La Gerencia Regional de Salud establece su política de Seguridad de la Información y Protección de Datos

Consejo de Gobierno del 21 de agosto de 2023

Castilla y León | Consejería de Sanidad

La Junta de Castilla y León, a través de su Decreto 22/2021, regula la política de seguridad de la información y protección de datos en la Administración General de la Comunidad, estableciendo asimismo que sus organismos autónomos puedan aprobar su propia política de seguridad de la información y protección de datos.

En este contexto, el Consejo de Gobierno ha dado luz verde hoy al Decreto por el que se aprueba este ámbito de actuación en la Gerencia Regional de Salud y se establece su estructura funcional, su desarrollo y la gestión de la seguridad de la información y protección de datos en Sacyl.

Los objetivos son, atendiendo a su estructura territorial y funcional y a que recaba informaciones especialmente protegidas en sus sistemas para el ejercicio de las competencias sanitarias, establecer requisitos para proteger la información, los equipos y servicios tecnológicos que sirven de soporte para la mayoría de los procesos desarrollados por la Gerencia Regional de Salud; y garantizar el derecho a la protección de datos de todas las personas físicas que se relacionan con Sacyl, asegurando el respeto al derecho al honor, a la intimidad y otros derechos de los usuarios en relación con la salud durante el tratamiento de los diferentes tipos de datos personales, procedentes de distintas fuentes y con fines diversos, de los que sean responsables la Administración sanitaria asistencial pública castellana y leonesa, sus centros y organismos a ella adscritos.

Para tal fin, la norma aprobada establece una estructura de la política de seguridad de la información y protección de datos que, tanto a nivel central como periférico, se constituye por diferentes órganos colegiados y responsables directos.

En lo referente al desarrollo de esta política, se plantean cuatro niveles. En primer lugar, el desarrollo de este Decreto; un segundo nivel lo constituirán las normas de seguridad que uniformicen usos concretos en el sistema y que indiquen las responsabilidades de los usuarios; los procedimientos operativos de seguridad que se orienten a la resolución de tareas consideradas críticas por los perjuicios que provocarían actuaciones inadecuadas en los sistemas de información se englobarían en el tercer estadio; y, por último, el cuarto nivel sumará a este desarrollo guías técnicas y de seguridad para proporcionar a los usuarios recomendaciones y pautas a seguir para la correcta implementación de medidas concretas de seguridad sobre la infraestructura tecnológica que soporta la información y los servicios de la Gerencia Regional de Salud.

Para la gestión de la seguridad de la información se realizarán análisis de riesgos y evaluación continua del impacto de la protección de datos en la organización; también se auditará, al menos bienalmente; un registro de actividades de tratamiento de datos personales estará implementado y será accesible a través de los portales de transparencia de la sanidad castellana y leonesa y del Gobierno Abierto de la Junta; y se desarrollarán actividades formativas específicas orientadas a la concienciación y a la formación de los trabajadores de la Gerencia Regional de Salud.

Por último, el Decreto hoy aprobado establece una serie de obligaciones para los profesionales usuarios de los sistemas de información de Sacyl: cumplir la política de seguridad de la información y protección de datos de la Gerencia Regional de Salud; conocer y cumplir los códigos de conducta y buenas prácticas referidos a este ámbito; cumplir con las obligaciones emanadas de la normativa en materia de protección de datos; y colaborar en la implementación, mejora y requisitos para una adecuada seguridad de la información y protección de datos en la Administración sanitaria asistencial de Castilla y León.