skip to Main Content
ISO 27001

ISO 27001: ¿Cómo evitar la vulnerabilidad en la información?

ISO 27001

ISO 27001

Según la norma ISO 27001 la seguridad de TI comprende a todos los activos de información y como hoy en día casi todo se encuentra informatizado se extiende a casi toda la organización.

En el momento que se abra una cuenta bancaria, se efectúa el registro en un hotel, se obtiene una tarjeta de crédito, se asocia a un club, se registra en internet, etc. se obtienen datos que pueden ser mal utilizados dando lugar a ciertas vulnerabilidades.

Violar la confidencialidad de la información, por considerar sólo un aspecto, puede suponer una infracción de las obligaciones legales, como puede ser la Ley de Protección de Datos o el mantenimiento en reserva de la identidad de los donantes y receptores de órganos que establece el reglamento de Ley 24193 en Argentina.

Un ejemplo de lo que hemos hablado es la confidencialidad de las historia clínicas y los datos clínicos de los pacientes, que exponemos en el siguiente caso:

Es un recurso de amparo constitucional contra la sentencia que se dictó en la Salda de los Social del Tribunal Superior de Justicia de Cataluña.

Según los hechos declarados, la entidad demandada dispone de unos locales de empresa en los que se realizan las visitas de sus empleados facultativos de la Seguridad Social y donde se encuentran ubicados, además de todos los servicios médicos de la organización. Los servicios son prestados por cuatro médicos, tres de ellos son facultativos de un centro de salud a la misma vez que trabajadores de la entidad.

La organización cuenta con un sistema informático, con una sola base de datos, en la que existen los ficheros médicos en los que constan con los resultados de la revisiones periódicas que se realizan por los servicios médicos de la organización y las empresas médicas subcontratadas, además  como los diagnósticos médicos de todas las bajas por incapacidad temporal de los trabajadores recetadas por los facultativos de la Seguridad Social.

El fichero médico, que se encuentra individualizado, no está dado de alta como tal en la Agencia de Protección de Datos y de forma única tienen acceso a éste los facultativos y un empelado del banco, en su calidad de administrador único de informática, que se encuentra en la Jefatura de Personal, en RRHH que facilita la clave de acceso.

El empleado se dirigió de forma escrita a la entidad de crédito en la que presta sus servicios, solicitando una relación de todos los datos relativos a la salud de los trabajadores en los ficheros informáticos que posee el banco. En respuesta de dicha solicitud, el director de servicios médicos de la organización remitió al interesado los datos médicos que se referían a él y que existía en el fichero informatizado que se ha utilizado por el servicio, siendo todos las bajas temporales causadas por el trabajo, con las fechas correspondientes de alta, baja y diagnóstico, como establecen los impresos oficiales.

El empleado sigue pensando que el archivo no se encuentra dado de alta en la Agencia de Protección de Datos, por lo que no existe ningún responsable oficial del mismo y a él tiene acceso los cuatro médicos contratados por la entidad, además el trabajador del banco adscrito al área de personal que no ostenta la condición de facultativo y facilite la clave de acceso al sistema, lo que sería un atentado contra la confidencialidad de los datos.

Existe un artículo que determina que se debe dar el consentimiento del afecto para que se trate de forma automatizada de datos personales, solo que por ley se disponga lo contrario, o cuando una relación contractual dichos datos sean precisos para mantener o cumplimentar el contrato. Y ni la Ley General de Sanidad, ni las normas reglamentarias reguladores de todos los servicios médicos de la empresa y de la colaboración de las organización la Seguridad Social autorizan las creación de este tipo de fichero sin mediar el consentimiento de los afectados.

De forma única, la seguridad social puede crear este tipo de ficheros, pero cuenta con muchas limitaciones. No existe habilitación legal para crearlo, ya que solo se encuentra disponible los datos imprescindibles para cumplir con el contrato o mediante el consentimiento expreso del afectado, en este caso no fue así.

Uno de los fundamentos del fallo se indica porque la ley limita la utilización de la información con la que garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. Agrega que la llamada “libertada informáticas” es el derecho a poder controlar la utilizar de los mismos datos que se encuentran en un programa informático y comprende la oposición del ciudadano a que determinado datos personales se utilizan para fine diferentes de aquél que justificó su obtención.

El tribunal constitucional le dio la razón al trabajador y declaró que existían diagnósticos médicos en la base de datos “absentismo con baja médica”, cuya titularidad era de la entidad. Se decidió restablecer el derecho vulnerado, y ordenó la inmediata supresión de las referencias existentes a los diagnósticos médicos contenida en la citada base de datos.

Como conclusión, podemos decir que resulta imprescindible que exista una clasificación de la información que facilita la protección de los datos personales y que sólo prevé el acceso a los datos y el tratamiento de éstos por las personas que necesitan cumplir dicha función.

Sistema de Gestión de Seguridad de la Información

El Software ISOTools Excellence para ISO 27001 se encuentra diseñado para implantar un Sistema de Gestión de Seguridad de la Información en cualquier tipo de organizaciones y, entre otros aspectos, trabajar para que la comunicación de la información sea lo más segura posible.

Descargue el e-book fundamentos de gestión de Seguridad de la Información
Recibe Nuestra Newsletter
New Call-to-action
Nueva llamada a la acción
Back To Top