Un ejemplo de puesta en marcha del Modelo de Política de Seguridad de la Información en una institución gubernamental.

Por -

 Se trata de la Superintendencia de Servicios de Salud, organismo descentralizado de la ADMINISTRACIÓN PÚBLICA NACIONAL y en jurisdicción del MINISTERIO DE SALUD.


El detalle que a continuación se expone, corresponde a los fundamentos de la Resolución 1614/2020 de la SSSalud, que marcan el compromiso del organismo sobre la temática:

  • Que la Resolución del Registro de la SUPERINTENDENCIA DE SERVICIOS DE SALUD Nº 220/2006 creó el Comité de Seguridad de la Información, integrado por los Gerentes de todas las áreas sustantivas del Organismo, a los efectos de proyectar y delinear las propuestas para conformar el Modelo de Política de Seguridad de la Información a adoptar.
  • Que mediante la Resolución del Registro de la SUPERINTENDENCIA DE SERVICIOS DE SALUD Nº 695/2008 se aprobaron los lineamientos básicos propuestos por el citado Comité para integrar el Modelo de Política de Seguridad de la Información a adoptar por este Organismo, así como el Reglamento de Funcionamiento del Comité de Seguridad de la Información y la Política de Privacidad para entidades usuarias del sitio web.
  • Que por la Disposición del Registro de la Oficina Nacional de Tecnologías de Información (ONTI) Nº 1/2015 se aprobó la Política de Seguridad de la Información, modelo actualmente vigente.
  • Que la Resolución del Registro de la SUPERINTENDENCIA DE SERVICIOS DE SALUD Nº 642/2018 aprobó el Reglamento de Funcionamiento del Comité de Seguridad de la Información del Organismo, los Principios Básicos del Modelo de Política de Seguridad de la Información, la Política de Control de Acceso a la Información en Formato Papel y la Política de Control de Acceso a la Información Web.
  • Que el Anexo II del reglamento mencionado determinó que la clasificación de la información corresponde que sea realizada por cada Unidad Organizativa del Organismo, según el caso, en pública, reservada de uso interno, reservada confidencial y reservada secreta, aplicando -de corresponder- la Ley de Protección de Datos Personales.
  • Que los datos que recibe el Organismo se encuentran resguardados por los profesionales de la salud bajo el secreto médico.
  • Que la Ley N 25.326:

ü  tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, entendiendo por datos personales la información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables, y como datos sensibles los que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.

ü  en el párrafo precedente prevé en su artículo 8°, con respecto a los datos relativos a la salud, que “Los establecimientos sanitarios públicos o privados y los profesionales vinculados a las ciencias de la salud pueden recolectar y tratar los datos personales relativos a la salud física o mental de los pacientes que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquéllos, respetando los principios del secreto profesional”.

ü  Que dicha Ley consagra principios de finalidad, confidencialidad y excepciones de entrega al mencionar que “los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención” (artículo 4º);

1. El responsable y las personas que intervengan en cualquier fase del tratamiento de datos personales están obligados al secreto profesional respecto de los mismos. Tal obligación subsistirá aun después de finalizada su relación con el titular del archivo de datos.

2. El obligado podrá ser relevado del deber de secreto por resolución judicial y cuando medien razones fundadas relativas a la seguridad pública, la defensa nacional o la salud pública” (artículo 10); y “la información sobre datos personales también puede ser denegada por los responsables o usuarios de bancos de datos públicos, cuando de tal modo se pudieran obstaculizar actuaciones judiciales o administrativas en curso vinculadas a (...) el desarrollo de funciones de control de la salud y del medio ambiente…” (artículo 17).

ü  Que estos principios hallan su correlato en lo previsto en el artículo 38 del Decreto Nº 1759/1972 (t.o. 2017), al establecer que “La parte interesada, su apoderado o letrado patrocinante, podrán tomar vista del expediente durante todo su trámite, con excepción de actuaciones, diligencias, informes o dictámenes que a pedido del órgano competente y previo asesoramiento del servicio jurídico correspondiente, fueren declarados reservados o secretos mediante decisión fundada del respectivo Subsecretario del Ministerio o del titular del ente descentralizado de que se trate”.

  • Que la Ley N° 26.529 de derechos del paciente en su relación con los Profesionales e Instituciones de la Salud establece en su artículo 2º los derechos a la intimidad, donde toda actividad médico-asistencial tendiente a obtener, clasificar, utilizar, administrar, custodiar y transmitir información y documentación clínica del paciente debe observar el estricto respeto por la dignidad humana y la autonomía de la voluntad, así como el debido resguardo de su intimidad y la confidencialidad de sus datos sensibles; y a la confidencialidad, en función del cual el paciente tiene derecho a que toda persona que participe en la elaboración o manipulación de la documentación clínica, o bien tenga acceso a su contenido, guarde la debida reserva, salvo expresa disposición en contrario emanada de autoridad judicial competente o autorización del propio paciente.
  • Que la Ley N° 27.275:

ü  tiene por objeto garantizar el efectivo ejercicio del derecho de acceso a la información pública, promover la participación ciudadana y la transparencia de la gestión pública.

ü  Que la norma referida establece un límite al ejercicio del derecho de Acceso a la Información Pública, afirmando que los sujetos obligados podrán exceptuarse de proveer la información (artículo 8º) cuando comprometa los derechos o intereses legítimos de un tercero obtenida en carácter confidencial, esté protegida por el secreto profesional y cuando contenga datos personales y no pueda brindarse aplicando procedimientos de disociación, salvo que se cumpla con las condiciones de licitud previstas en la Ley Nº 25.326, de protección de datos personales y sus modificatorias.

Entiendo que esta argumentación es un buen ejemplo para que otros organismos estatales imiten esta iniciativa sobre Seguridad de la Información.

Por: Lic. Jorge A. Guerra

Comentarios

Publicar un comentario

Entradas más populares de este blog

ESCANEO DEL CODIGO PDF417 DEL DNI (Documento Nacional de Identidad digital)

Por -
Imagen
   PARSEO DEL CODIGO PDF417 DEL DNI  A partir de una lectora de codigo de barras 2D podemos leer y extraer los datos de un DNI para incorporarlos en nuestra base de datos sin necesidad de tipear los mismos en el teclado. El código incluido en el frente de la credencial, es del tipo PDF417 e incluye los siguientes campos separados por un carácter @: Número de Tramite Apellidos (ambos separados por un espacio) Nombres (ambos separados por un espacio) Sexo (M / F) Número de DNI Ejemplar Fecha Nacimiento (DD/MM/AAAA) Fecha de Emisión del documento (DD/MM/AAAA) Inicio y fin de CUIL (3 caracteres, los 2 que van antes del primer guión y el último que va luego del segundo guión)  Esperamos que esta información les sea de utilidad y cualquier consulta si esta a nuestro alcance con gusto les responderemos. Sin duda que escanear el DNI y poder extraer los datos  de apellido, nombre, sexo, número de documento y fecha de nacimiento sin tipearlos en el teclado tiene ventajas notables. El tipeo en el
Leer más

¿Que tipos de Mensajes de HL7 hay?

Por -
Imagen
Los tipos de mensajes HL7 más comúnmente utilizados incluyen: ACK - Acuse de recibo general. (General acknowledgement) ADT - Admitir, Descargar, Tranfser. (Admit, Discharge, Tranfser) BAR - Agregar / cambiar cuenta de facturación. (Add/change billing account) DFT - Transacción financiera detallada. (Detailed financial transaction) MDM - Gestión de documentos médicos. (Medical document management) MFN - Notificación de archivos maestros.(Master files notification) ORM - Orden (Farmacia / tratamiento para solicitar algo, pedido de laboratorio) ORU - Resultado de observación (para ver los resultados de estudios) La estructura general de un mensaje HL7 contiene varios segmentos (datos) que (normalmente) están orientados al paciente y se activan en función de eventos específicos (admisiones, resultados de laboratorio, procedimientos, alta, etc.) y comunican información relevante sobre ese evento desencadenado. La estructura de un mensaje HL7 se ve de la siguiente mane
Leer más

¿Que es Razor?

Por -
Imagen
  Razor originalmente, nació como opción para programar aplicaciones web en ASP.NET MVC 3. Una página de Razor es muy similar al componente de vista al que están acostumbrados los desarrolladores de ASP.NET MVC. Tiene la misma sintaxis y funcionalidad. La diferencia clave es que el modelo y el código del controlador también se incluyen dentro de la propia página de Razor. Es más un marco MVVM (Model-View-ViewModel). Permite el enlace de datos bidireccional y una experiencia de desarrollo más simple con preocupaciones aisladas. Aquí hay un ejemplo básico de una página de Razor que usa código en línea dentro de un bloque @functions. De hecho, se recomienda poner el código de PageModel en un archivo separado. Esto es más parecido a cómo codificamos los archivos con ASP.NET WebForms. Razor no es un lenguaje de programación, sino simplemente un motor de vistas. ¿Qué significa esto? Básicamente, hay que analizar qué significan las siglas MVC: corresponden al término Modelo-Vista-Controlador,
Leer más