miércoles, diciembre 16, 2020

Un ejemplo de puesta en marcha del Modelo de Política de Seguridad de la Información en una institución gubernamental.

Se trata de la Superintendencia de Servicios de Salud, organismo descentralizado de la ADMINISTRACIÓN PÚBLICA NACIONAL y en jurisdicción del MINISTERIO DE SALUD.


El detalle que a continuación se expone, corresponde a los fundamentos de la Resolución 1614/2020 de la SSSalud, que marcan el compromiso del organismo sobre la temática:

  • Que la Resolución del Registro de la SUPERINTENDENCIA DE SERVICIOS DE SALUD Nº 220/2006 creó el Comité de Seguridad de la Información, integrado por los Gerentes de todas las áreas sustantivas del Organismo, a los efectos de proyectar y delinear las propuestas para conformar el Modelo de Política de Seguridad de la Información a adoptar.
  • Que mediante la Resolución del Registro de la SUPERINTENDENCIA DE SERVICIOS DE SALUD Nº 695/2008 se aprobaron los lineamientos básicos propuestos por el citado Comité para integrar el Modelo de Política de Seguridad de la Información a adoptar por este Organismo, así como el Reglamento de Funcionamiento del Comité de Seguridad de la Información y la Política de Privacidad para entidades usuarias del sitio web.
  • Que por la Disposición del Registro de la Oficina Nacional de Tecnologías de Información (ONTI) Nº 1/2015 se aprobó la Política de Seguridad de la Información, modelo actualmente vigente.
  • Que la Resolución del Registro de la SUPERINTENDENCIA DE SERVICIOS DE SALUD Nº 642/2018 aprobó el Reglamento de Funcionamiento del Comité de Seguridad de la Información del Organismo, los Principios Básicos del Modelo de Política de Seguridad de la Información, la Política de Control de Acceso a la Información en Formato Papel y la Política de Control de Acceso a la Información Web.
  • Que el Anexo II del reglamento mencionado determinó que la clasificación de la información corresponde que sea realizada por cada Unidad Organizativa del Organismo, según el caso, en pública, reservada de uso interno, reservada confidencial y reservada secreta, aplicando -de corresponder- la Ley de Protección de Datos Personales.
  • Que los datos que recibe el Organismo se encuentran resguardados por los profesionales de la salud bajo el secreto médico.
  • Que la Ley N 25.326:

ü  tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, entendiendo por datos personales la información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables, y como datos sensibles los que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.

ü  en el párrafo precedente prevé en su artículo 8°, con respecto a los datos relativos a la salud, que “Los establecimientos sanitarios públicos o privados y los profesionales vinculados a las ciencias de la salud pueden recolectar y tratar los datos personales relativos a la salud física o mental de los pacientes que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquéllos, respetando los principios del secreto profesional”.

ü  Que dicha Ley consagra principios de finalidad, confidencialidad y excepciones de entrega al mencionar que “los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención” (artículo 4º);

1. El responsable y las personas que intervengan en cualquier fase del tratamiento de datos personales están obligados al secreto profesional respecto de los mismos. Tal obligación subsistirá aun después de finalizada su relación con el titular del archivo de datos.

2. El obligado podrá ser relevado del deber de secreto por resolución judicial y cuando medien razones fundadas relativas a la seguridad pública, la defensa nacional o la salud pública” (artículo 10); y “la información sobre datos personales también puede ser denegada por los responsables o usuarios de bancos de datos públicos, cuando de tal modo se pudieran obstaculizar actuaciones judiciales o administrativas en curso vinculadas a (...) el desarrollo de funciones de control de la salud y del medio ambiente…” (artículo 17).

ü  Que estos principios hallan su correlato en lo previsto en el artículo 38 del Decreto Nº 1759/1972 (t.o. 2017), al establecer que “La parte interesada, su apoderado o letrado patrocinante, podrán tomar vista del expediente durante todo su trámite, con excepción de actuaciones, diligencias, informes o dictámenes que a pedido del órgano competente y previo asesoramiento del servicio jurídico correspondiente, fueren declarados reservados o secretos mediante decisión fundada del respectivo Subsecretario del Ministerio o del titular del ente descentralizado de que se trate”.

  • Que la Ley N° 26.529 de derechos del paciente en su relación con los Profesionales e Instituciones de la Salud establece en su artículo 2º los derechos a la intimidad, donde toda actividad médico-asistencial tendiente a obtener, clasificar, utilizar, administrar, custodiar y transmitir información y documentación clínica del paciente debe observar el estricto respeto por la dignidad humana y la autonomía de la voluntad, así como el debido resguardo de su intimidad y la confidencialidad de sus datos sensibles; y a la confidencialidad, en función del cual el paciente tiene derecho a que toda persona que participe en la elaboración o manipulación de la documentación clínica, o bien tenga acceso a su contenido, guarde la debida reserva, salvo expresa disposición en contrario emanada de autoridad judicial competente o autorización del propio paciente.
  • Que la Ley N° 27.275:

ü  tiene por objeto garantizar el efectivo ejercicio del derecho de acceso a la información pública, promover la participación ciudadana y la transparencia de la gestión pública.

ü  Que la norma referida establece un límite al ejercicio del derecho de Acceso a la Información Pública, afirmando que los sujetos obligados podrán exceptuarse de proveer la información (artículo 8º) cuando comprometa los derechos o intereses legítimos de un tercero obtenida en carácter confidencial, esté protegida por el secreto profesional y cuando contenga datos personales y no pueda brindarse aplicando procedimientos de disociación, salvo que se cumpla con las condiciones de licitud previstas en la Ley Nº 25.326, de protección de datos personales y sus modificatorias.

Entiendo que esta argumentación es un buen ejemplo para que otros organismos estatales imiten esta iniciativa sobre Seguridad de la Información.

Por: Lic. Jorge A. Guerra

No hay comentarios.:

Publicar un comentario