El 4/11/2025 tuvo lugar reunión de la Comisión de Digitalización de la Asamblea de Madrid contando en su orden del día , entre otros puntos, con la pregunta de contestación oral en comisión (PCOC 3329/25) a petición del Grupo Parlamentario Más Madrid sobre "¿Qué mecanismos de control y transparencia se han implementado en las colaboraciones con empresas privadas para proteger los datos personales de los pacientes?".
Se ha publicado la transcripción en el Diario de Sesiones.
Arce García, del Grupo Parlamentario Más Madrid, en su exposición de la pregunta, indicó que "si la Directiva NIS2 considera que los datos de salud pertenecen a la categoría de máxima criticidad y, por tanto, deben estar protegidos bajo ese nivel de seguridad, y no medio, como pasa sobre todo en los proyectos. que están asociados; por ejemplo, los que les damos a Indra, los que damos a las empresas de fuera, que ellos pueden entrar en nuestros datos y pueden ver esos datos. Lo que me gustaría saber es justamente por qué. Porque además sabemos que al final lo que pasó en Andalucía, por ejemplo, con el cribado con los datos de mama, que de repente falló el sistema informático, es una de dos: fue que sus compañeros de Andalucía no querían que se viese el fallo que se había cometido, que, de hecho, se ha visto que había mamografías cambiadas; o bien fue un fallo de la empresa externa, que, de hecho, es lo que nos están comentando, que tenía acceso a esos datos. Sabemos que los datos médicos son importantes, y esto ya no es cuestión de ser de un tipo de política, es cuestión de que hasta Europa lo dice -y cualquier grupo-, que los datos médicos tienen que estar en seguridad alta.
Entonces, mi pregunta es: ¿puede confirmar si los sistemas que gestionan datos de salud están realmente en nivel alto? Y, si no es así, ¿cuándo se van a elevar al estándar europeo?, ¿qué controles externos de auditarías independientes, no internas, verifican el cumplimiento de las obligaciones de seguridad de estas empresas adjudicatarias? Tengamos en cuenta que tenemos un montón de empresas, que a mí no me parece mal que tengamos proyectos de investigación, pero esos proyectos que están dando fuera sabemos que están regidos por este tipo de control. También saber dónde se publica, si existe el registro de accesos y cesiones de datos para garantizar la transparencia y supervisión. '
Contestó la DIRECTORA GENERAL DE SALUD DIGITAL, Nuria Ruiz Hombrebueno:
'voy a comenzar aclarando que creo que estamos mezclando conceptos distintos; o sea, por una parte está la ley de IA, el reglamento del Espacio Europeo de Datos de Salud, y, luego, por otra parte está la Ley Orgánica de Protección de Datos y el Reglamento de Protección de Datos, que es lo que aplica para la protección de los datos, y, por último, tenemos el esquema nacional de seguridad, que es una cosa distinta. Entonces, tengo mucha información y voy a intentar ir muy rápida, para poder contestar a todas las preguntas.
Con relación a la cuestión que se plantea, respecto a la seguridad de datos sanitarios, en la práctica, aquellos sistemas y aplicaciones que se pretenden instalar con fines sanitarios son analizados previamente por la Dirección General de Salud Digital, procediéndose a su estudio por parte del equipo especializado en materia de seguridad de la información y protección de datos, validando el cumplimiento de los sistemas a utilizar desde el punto de vista tanto legal y normativo como técnico, trasladando las consideraciones necesarias en cada caso para dichos ámbitos, y analizando las evidencias aportadas por los responsables y proveedores en cumplimiento de las mismas. Desde la Dirección General de Salud Digital se exige el cumplimiento del Reglamento General de Protección de Datos de la Unión Europea, que es uno de los marcos fundamentales en esta materia. Además, en España también se aplica la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales, que complementa y refuerza las disposiciones del Reglamento General de Protección de Datos.
Desde la Dirección General de Salud Digital, a través de la Oficina de Seguridad de Sistemas de Información, la OSSI, y en asesoramiento al delegado de Protección de Datos de la Consejería de Sanidad, se efectúa un análisis de viabilidad de aplicativos con carácter previo a su instalación en el que se estudia, en cumplimiento del principio de responsabilidad proactiva y privacidad del diseño, la adecuación normativa de cada herramienta en el ámbito de protección de datos, así como del esquema nacional de seguridad. Dentro de este proceso de análisis, se solicita el aporte de aspectos esenciales en seguridad y protección de datos para validar su cumplimiento, como son: análisis de vulnerabilidades, valoración de perfiles de usuario y permisos de acceso, políticas de contraseñas aplicadas, evaluaciones de impacto sobre la protección de datos, técnicas utilizadas de anonimización y seudonimización, revisión de posibles transferencias internacionales, así como la revisión de certificaciones y de documentación técnica y legal, entre otros. Igualmente, se procede a la revisión de los contratos firmados con los proveedores, así como los convenios correspondientes para incluir las previsiones normativas necesarias en materia de seguridad de la información, con el fin de asegurar que la participación de entidades externas que colaboran con la Administración cumpla con las exigencias establecidas por la normativa vigente.
En lo que respecta al tratamiento de datos personales por parte de proveedores externos que actúan en calidad de encargados del tratamiento para determinadas actividades, estos se ciñen a las categorías de datos personales expresamente definidas en registro de actividades de tratamiento, declarados de forma obligatoria por los responsables y, en ese sentido, no se permite tratar más datos de los referidos en estos registros o en los contratos y acuerdos de encargo, ni para finalidades distintas o en contra de las instrucciones que se les asignen; se limita el tratamiento de los mismos y se exigen compromisos durante el tiempo de vigencia de contrato y tras este, indicando la devolución o destrucción de la información que hubieran podido conocer. Todas estas actuaciones van encaminadas a garantizar la confidencialidad y el buen uso de los datos sanitarios con los que tratan las empresas externas colaboradoras en el marco de las funciones que le son encomendadas en la formalización de sus correspondientes contratos.
Con relación al aspecto de la consulta relativa a los controles que se implementan sobre los sistemas y aplicativos que traten información y datos personales de nuestros ciudadanos, se toma como referencia para ajustar su conformidad el esquema nacional de seguridad, de acuerdo a lo establecido en el Real Decreto 311/2022, de 3 de mayo, en lo que a medidas de seguridad se refiere, y a lo dispuesto por el Centro Criptológico Nacional en el perfil de cumplimiento específico para salud, la guía CCN-STIC 891, orientado a la prestación sanitaria a pacientes en lo relativo a la ejecución de los servicios de Atención Primaria y Especializada. Este perfil de cumplimiento específico para sistemas de información involucrados en el sector de salud contempla requisitos esenciales de seguridad, partiendo de un nivel medio, y reproduce la exigencia de requisitos base y refuerzos obligatorios del ENS como consecuencia del preceptivo análisis de riesgos. No debe olvidarse que la mencionada guía refleja un perfil de cumplimiento específico para los sistemas de información involucrados en el sector salud que contempla ciertos requisitos esenciales o mínimos de seguridad; no obstante, desde la Dirección General de Salud Digital se ha asumido el compromiso de elevar las medidas de seguridad por encima del nivel medio, especialmente en aquellas situaciones en las que un compromiso en la confidencialidad y la integridad se correspondan con los resultados del preceptivo análisis de riesgos. La categoría media refleja un equilibrio adecuado entre los riesgos inherentes a los sistemas que prestan servicios sanitarios y los requisitos de seguridad aplicables. Esta categoría asegura un nivel significativo de protección en todas las dimensiones clave, como confidencialidad, integridad, disponibilidad, autenticidad y trazabilidad conforme al esquema nacional de seguridad y a los análisis de riesgos específicos del sector salud. Adoptar una categoría alta implica mayores exigencias técnicas, operativas y de coste que pueden ser desproporcionadas para muchos sistemas sanitarios, especialmente en Atención Primaria y Especializada, donde la continuidad y disponibilidad del servicio, junto con la protección adecuada de datos, son esenciales, pero no siempre justifican el nivel más exigente.
Aquí es importante aclarar que el esquema nacional de seguridad establece que la determinación de la categoría de seguridad de un sistema de información se basará en la valoración del impacto que tendría sobre la organización un incidente que afectase a la seguridad de la información tratada o de los servicios prestados para alcanzar sus objetivos, proteger los activos a su cargo y garantizar la conformidad con el ordenamiento jurídico, a fin de determinar el impacto que tendría sobre la organización un incidente que afectara a la seguridad de la información tratada, a los servicios prestados; en su consecuencia, establecer la categoría de seguridad del sistema de información en cuestión. Se tendrá en cuenta las siguientes dimensiones de seguridad: confidencialidad, integridad, trazabilidad, autenticidad y disponibilidad. Aunque se exija un nivel medio, existen ciertas medidas de nivel alto, contempladas en el perfil de cumplimiento específico para la salud que se aplican a modo de refuerzos en función de riesgos específicos, entre los que destacamos controles reforzados en la autenticación, como el uso obligatorio de mecanismos avanzados para usuarios de autenticación multifactor, sms, certificados digitales, políticas y procedimientos estrictos para la gestión de incidentes de seguridad y continuidad de negocio, mediante el desarrollo de planes de continuidad y recuperación ante desastres, que aseguran la reanudación de los servicios en plazos razonables tras incidencia y protección frente a ataques específicos y de denegación Nada, terminar diciendo que el proceso es riguroso, multidimensional, abarca una validación técnico-legal previa, la exigencia, documentación y certificaciones, la limitación contractual de tratamiento de datos, la aplicación de estándares nacionales de seguridad y la formación del personal, y todo ello orientado a garantizar la confidencialidad,integridad y el buen uso de los datos personales de los pacientes en las colaboraciones con empresas privadas.'
Entradas relacionadas:
- 4 de noviembre de 2025 Comisión de Digitalización de la Asamblea de Madrid este 4 de Noviembre con preguntas sobre protección de datos de pacientes en los conciertos privados y el Centro Regional de Operaciones de Ciberseguridad
Entradas
No hay comentarios:
Publicar un comentario