
“¿Quién iría a un hospital al que le han hackeado el sistema de seguridad?”
- 21 septiembre, 2017
- 0 comments
- Javier García
- Posted in Big Data
- 7
La segunda edición del Foro Big Data en Salud reúne este jueves a expertos en leyes y ciberseguridad en Demium Startups Madrid. Un encuentro, organizado por AIES y DevAcademy, para abordar los incidentes en ciberseguridad en las empresas sanitarias y su tratamiento jurídico. Ana Caballero participa en este foro para hablar del papel del Delegado de Protección de Datos en las empresas de salud. Caballero es socia directora de CÓDIGO LEGAL ABOGADOS, firma especializada en e-health. Licenciada en Derecho, máster en Derecho de las Tecnologías de la Información por el Instituto de Empresa, cuenta además con varios programas avanzados en derecho de las redes sociales, entretenimiento y privacidad, también por el Instituto de Empresa.
Asimismo, es experta jurista en tecnologías de la información y privacidad y comenzó su trayectoria profesional en los departamentos legales de Abengoa e Indra Sistemas. También ha sido profesora asociada de derecho constitucional y derecho de la comunicación en la Universidad Antonio de Nebrija y ponente habitual en congresos relacionados con la esalud y la privacidad. En esta entrevista concedida a COM Salud, Caballero explica los riesgos que amenazan a las empresas sanitarias cuando falla su sistema de ciberseguridad.
¿Son siempre las entidades sanitarias responsables cuando se produce una vulneración en su sistema de seguridad?
Son responsables si no han implantado las medidas apropiadas para evitar un incidente de seguridad. En la actualidad, las entidades sanitarias deben adoptar medidas adecuadas, al riesgo, que los tratamientos de datos puedan suponer para los derechos y libertados de los pacientes. Estas medidas son modulares en función del nivel y tipo de riesgos que previamente se hayan detectado en una Evaluación del Impacto de la Privacidad, y que será diferente para cada entidad según los tipos de tratamientos, su organización interna, los procedimientos legales implantados, el grado de cumplimiento de los procedimientos, la formación de sus empleados, a elección de proveedores que cumplan con el Reglamento Europeo de Protección de Datos, que será de obligado cumplimiento el próximo 25 de mayo, y otros factores.
Esta Evaluación del Impacto de la Privacidad es obligatoria para las entidades que tratan datos de salud y se debe realizar mediante metodologías de riesgo ya existentes. En resumen, sin evaluación de riesgos y sin implantación de medidas adecuadas, las entidades sanitarias son responsables de los incidentes de seguridad.
¿Cuáles son las consecuencias/sanciones legales para las empresas sanitarias en estos casos?
En la actualidad las entidades sanitarias deben ser responsables proactivamente para cumplimiento de la privacidad, y además demostrarlo. Solo probando que son diligentes podrán evitar una sanción. Las sanciones pueden ascender hasta 20 millones de euros, y/o el 4% de la facturación total, global del ejercicio precedentes. Ojo, de la facturación, que no de los beneficios.
Para ello, evitar las sanciones, se recomienda a las empresas contar con un Delegado de Protección de Datos que documente, y cree evidencias, de lo que nosotros llamamos la gestión global de la privacidad. Además de la sanción, existen otras consecuencias como son los daños reputacionales. ¿Quién iría a un hospital al que le han hackeado el sistema de seguridad y han intercambiado los historiales clínicos de sus pacientes? Yo no, desde luego.
¿Cuáles serían algunas de las soluciones a tener en cuenta para mejorar la ciberseguridad?
Una de las soluciones, que no la única, y que están llevando a cabo casi todas las organizaciones, es externalizar la figura del Delegado de Protección de Datos. Este delegado debe ser quien tenga el control de la gestión de los datos personales, quien le facilitará la construcción y estructura de un programa de protección de datos en toda la organización. Para ello, se encargará de planificar el programa de privacidad dentro de la organización, estructurar reportes de cada una de las áreas que se identifiquen con riesgos, registrará las evidencias documentales para pre-constituir prueba de cumplimiento y generará informes de progreso, estado, cumplimiento, mantenimiento y control del programa de privacidad.
¿Y sus responsabilidades en caso de fallo en el sistema de protección?
En caso de un incidente de seguridad que afecte a la privacidad, y en un plazo no superior a las 72 horas, el delegado de protección de datos de la entidad sanitaria tendrá la obligación de notificar a la Agencia Española de Protección de Datos la violación de seguridad, así como, también deberá comunicar a los pacientes afectados el incidente, si por su gravedad fuera necesario.
Programa II Foro Big Data en Salud
19.00 | Presentación
Carlos Mateos, vicepresidente de AIES y director COM SALUD
Gabriela Pis, responsable de Comunicación y Marketing de DevAcademy
19.15 | El delegado de protección de datos en las empresas de salud
Ana Caballero, socia directora de la firma Código Legal Abogados, especializada en eHealth
19.30 | Incidentes en seguridad y su tratamiento jurídico
Antonio Sánchez-Crespo, socio de Sánchez Crespo abogados y Consultores. Experto en protección de datos
19.45 | Hacking en Medical Devices (CASO PRÁCTICO)
Jose María Veganzones, vocal Big Data en AIES y responsable Laboratorio Big Data, Analítica Avanzada y Geo. Informática El Corte Inglés
20.00 | Debate
20.30 | Networking
Networking patrocinado por Código Legal | Abogados
Sobre Código Legal Abogados
Código Legal Abogados es una boutique legal especializada en privacidad y tecnología muy focalizada en el sector sanitario. CÓDIGO LEGAL ABOGADOS ofrece un asesoramiento jurídico muy completo y personalizado, dirigido a proporcionar soluciones diligentes basadas en estrategias legales eficientes.