El desarrollo de la norma se plantea a través de cuatro niveles

Auditorías bienales para proteger los datos del Sacyl
Fachada de la Consejería de Sanidad de Castilla y León.


23 ago. 2023 14:00H
SE LEE EN 4 minutos
La Política de Seguridad de la Información y Protección de Datos de la Gerencia Regional de Salud de Castilla y León ha sido aprobada recientemente, tal y como recoge el Boletín Oficial de la comunidad autónoma. La Junta de Castilla y León regula la seguridad de la información y protección de datos de la Administración a través del Decreto 22/2021, de 30 de septiembre, y ahora se ha dado luz verde a la norma concreta en el ámbito sanitario, donde se recoge la realización de análisis de riesgo y auditorías bianuales como parte de la gestión. Además, su desarrollo está planteado a través de cuatro niveles.

Los objetivos, tal y como recoge el propio Gobierno, se centran en establecer requisitos para proteger la información y los equipos tecnológicos que sirven de soporte para la mayoría de los procesos que se desarrollan en la gerencia. Además, se pone el foco en garantizar el derecho a la protección de datos de todas las personas que se relacionan con el Sacyl.

El ámbito de aplicación de esta norma aprobada, el Decreto 14/2023 de 21 de agosto, se amplía a todos los sistemas de información y actividades de tratamiento de datos personales de los que sean responsables la gerencia sanitaria, así como sus centros y organismos adscritos.


El desarrollo de la política, planteado en cuatro niveles


El desarrollo de esta política se plantea en cuatro niveles. En primer lugar, la creación de este decreto. El segundo nivel está compuesto por las normas de seguridad de la información que desarrollarán, entre otros aspectos, la protección de datos personales, el control de accesos y gestión de claves y el manejo de incidentes de seguridad. El tercer nivel está protagonizado por los procedimientos operativos de seguridad, orientados a resolver tareas consideradas “críticas” por el perjuicio que puede causar una actuación inadecuada.  Por último, se detalla la puesta en marcha de guías técnicas y de seguridad con el objetivo de proporcionar recomendaciones y para implantar correctamente las medidas de seguridad.

Para la gestión de esta política, el documento establece que se realizarán análisis de riesgo y evaluaciones de impacto de la protección de datos y gestión de riesgos de seguridad; también se recoge el uso de datos digitales, que solo podrán ser utilizados “para el cumplimiento de las obligaciones laborales o estatutarias”; se implantan auditorías de seguridad regulares, al menos cada dos años; se notificarán las violaciones de seguridad de los datos personales y se señala que se creará un registro de las actividades de tratamiento de datos personales.

Este documento también indica las obligaciones de los profesionales con acceso a los datos: “La obligación de conocer y cumplir con la Política de Seguridad de la Información y Protección de Datos se extiende a todo el personal que acceda, tanto a los sistemas de información, como a la propia información gestionada por la Gerencia Regional de Salud de Castilla y León, con independencia de la naturaleza de su relación con esta Administración y de su destino o adscripción”. Además, han de estar al tanto y cumplir con los códigos de conducta y buenas prácticas en esta materia y colaborar con la implementación, mejora de los principios y requisitos en materia de protección de datos. Para hacerlo posible, se desarrollarán actividades formativas y de concienciación.


La estructura organizativa


La estructura organizativa sigue lo establecido en el Decreto 22/2021, de 30 de septiembre. Está compuesta por el Comité de Seguridad de la Información; la Comisión Ejecutiva de Seguridad de la Información; las Comisiones Ejecutivas de las áreas de salud; los responsables de la información y del tratamiento de datos personales; los responsables del servicio; los encargados del tratamiento; la persona responsable de la seguridad de la Gerencia Regional de Salud y los responsables de la seguridad delegados; los responsables del sistema; los administradores de seguridad; y el delegado de protección de datos de la Gerencia Regional de Salud.
Las informaciones publicadas en Redacción Médica contienen afirmaciones, datos y declaraciones procedentes de instituciones oficiales y profesionales sanitarios. No obstante, ante cualquier duda relacionada con su salud, consulte con su especialista sanitario correspondiente.