Modelo Osi

Gabinete Jurídico

Informe 0501/2009

La consulta plantea diversas dudas en relación con las medidas de

seguridad a adoptar para la instalación de una solución hardware/software

diseñada para su uso en hospitales. Según señala el consultante se trata de

una pantalla monitor, situada en cada una de las camas del centro hospitalario,

a través de la cual el personal sanitario puede registrar las distintas constantes

tomadas a los pacientes.

La primera de las cuestiones a examinar es la relativa a la forma de

acceso a datos del paciente desde los paneles por el personal sanitario, que

se efectuaría según se indica en la consulta mediante un lector del código de

barras que se encuentra en la tarjeta identificativa del personal hospitalario e

identifica de forma unívoca al profesional.

El Reglamento de desarrollo de la Ley Orgánica 15/1999, aprobado por

Real Decreto 1720/2007, de 21 de diciembre, constituye en la actualidad la

normativa vigente en materia de medidas de seguridad aplicables a los

tratamientos de datos de carácter personal. El artículo 80 de esta norma

clasifica las medidas de seguridad aplicables a los ficheros o tratamientos de

datos en tres niveles, debiendo adoptarse según la naturaleza de los datos a

tratar el nivel correspondiente.

En lo que se refiere a la determinación de los niveles de seguridad

establece el artículo 81.3 del citado Reglamento que “Además de las medidas

de nivel básico y medio, las medidas de nivel alto se aplicarán en los siguientes

ficheros o tratamientos de datos de carácter personal:

a. Los que se refieran a datos de ideología, afiliación sindical, religión,

creencias, origen racial, salud o vida sexual.”

Debe tenerse presente, además, que como señala dicho precepto, las

medidas de seguridad tienen un carácter acumulativo, de forma que las

establecidas para cada nivel exigen incorporar las previstas para los niveles

inferiores.

De esta manera, el artículo 91 del Reglamento impone en los ficheros de

nivel básico como una de las medidas de seguridad la del control de acceso,

disponiendo en su número primero que “Los usuarios tendrán acceso

únicamente a aquellos recursos que precisen para el desarrollo de sus

funciones”, para ello exige en su número tercero que “El responsable del

fichero establecerá mecanismos para evitar que un usuario pueda acceder a

recursos con derechos distintos de los autorizados.”

Asimismo, establece una obligación de identificación y autenticación de

los usuarios, exigiéndose ya desde el nivel básico una identificación

c. Jorge Juan 6

28001 Madrid

www.agpd.es

1

Gabinete Jurídico

personalizada de los usuarios. Dispone el artículo 93.1, a estos efectos, que ”El

responsable del fichero o tratamiento deberá adoptar las medidas que

garanticen la correcta identificación y autenticación de los usuarios.” Por su

parte, el número 2 del mismo artículo prevé que “El responsable del fichero o

tratamiento establecerá un mecanismo que permita la identificación de forma

inequívoca y personalizada de todo aquel usuario que intente acceder al

sistema de información y la verificación de que está autorizado.”

En el nivel medio, esta medida de identificación y autenticación se

vuelve más rigurosa ya que, a las medidas anteriores previstas para el nivel

básico, se añade la contenida en el artículo 98 según el cual “El responsable

del fichero o tratamiento establecerá un mecanismo que limite la posibilidad de

intentar reiteradamente el acceso no autorizado al sistema de información.”

Por último, en el nivel alto, se requiere ya un registro de cada

...