0/0/2013 Día/Mes/Año DOCUMENTO DE SEGURIDAD SECRETARÍA DE SALUD DEL DISTRITO FEDERAL Nombre del Sistema de Datos Personales: Nivel de seguridad: "INTERRUPCIÓN LEGAL DEL EMBARAZO ILE-TEL" ALTO Responsable del Sistema de Datos Personales Área de Adscripción: Nombre: Cargo: Responsable de Seguridad Área de Adscripción: Nombre: Cargo: Encargado de Sistema Área de Adscripción: Nombre: Cargo: Ámbito de aplicación Ley de Salud del Distrito Federal (Última actualización en la GODF: 23 de agosto de 2012), Artículos 52 y 58; Ley de Protección de Datos Personales para el Distrito Federal (GODF: 03 de octubre de 2008), Artículos 7, 8, 9, 13, 14, 15 y 18; Ley de Transparencia y Acceso a la Información Pública del Distrito Federal (GODF: 29 de agosto de 2011), Artículos 4 fracción II, 8 segundo párrafo, 10, 36 primer párrafo, 38 fracciones I y IV y 43; Ley de Archivos del Distrito Federal (GODF: 08 de octubre de 2008), Artículos 3 fracción IX, 30 fracciones VI y VII, 31, 32, 33, 34, 35 fracciones VII y VIII; Reglamento de la Ley de Transparencia y Acceso a la Información Pública del Distrito Federal (GODF: el 25 de noviembre 2011), Artículos 30 y 31; Lineamientos para la Protección de Datos Personales en el Distrito Federal (GODF: el 22 de marzo 2010), Numerales 5, 10, 11 y 12; Decreto por el que se reforma el Código Penal para el Distrito Federal y se adiciona la Ley de Salud para el Distrito Federal (GODF: 25 de abril de 2007); Acuerdo que reforma, adiciona y derogan diversos puntos de la Circular/GDF/SSDF/01/06 que contienen los Lineamientos Generales de Organización y Operación de los Servicios de Salud relacionados con la Interrupción del Embarazo en el Distrito Federal (GODF: 20 de junio de 2012), Numeral Tercero Fracción IV. Descripción del sistema: Estructura del sistema. Especificación detallada de la categoría de datos personales contenidos en el Sistema. Categoría Datos Identificativo s Datos sobre la salud de las personas Tipo de datos Origen Identificati vos Relacionad os con la salud Funciones y obligaciones del personal que intervenga en el tratamiento de los sistemas de datos personales Colectivo de personas de las que se obtienen los datos Forma de recolección Medio de actualización Tratamiento Usuaria Físico (Formatos) 5 años Confidencial Función del Responsable del Sistema: El servidor público adscrito al __________________________________ al que pertenece el sistema de datos personales, tomando en consideración que este fue designado por el ----------------------------------------------, quien tiene la capacidad y competencia para decidir sobre el tratamiento de datos personales, así como el contenido y finalidad del Sistema de Datos Personales denominado " _________________________________________". Función del Responsable de Seguridad: es el Encargado _______________________________________, ésta deberá de tener el cuidado necesario para el óptimo resguardo de los "____________________" que conforman el Sistema, siguiendo un procedimiento de control de préstamo y reguardo el cual sólo puede ser consultado por ____________________________________________________________ y en su caso por autoridad competente. Medidas, normas, procedimientos y criterios enfocados a garantizar el nivel de seguridad exigido por el artículo 14 de la Ley y en el numeral 16 de los Lineamientos. Tipos de seguridad: Física: Se refiere a toda medida orientada a la protección de instalaciones, equipos, soportes o sistemas de datos para la prevención de riesgos por caso fortuito, o causas de fuerza mayor. Los expedientes ____________________ son reguardados en la Unidad Administrativa de _______________________________________, siendo un espacio restringido al cual sólo tiene acceso el personal que labora en dicha área. Los procedimientos de notificación gestión y respuesta ante incidencias contarán necesariamente con un registro en el que se haga constar el tipo de incidencia, el momento en que se ha producido, la persona que realiza la notificación, a quién se le comunica, los efectos que se hubieran derivado de la misma y las acciones implementadas. Procedimientos de registro, notificación, gestión y respuesta ante incidencias Gestión de soportes. Procedimientos para la realización de copias de respaldo y recuperación de los datos, para los sistemas de datos personales automatizados Se realizará acta administrativa y/o ante Ministerio Público, con la finalidad de dejar constancia de los hechos ocurridos y delegar responsabilidades ante el Órgano de Control Interno o bien Autoridad Jurisdiccional competente; el responsable de notificar el siniestro es el _________________________________________. La medidas que se toman ante cualquier incidencia (inundaciones, incendios, sismos, derrumbes, roedores, sustracción): se cuenta con un Programa de Mantenimiento preventivo, fumigación y desratización; extintores; supervisión interna de las área físicas; consignas de vigilancia para el aseguramiento de la restricción del área al público y personal no autorizado. 1. Al almacenar los soportes físicos y electrónicos que contengan datos de carácter personal se deberá cuidar que estén etiquetados para permitir identificar el tipo de información que contienen, ser inventariados y sólo podrán ser accesibles por el personal autorizado para ello en el documento de seguridad. (SE DEBE ESPECIFICAR, COMO SE ENCUENTRAN ARCHIVADOS, DE QUE MANERA SE LLEVA EL CONTROL DE LOS EXPEDIENTES Y COMO SE ENCUENTRAN CLASIFICADOS PARA SU DISTINCION DICHOS EXPEDIENTES) 2. La salida de soportes y documentos que contengan datos de carácter personal, fuera de las instalaciones u oficinas bajo el control del responsable, deberá ser autorizada por éste, o encontrarse debidamente autorizada en el documento de seguridad. (SE DEBE ESPECIFICAR MEDIANTE QUE DOCUMENTO O QUE TIPO DE CONTROL SE LLEVA CUANDO ES SACADO UN EXPEDIENTE DEL ARCHIVO DONDE SE ENCUENTRA) 3. En el traslado de soportes físicos y electrónicos se adoptarán medidas dirigidas a evitar la sustracción, pérdida o acceso indebido a la información durante su transporte. (CUANDO EL EXPEDIENTE CUMPLE LA VIGENCIA CUAL ES EL PROCEDIMIENTO QUE SE SIGUE PARA SU TRASLADO AL ARCHIVO DE CONCENTRACIÓN) • Se solicita a la Subdirección de Correspondencia, Archivo y Oficina de Información Pública el procedimiento de transferencia secundaria y/o baja documental, una vez realizado se procede a transferir las cajas que contiene los expedientes clínicos al archivo de concentración. Gestión de soportes. Procedimientos para la realización de copias de respaldo y recuperación de los datos, para los sistemas de datos personales automatizados 4. Siempre que vaya a desecharse cualquier soporte que contenga datos de carácter personal, se deberá proceder a su destrucción o borrado, mediante la adopción de medidas dirigidas a evitar el acceso a la información contenida en el mismo o su recuperación posterior. (SE ESPECIFIQUE CUAL ES EL PROCEDEIMIENTO QUE SE SIGUE UNA VEZ QUE CONCLUYE LA VIDA UTIL DEL EXPEDIENTE Y SE SOLICITA SU DESTRUCCIÓN) • Se deberá realizar la solicitud correspondiente ante el Comité Técnico Interno de Administración de Documentos de la Secretaría de Salud del Distrito Federal con la finalidad integrar la documentación correspondiente a efecto de autorizar la baja documental de la información. 5. Deberán establecerse procedimientos para la realización de copias de respaldo y su periodicidad. En caso de que los datos personales se encuentren en soporte físico, se procurará que el respaldo se efectúe mediante la digitalización de los documentos. (QUE MEDIDAS SE ADOPTAN PARA EMITIR UNA COPIA DE RESPALDO, SI ES QUE SE LLEVAN A CABO) 6. Asimismo, para soportes electrónicos se establecerán procedimientos para la recuperación de los datos que garanticen en todo momento su reconstrucción en el estado en que se encontraban al tiempo de producirse la pérdida involuntaria o destrucción accidental. Procedimientos para la realización de auditorías Este es realizado por el Órgano de Control Interno de la Dependencia. Procedimientos para la realización de Supervisión Distribución de soportes Registro de acceso Telecomunicaciones La distribución de los soportes que contengan datos de carácter personal se realizará cifrando dichos datos, o bien utilizando cualquier otro mecanismo que garantice que dicha información no sea inteligible ni manipulada durante su traslado o transmisión. El acceso a los sistemas de datos personales se limitará exclusivamente al personal autorizado, estableciendo mecanismos que permitan identificar los accesos realizados en el caso en que los sistemas puedan ser utilizados por múltiples autorizados. Los mecanismos que permiten el registro de accesos estarán bajo el control La transmisión de datos de carácter personal a través de redes públicas o redes directo del responsable de seguridad correspondiente, sin que se permita la inalámbricas de comunicaciones electrónicas se realizará cifrando dichos datos, desactivación o manipulación de los mismos. o bien utilizando cualquier otro mecanismo que garantice que la información no cada sea inteligible manipulable por terceros. De acceso seniguardarán, al menos, la identificación del usuario, la fecha y hora en que se realizó, el sistema accedido, el tipo de acceso y si éste fue autorizado o denegado. Se utilizan en los Expedientes Clínicos en estado Físicos: • Vale múltiple de expediente clínico (sale para otorgar consulta externa, Comités, sálida a las áreas Jurídicas y Servicios Médicos y Urgencias cuando son solicitados); • Vale Individual (paciente hospitalizado, requerido por autoridad competente, revisión de caso clínico) Se utilizan en los Expedientes Clínicos soporte electrónico: Historia Clínica, Notas Médicas; no se incluyen los examénes de laboratorio, patología e imagenología. _________________ Responsable del Sistema de Datos Personales ____________________ _________________ Responsable de Seguridad Encargado de Sistema