Elaboración de un PIA.

...

Recoger y Tratar Adecuadamente Los Datos

Debemos infórmale a los usuarios (Cliente) a los cuales se les solicitan datos como siguientes.

- El nombre del fichero en el que se van a almacenar sus datos (login).

- La finalidad para la cual se recogen los datos.

- El destinatario.

- El carácter obligatorio y opcional.

- Consecuencias de la obtención de los datos o de su negativa a suministrarlos.

Estos formularios o cualquier otro elemento utilizado para la recolección de datos, deben adecuarse al principio de la calidad de datos, es decir no se deben solicitar datos no necesarios, deben tener una finalidad determinada, legitima y explicita y ser adecuada para dicha finalidad.

Informar sobre la posibilidad de ejercer los derechos de acceso, convalidación y cancelación de datos.

Se deberá facilitar a las personas que soliciten la inscripción a la CLÍNICA DENTAL poder tener la posibilidad de ejercer dicha inscripción de forma gratuita. Estos derechos solo podrán ser ejercidos por el usuario (Cliente) interesado.

- Derecho de Acceso

El usuario (Cliente) tiene derecho a solicitar información sobre los datos de carácter personal que se estén utilizando en el proceso de historia clínica y si han sido comunicados a terceros, es decir a empresas contratistas las cuales prestan la labor por contratación en la CLÍNICA DENTAL

- Derecho de Rectificación

El usuario podrá verificar sus datos por medio de solicitud verbal o escrita para verificar la veracidad de los mismos y poder así ratificar sus datos de ser erróneos o incompletos.

- Derecho de Cancelación

Cuando el titular de los datos tiene conocimiento de que los datos tratados en un fichero no se ajustan al LOPD, puede solicitar la cancelación de los mismos.

- Derecho de Oposición

Existen casos en los que no es necesario el consentimiento del titular para el tratamiento de datos, como por ejemplo el caso de los datos profesionales o titulación de una persona, este podrá oponerse al tratamiento de datos cuando existan motivos razonados y legítimos.

- Análisis de la Evaluación

Para llevar a cabo este análisis de la evaluación es necesario primero saber que necesita el cliente para la protección de su información manejada dentro de su empresa, saber que practicas se están llevando a cabo para proteger la información de la empresa, saber cómo se están implementando dichas prácticas para poder así emplear un plan de trabajo el cual permita validar el buen proceso de las medidas de seguridad para la información de la empresa. Es por ello que después de identificar los riesgos se debe implementar la evaluación de impacto en la protección de datos.

Fases Principales de una Evaluación de Impactó.

[pic 1]

Fuente: Guía para una evaluación de impacto de protección de datos personales, Agencia Española de Protección de Datos 2014

Con la implementación de esta Guía permitirá a la empresa saber dos tipos de riesgos a los cuales se podrá enfrentar se haga un EIPD. El primer tipo de riesgo es el que afecta directamente al personal de la empresa, ya que si se violan dichos riesgos podría violar directamente los derechos de las personas. El segundo tipo de riesgo es el que afecta la imagen de la empresa que ha creado un producto o un servicio, dando así la percepción de que la empresa no cuida la privacidad de los datos tratados.

- REDACTAR UN DOCUMENTO DE SEGURIDAD

En el documento de seguridad se deben especificar las medidas de seguridad adoptadas por el profesional en función (DPO) del nivel de la seguridad que requiera el tipo de datos administrados. La LOPD determina tres niveles básicos de medidas de seguridad, ALTO, MEDIO Y BAJO, con los cuales deberán ser implementados para los distintos tipos de datos a manejar. En el documento de Medidas de Seguridad se deben incluir.

- Ambiente de aplicación.

- Medidas, normas, procedimientos dirigidos a garantizar los niveles de seguridad.

- Funciones y obligaciones de personal.

- Procedimiento de manejo de notificación de incidencias.

- Procedimientos de realización de copias de respaldo de información.

- Estructura de los ficheros con datos personales, incluyendo una descripción del sistema de información.

Es necesario adoptar medidas técnicas y de organización que se requieran para garantizar la seguridad de los datos, tanto para ficheros informáticos como para los ficheros manuales. Los ficheros gestionados vía software en la tabla de los niveles de seguridad que hay que según el nivel de seguridad del fichero, en cuanto a los ficheros manejados manualmente se les pueden adoptar medidas de seguridad básicas cono las siguientes.

- Romper cualquier archivo que contenga información de datos personales antes de tirarlo a la basura.

- Establecer procedimientos al momento de desechar el papel, garantizando así confidencialidad en los datos.

- No dejar expedientes, carpetas o archivos en escritorios o mesas cuando se va a dejar el puesto de trabajo por un momento, guardándolos en un cajón con llave.

Cualquier archivo o documento que contenga historia clínica de un paciente contiene datos de un nivel de seguridad alto. La Agencia de Protección de Datos recomienda medidas para la custodia, archivo y seguridad de los datos de carácter personal de las historias clínicas no formalizadas.

- Las medidas de seguridad del centro clínico DENTAL deberán garantizar la confidencialidad de los datos contenidos en el fichero y evitar accesos no autorizados, controlando así quien podrá utilizar la historia de salida del fichero hasta su devolución estableciendo un registro de entrada/salida y se darán a conocer al personal.

- El profesional asistencial que realiza el diagnostico dental del paciente o el tratamiento tiene que