¿Cumplimos con la LOPD almacenando copias de seguridad de los datos de los pacientes en la nube?

Ante la gran cantidad de posibilidades que nos ofrecen las nuevas tecnologías, de poder realizar copias de seguridad incluso de manera gratuita, lo que nos proporciona una gran comodidad y un gran ahorro en el desarrollo de nuestros negocios, debemos de preguntarnos si estas copias cumplen con la normativa actual de protección de datos.

¿Qué implicaciones tiene respecto de la Ley Orgánica de protección de datos 15/1999, de 13 de Diciembre, el almacenamiento de las historias clínicas o datos de salud, en “la nube”?
¿Qué garantías nos ofrecen sistemas de almacenamiento como Dropbox, por ser uno de los alojamientos más utilizados?

Es obligatorio cumplir con las medidas de seguridad que establece la Ley Orgánica de protección de datos 15/1999, de 13 de Diciembre y el Reglamento de desarrollo de la LOPD, que obligan claramente a tener en cuenta una serie de requisitos, recogidos en los artículos 33 y 34 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (LOPD) y en el Título VI del Reglamento de desarrollo de la Ley Orgánica de Protección de Datos de Carácter Personal, aprobado por el Real Decreto 1720/2007, de 21 de diciembre, (RLOPD), en el que se recoge ampliamente la necesidad de contar con una copia de seguridad fuera de las instalaciones donde se encuentren los soportes informáticos y cumplir con las medidas establecidas en caso de que al realizarse dichas copias se esté produciendo una transferencia internacional de datos, (tratamiento de datos que supone una transmisión de los mismos fuera del territorio de la Unión Europea), debido a que amplias soluciones de almacenaje gratuitas en mayor medida, se ofrecen desde otros países fuera de la Unión Europea, como es el caso de EEUU.

El almacenaje de los datos, deberá garantizar, en todo momento que cumple con las medidas de seguridad exigidas en la LOPD. Es en este momento, cuando toda empresa debería cerciorarse de que es así, ya que el incumplimiento supondría una ilegalidad, y podría suponer la imposición de una sanción calificada como muy grave. Deberíamos tener en cuenta que la contratación de servicios de cloud computing, se realizara a través de un contrato de prestación de servicios. Resulta imprescindible que ese contrato incorpore entre sus cláusulas las garantías a las que obliga la Ley Orgánica de Protección de Datos. Deberíamos comprobar si el país donde se aloja la copia, está reconocido por la Agencia Española de protección de datos, como que reúne las garantías para la transferencia de datos. En el caso de que se vaya a realizar no obstante una transferencia internacional, (tratamiento de datos que supone una transmisión de los mismos fuera del territorio de la Unión Europea), estaríamos realizando una transferencia internacional. Por ejemplo, cuando almacenamos ficheros con datos personales en Dropbox.

Sería necesario en ese momento notificarlo a la Agencia Española de Protección de datos a la hora de inscribir los ficheros, en el apartado dedicado a tal efecto en el sistema NOTA. Y si además el servicio que se va a utilizar para gestionar los datos personales, no ofrece un nivel adecuado de protección, es necesario obtener la autorización de la Directora de la Agencia española de protección de datos

La Agencia Española de Protección de Datos establece qué países además de los del EEE ofrecen un nivel de protección adecuado, y cuáles no

¿Cómo regularizar la situación si se realizan transferencias internacionales de datos a países no seguros?

Notificar a la AGPD la transferencia internacional
Firmar con la empresa que proporciona el servicio un compromiso de confidencialidad y de garantías de los datos que incluya las denominadas Cláusulas Contractuales Tipo
Solicitar autorización al Director de la AGPD para la transferencia internacional.
Acogerse a alguna de las excepciones del artículo 34 de la LOPD. “Cuando el afectado haya dado su consentimiento inequívoco a la transferencia prevista”. Para eso, hay que solicitar a los usuarios de los que se traten datos personales el consentimiento expreso e inequívoco para la transferencia, indicándoles que serán tratados en un servicio que no alcanza el nivel adecuado de protección de datos según la normativa europea.

Aunque la solución más eficaz y más segura es que los datos sean almacenados en territorio de la Unión Europea.
Enlaces relacionados:

Sistema NOTA

https://www.agpd.es/portalwebAGPD/canalresponsable/inscripcion_ficheros/Notificaciones_tele/que_es/index-ides-idphp.php

Transferencias internacionales de datos (AEPD)

https://www.agpd.es/portalwebAGPD/canalresponsable/transferencias_internacionales/index-ides-idphp.php

Modelo autorización de transferencia de datos

https://www.agpd.es/portalwebAGPD/resoluciones/autorizacion_transf/common/pdfs/MODELO-DEFINITIVO-AEPD_Contrato-encargado-subencargado-21-03-2012.pdf

COOKIES	FINALIDAD	PERÍODO DE CONSERVACIÓN	TITULARIDAD
PHPSESSID	Mantener una sesión de usuario anónimo en el servidor.	SESIÓN	PROPIA
wordpress_test_cookie	Cookie necesaria para el funcionamiento de la Web	SESIÓN	PROPIA
moove_gdpr_popup	Cookie para el tratamiento de las cookies	1 año	PROPIA

¿Cumplimos con la LOPD almacenando copias de seguridad de los datos de los pacientes en la nube?

Sobre el autor

Ana Maria Sanchez Herraez

Entradas recientes

Categorías

Archivos

¿Cumplimos con la LOPD almacenando copias de seguridad de los datos de los pacientes en la nube?

Sobre el autor

Ana Maria Sanchez Herraez

Artículos Relacionados

Protección de datos y video vigilancia: 5 datos claves

La AEPD investiga las imágenes generadas por IA de menores en Badajoz

Cómo hacer frente al ransomware

¿Qué alternativas hay a las contraseñas?

Entradas recientes

Categorías

Archivos

Etiquetas