Seguritecnia 397

28 SEGURITECNIA Mayo 2013 Seguridad en Centros Hospitalarios cipios contenidos en la legislación vi- gente, en particular la LOPD, su Re- glamento de Desarrollo, el Real De- creto que aprueba a éste último y la Instrucción 1/2006, de 8 de noviem- bre, de la AEPD sobre el tratamiento de datos personales con fines de vigi- lancia a través de sistemas de cámaras o videocámaras. La legitimidad del uso de los siste- mas de videovigilancia pasa por que los ficheros se encuentren dados de alta ante la citada Agencia, por que exista la información necesaria a los usuarios, por que el uso al que se des- tine sea el declarado en el documento de registro del fichero y por que la vi- sualización de imágenes y su trata- miento la realice el personal de segu- ridad privada debidamente habilitado. Con carácter general, las imáge- nes generadas por un sistema de videovigilancia tendrán un nivel bá- sico, si bien debe evaluarse el artículo 81 del Reglamento de desarrollo de la LOPD a fin de verificar el contenido del fichero. S œ No mantener copias de ficheros prote- gidos sin las debidas garantías. œ No instalar software no autorizado, ante la posibilidad de que contengan programas maliciosos. œ La posición de las pantallas de los or- denadores e impresoras no debe fa- cilitar que personas no autorizadas vi- sualicen los datos. La aplicación de tecnologías de con- trol de acceso (tarjetas de identificación, lectores de huella, etc.) puede ayudar a mejorar las medidas de autenticación a equipos informáticos. Cámaras de vigilancia Finalmente, dentro de la protección de datos en entornos hospitalarios no po- demos obviar, por su especial sensi- bilidad, las imágenes recogidas por cámaras de vigi lancia. La Guía de Videovigilancia de la Agencia Espa- ñola de Protección de Datos (AEPD) explica cómo debe realizarse la cap- tación y el tratamiento de imágenes con fines de seguridad, e indica que deben respetarse y aplicarse los prin- Las medidas de seguridad que con- templa el Reglamento para los ficheros automatizados y no automatizados son las que aparecen en la tabla 1. Las medidas de seguridad exigidas en el Reglamento para cada tipo de ni- vel son las que aparecen en la tabla 2. A su vez, estas medidas pueden cla- sificarse en dos grupos, aunque alguna de ellas pueda tener aspectos pertene- cientes a ambos (ver tabla 3). Factor humano En opinión de los expertos, posible- mente el factor humano haya sido hasta ahora el “punto débil” en la cadena de seguridad de los datos sensibles. El artículo 10 de la LOPD trata el deber de secreto. Dice textualmente: “El res- ponsable del fichero y quienes interven- gan en cualquier fase del tratamiento de los datos de carácter personal están obli- gados al secreto profesional respecto de los mismos y al deber de guardarlos, obligaciones que subsistirán aun des- pués de finalizar sus relaciones con el ti- tular del fichero o, en su caso, con el res- ponsable del mismo”. Este deber afecta a cualquier supuesto en el que se revele o comunique información protegida tanto a terceras personas como a otras, aun- que sean del propio centro, si no están debidamente autorizadas. El responsable de un fichero deberá establecer las medidas de control de acceso necesarias para que únicamente el personal autorizado pueda alterar el contenido del mismo, de acuerdo con el perfil profesional y competencias la- borales que le hayan sido asignadas. La medida de autenticación del ac- ceso suele estar establecida por medio de un código y contraseña. Esta medida requiere una campaña de divulgación entre los usuarios, a fin de garantizar su confidencialidad. A los usuarios se les debería informar sobre la conveniencia de tener en cuenta aspectos como: œ No facilitar sus datos identificativos a ninguna persona, y cambiar su contra- seña periódicamente. œ No mantener visibles en sus puestos de trabajo anotaciones relativas a con- traseñas. Aunque entendemos como seguridad de los datos su confidencialidad, no debemos olvidar que su integridad y disponibilidad son básicas