vigente.

i) Informar y asesorar al consejero o consejera de Salud, sobre aspectos determinados en materia de tratamiento de datos de carácter personal que requieran un estudio o una actuación por parte de los órganos competentes del Departamento u otras instituciones públicas.

j) Velar por la protección de los derechos fundamentales de las personas físicas, con respecto al tratamiento de los datos personales en el ámbito del Departamento de Salud y los entes y organismos adscritos y, en particular, velar para que se atiendan correctamente las solicitudes de ejercicio de los derechos de acceso, rectificación, cancelación y oposición por parte de los ciudadanos.

3.2 Sin perjuicio de lo que establece el apartado anterior, el Comité puede elaborar y elevar al consejero o consejera de Salud, al director o la directora del Servicio Catalán de la Salud y al director o directora gerente del Instituto Catalán de la Salud para su valoración, los informes extraordinarios o comunicados urgentes que considere pertinentes derivados de las funciones que tiene encomendadas.

3.3 El Comité se reúne, como mínimo, una vez al trimestre, y siempre que el presidente o presidenta lo determine.

3.4 El Comité tiene que fijar sus normas de funcionamiento interno que, en todo caso, se ajustarán a las normas generales de los órganos colegiados.

Artículo 4

Responsable del Programa de seguridad de la información

4.1 Al frente del Programa de Seguridad de la Información habrá una persona responsable designada por el/por la consejero/a de Salud de entre profesionales del Departamento de Salud o de los entes y organismos que son adscritos.

4.2 El desarrollo de las funciones de responsable del Programa de Seguridad de la Información no supone el acceso a un nuevo puesto de trabajo, y la persona profesional a quien se asigne esta función continuará llevando a cabo las funciones propias de su puesto de trabajo.

4.3 La persona responsable del Programa de Seguridad de la Información tiene asignadas las funciones siguientes:

a) Elaborar un modelo de seguridad de la información del Departamento de Salud, y de los entes y organismos que son adscritos, que incluya la definición de las diversas funciones y responsabilidades de las diferentes unidades en el ámbito de la seguridad de la información, las tecnologías de seguridad, los procedimientos y los estándares aplicables, y que desarrolle las directrices del Programa de Seguridad de la Información fijadas por el Comité de Seguridad.

b) Implantar las directrices y los criterios de seguridad del Departamento, y de los entes y organismos que son adscritos, coherente con las directrices y las recomendaciones emitidas por el Comité, así como velar a fin de que estas directrices se incorporen en las especificaciones técnicas que se entreguen a los proveedores de servicios externos.

c) Llevar a cabo la implementación y la gestión del Programa de Seguridad de la Información de acuerdo con las directrices fijadas por el Comité de Seguridad de la Información.

d) Supervisar el nivel de seguridad de los sistemas de información de las diferentes unidades del Departamento de Salud, del Servicio Catalán de la Salud y del Instituto Catalán de la Salud, y de los proveedores de servicios informáticos del Departamento.

e) Coordinar y controlar las medidas de seguridad aplicables a los ficheros y tratamientos de datos de carácter personal del Departamento de Salud, del Servicio Catalán de la Salud y del Instituto Catalán de la Salud definidas en el correspondiente documento de seguridad, de acuerdo con aquello que prevé el artículo 88 en relación con el artículo 95 Vínculo a legislación del Real decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de despliegue de la Ley orgánica 15/1999 Vínculo a legislación, de 13 de diciembre.

f) Analizar los informes de auditoría y elevar las conclusiones al responsable del fichero competente, en cada caso, para que adopte, si ocurre, las medidas correctoras adecuadas.

g) Participar en los proyectos del Departamento de Salud que impliquen cambios en la infraestructura tecnológica y validar los informes de riesgos de las nuevas infraestructuras.

h) Velar a fin de que la gestión de la seguridad de la información se lleve a cabo de forma coordinada en las diferentes unidades del Departamento y de los entes y organismos que son adscritos.

i) Participar en los procesos de desarrollo de nuevos sistemas mediante la definición de requerimientos de seguridad informática, la creación de directrices para los equipos de desarrollo y la evaluación de la seguridad de los sistemas previamente a su explotación. Para ejercer esta función podrá contar con la colaboración de otras unidades del Departamento de Salud, o de los entes y los organismos que son adscritos, relacionadas con las tecnologías de la información.

j) Velar a fin de que los riesgos de seguridad informática se tengan en cuenta tanto en los nuevos proyectos como en la gestión diaria del Departamento de Salud.

k) Evaluar periódicamente la seguridad del Departamento mediante un Plan de revisiones y evaluaciones de seguridad, que podrá incluir revisiones metodológicas (ISO17799) o tecnológicas, y elevar los resultados de estas revisiones al Comité de Seguridad de la Información.

l) Gestionar los incidentes de seguridad de la información mediante la elaboración y la gestión de un Plan de respuesta y gestión de incidentes departamental.

m) Coordinar las actuaciones dirigidas a adecuar los sistemas de información departamentales a los requerimientos establecidos de acuerdo con la normativa reguladora, sin perjuicio de las obligaciones que correspondan a los responsables de los tratamientos o a las unidades orgánicas promotoras de las aplicaciones.

n) Promover los anteproyectos de disposiciones para la creación, la modificación y la supresión de ficheros, y tramitar la inscripción de la creación, modificación o supresión de ficheros ante el Registro de la Agencia Catalana de Protección de datos, así como velar para el cumplimiento de todas las actuaciones legalmente establecidas respecto de los ficheros legalizados.

4.4 El responsable del Programa de Seguridad de la Información tendrá que elaborar un informe trimestral de las actividades realizadas, que elevará al Comité de Seguridad de la Información.

4.5 En función de las actividades específicas a llevar a cabo por el Programa de Seguridad de la Información, el Departamento de Salud, el Servicio Catalán de la Salud y el Instituto Catalán de la Salud asignarán los recursos.

Artículo 5

Plazo de vigencia del Programa

El Programa de Seguridad de la información estará vigente hasta el 31 de diciembre de 2012, sin perjuicio de la posibilidad de prórroga.

Disposición derogatoria

Se deroga la Orden de 13 de febrero de 1992, por la que se crea la Comisión Asesora para el tratamiento de la información confidencial del Departamento de Salud y los organismos que dependen, la Orden de 14 de mayo de 1999 de modificación parcial del Orden de 13 de febrero de 1992, por la que se crea la Comisión Asesora para el tratamiento de la información confidencial del Departamento de Salud y los organismos que dependen y la Orden SLT/88/2006, de 6 de marzo, por la que se crea el Programa de Seguridad de la Información del Departamento de Salud.

Disposición final

Única

Esta Orden entrará en vigor al día siguiente de su publicación en el Diari Oficial de la Generalitat de Catalunya.

Comentarios

Escribir un comentario

Para poder opinar es necesario el registro. Si ya es usuario registrado, escriba su nombre de usuario y contraseña:

 

Si desea registrase en www.iustel.com y poder escribir un comentario, puede hacerlo a través el siguiente enlace: Registrarme en www.iustel.com.

  • Iustel no es responsable de los comentarios escritos por los usuarios.
  • No está permitido verter comentarios contrarios a las leyes españolas o injuriantes.
  • Reservado el derecho a eliminar los comentarios que consideremos fuera de tema.

Revista El Cronista:

Revista El Cronista del Estado Social y Democrático de Derecho

Lo más leído:

  1. Actualidad: El TS reconoce que el personal investigador temporal de universidades andaluzas deben cobrar quinquenios como el fijo
  2. Actualidad: La Justicia determina que insultar una vez al jefe no justifica el despido disciplinario
  3. Actualidad: El TS confirma 130.000 euros de multa a una empresa que no identificó a trabajadores que huyeron durante una inspección
  4. Actualidad: El TC declara inconstitucional un precepto de los PGE de 2022 que dio al País Vasco la gestión de funcionarios locales
  5. Estudios y Comentarios: Recomponer los fundamentos del pacto constitucional; por José Luis Martínez López-Muñiz, Catedrático de Derecho Administrativo y profesor emérito de la Universidad de Valladolid
  6. Actualidad: El TC declara inconstitucionales los límites mínimos de las sanciones a los partidos que superen el gasto electoral
  7. Actualidad: El CGPJ acuerda por unanimidad que se investigue la fuga del líder de la 'Mocro Maffia'
  8. Legislación: Medidas urgentes en materia de vivienda
  9. Legislación: Programa de inclusión laboral de personas con discapacidad en el mercado de trabajo protegido
  10. Legislación: Medidas extraordinarias y urgentes de apoyo al sector agrario afectado gravemente por la situación de sequía

Revistas Generales de Derecho:

Secciones:

Boletines Oficiales:

 

© PORTALDERECHO 2001-2024

Icono de conformidad con el Nivel Doble-A, de las Directrices de Accesibilidad para el Contenido Web 1.0 del W3C-WAI: abre una nueva ventana