ORDEN 9/2012, de 10 de julio, de la Conselleria de Sanidad, por la que establece la organización de la seguridad de la información.
| Sección | I - Disposiciones Generales |
| Emisor | Conselleria de Sanidad |
| Rango de Ley | Orden |
Índice
La Oficina de seguridad de la información Artículo 10. El Comité de seguridad de la información Artículo 11. Los responsables de accesos a la información Artículo 12. Los responsables funcionales de tratamiento Capítulo IV. La organización periférica de la seguridad de la información.
El responsable local de la seguridad de la información Artículo 15. Los responsables locales de la seguridad de.
la información almacenada en ficheros automatizados y no automatizados
Los responsables funcionales de tratamiento locales Disposición adicional única. Incidencia económica.
Única. Derogación normativa
Primera. Constitución de la Oficina de seguridad de la información Segunda. Plazos de adecuación
Tercera. Cumplimiento
Cuarta. Instrumentos de colaboración
Quinta. Entrada en vigor
La información constituye un activo de primer orden para la Conselleria de Sanidad y la Agencia Valenciana de Salud desde el momento en que resulta esencial para prestar servicios sanitarios de calidad. Que la información relativa a la salud de un paciente pueda estar a disposición de los profesionales sanitarios cuando la necesiten en cualquier punto de la red asistencial, o el control de la eficiencia en el uso de los recursos sanitarios son impensables sin el concurso de las tecnologías de la información y de las comunicaciones. Estas mismas tecnologías facilitan el acceso electrónico de los ciudadanos a los servicios públicos y están provocando cambios profundos en todo tipo de sectores y actividades.
El uso de la tecnología facilita nuevas formas de tratar la información, lo que propicia la creación de nuevos servicios a los ciudadanos, como la solicitud de cita por Internet, o la consulta de su historia de salud. Por otro lado, aparte de estos nuevos servicios y de la información básica para el desempeño de las funciones propias de la Conselleria de Sanidad y de la Agencia Valenciana de Salud, la actividad de ambas organizaciones genera abundante información que, a su vez, constituye una fuente importante de conocimiento para las partes con intereses legítimos en su explotación. Entre tales interesados están en primer lugar los pacientes y los ciudadanos en general, en tanto que potenciales beneficiarios del mayor conocimiento sobre la eficacia de los tratamientos, estilos de vida saludables, factores de riesgo, etc. En segundo lugar están los gestores y directivos que precisan conocer el funcionamiento de la organización, el grado de implantación de las políticas, medir su eficacia y eficiencia dentro de las consabidas dinámicas de control y mejora continua. La explotación de esta información secundaria requi-
ere la dedicación de estructuras y personal especializados, tanto de la propia Conselleria como de agentes externos. Todos estos tratamientos deben realizarse en condiciones suficientes para preservar los derechos e intereses de los ciudadanos, sobre todo en lo que concierne a protección de datos personales, y los de la propia Conselleria para garantizar los servicios y como posible titular de derechos morales o patrimoniales sobre la información y los productos derivados de ella.
Las medidas de seguridad son de naturaleza muy diversa, casi tanto como los problemas que pretenden resolver, y van desde las organizativas hasta las puramente tecnológicas, pasando por las de tipo contractual y otras. Entre las primeras que es necesario adoptar están las de carácter organizativo, y de ellas es preciso destacar dos que se complementan mutuamente: una declaración de los principios que deben observarse en todos los tratamientos de información, y un reparto de funciones y responsabilidades en materia de seguridad. Es decir, una política y una organización de la seguridad de la información. Ambas medidas están tan estrechamente relacionadas que en ocasiones se incluye el modelo organizativo dentro de la política.
El antecedente normativo inmediato de la presente orden es el Decreto 66/2012, de 27 de abril, del Consell, que establece la política de seguridad de la información de la Generalitat, y cuyo contenido es plenamente aplicable a la Conselleria de Sanidad. En la disposición final primera de esa norma se faculta al conseller o la consellera con competencias en materia de sanidad y salud pública para que desarrolle las disposiciones necesarias para establecer la organización de la seguridad de la información en su ámbito de competencia. En ejercicio de dicha facultad, la presente disposición tiene por objeto establecer el marco organizativo de la seguridad de la información en el ámbito de la Conselleria de Sanidad.
La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Datos de Carácter Personal, tiene como objeto garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas y especialmente de su honor e intimidad personal y familiar. Su artículo 9.1 dispone que «el responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural». La Orden 11/2011, de 21 de octubre, de la Conselleria de Sanidad, por la que se crean once nuevos ficheros de datos de carácter personal y se suprimen los que existían hasta ese momento, declara que el responsable de esos ficheros es la propia Conselleria.
El Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, establece las medidas de seguridad mínimas que deben aplicarse a los ficheros automatizados y no automatizados que contengan datos de carácter personal, entre las que se incluye el nombramiento de una serie de figuras con responsabilidades específicas.
La Ley 11/2007, de 22 de junio, de Acceso Electrónico de los Ciudadanos a los Servicios Públicos, tiene entre sus fines la creación de las condiciones de confianza en el uso de los medios electrónicos mediante el establecimiento de las medidas necesarias para la preservación de la integridad de los derechos fundamentales y, en especial, los relacionados con la intimidad y la protección de datos de carácter personal. En su disposición final octava esta ley establece que corresponde al Gobierno y a las comunidades autónomas en el ámbito de sus respectivas competencias, dictar las disposiciones necesarias para el desarrollo y aplicación de dicha ley.
El Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración electrónica desarrolla la Ley 11/2007, de 22 de junio, y fija una serie de requisitos mínimos que deben concretarse en el correspondiente Plan de adecuación. Entre tales requisitos están la aprobación formal de la política de seguridad y la organización de la seguridad. El artículo 10 de este Real Decreto, que reclama la separación de funciones entre el responsable de la información, el responsable del servicio y el responsable de la seguridad, es particularmente relevante en el contexto de la presente disposición.
En el ámbito autonómico otros dos antecedentes normativos en esta materia son el Decreto 96/1998, de 6 de julio, por el que se regulan la organización de la función informática, la utilización de los sistemas de información y el Registro de Ficheros Informatizados en el ámbito de la administración de la Generalitat Valenciana, y el Decreto 112/2008, de 25 de julio, del Consell, por el que se crea la Comisión Interdepartamental para la Modernización Tecnológica, la Calidad y la Sociedad del Conocimiento en la Comunidad Valenciana.
Por otra parte es imprescindible citar también aquí la Ley 3/2010, de 5 de mayo, de Administración Electrónica de la Comunitat Valenciana, que se promulgó al amparo del artículo 19.2 del Estatut d'Autonomia, que reconoce el derecho de acceso de los valencianos a las nuevas tecnologías y a que la Generalitat desarrolle políticas activas que impulsen la formación, las infraestructuras y su utilización, así como del artículo
49.3.16ª, que establece que la Generalitat tiene la competencia exclusiva sobre el «Régimen de las nuevas tecnologías relacionadas con los servicios de información y del conocimiento». El artículo 37.4 de esta ley dispone que «las administraciones públicas, en función de su capacidad y posibilidades, aprobarán, o adoptarán mediante los...
Para continuar leyendo
Solicita tu prueba