Política para el Tratamiento de Datos Personales
AVISO DE PROTECCIÓN DE DATOS
ALCANCE
Esta política de tratamiento de datos personales será aplicada a todos los datos personales que sean recolectados, almacenados, consolidados, procesados, analizados y difundidos, a través de los diferentes repositorios institucionales cuyos datos se recolectan de manera digitales y física en el Ministerio de Salud Pública. Así como para los datos recolectados por las dependencias del Ministerio de Salud Pública por medio de mecanismos de consulta con otras instituciones públicas y/o privadas.
Esta política es de acceso público, toda persona, puede disponer de su información en la medida que se encuentre publicada.
OBJETO
Mediante la presente política, el Ministerio de Salud Pública establece los procedimientos para que el titular del dato personal ejerza sus derechos respecto del tratamiento que la Autoridad Sanitaria Nacional realiza acorde al ordenamiento legal vigente.
DATOS QUE SE RECOLECTA
El Ministerio de Salud Pública recolecta datos, personales y relativos a la salud tales como: cedula de ciudadanía, nombres y apellidos, fecha de nacimiento, sexo, estado civil, nacionalidad, etnia, edad, lugar de nacimiento, instrucción, profesión, Información Clínica, a través de los mecanismos físicos, digitales, sistemas y portales web que se detallan a continuación:
Portales Web – Sistemas |
PRAS |
EXTERNALIZACION |
TAMIZAJE |
APLICACIONES.MSP.GOB.EC |
CORESALUD |
RPIS |
VACUNACIONCOVID19 |
EPICOVIDCOVID-19-PCR |
SGRDACAA |
SGRDACAA-SIG |
SGRDACAA-AMED-EXTERNOS |
SGRDACAA-ADMISION |
SGRDACAA-ENFERMERIA |
SGRDACAA-AMED |
VIEPI |
FICHATECNICADM |
FICHATECNICAMED |
SGR-PLAZAS |
SIL |
RDACAAA |
SIGHOS |
SAIS |
HOSVITAL |
Agendamiento SIRRCPAD |
Emergencia F008 |
SIGESH |
SISHRZ |
SISTEMA DE GESTION HOSPITALARIA – PICHINCHA |
SYSHPVC |
SYS-HEP |
HGDZ |
SISTEMA DE GESTION HOSPITALARIA – STO DOMINGO |
SIGHVCM |
SCH HOSPITAL |
SAAS – Sistema Automatizado de Atención de Salud |
SIHUG |
SIHUG |
KYRIOS |
SIAM SISTEMA INTEGRAL DE ATENCION MEDICA |
MEGAN |
SGI-MUERTE VITAL |
Y otras herramientas que se creen para el efecto |
El Ministerio de Salud Pública no comparte información sobre datos personales a terceros, salvo los casos previstos en el ordenamiento jurídico.
FINALIDAD
El Ministerio de Salud Pública, tratará los datos personales y la información que se genere de estos para:
- Garantizar el acceso a los servicios de salud relacionados a aspectos misionales de la institución;
- Cuidar el estado de salud del titular;
- Garantizar la prevalencia del interés público en salud;
- Aplicar, controlar, y vigilar el cumplimiento de la Ley Orgánica de Salud; y, las normas relacionadas.
- Proporcionar asistencia y servicios.
- Proporcionar información basada en las necesidades, responder a las solicitudes, y proporcionar avisos de nuevos desarrollos de servicios
- Proporcionar información relativa a foros en línea y redes sociales. Algunos servicios disponibles en los sitios web permiten participar en discusiones interactivas, publicar comentarios, oportunidades u otro contenido en un tablón de anuncios o intercambio, o participar en actividades de redes.
- Recopilar, informar y/o verificar información.
- Evaluar el uso de los productos y servicios del Ministerio de Salud Pública
- Obtener retroalimentación o aportación del usuario, con el fin de mejorar y ofertar productos y servicios.
- Evaluar y dar seguimiento a la política en salud que se implementa a nivel Nacional, orientando y focalizando las intervenciones para cumplir las metas establecidas.
- Tratar los datos personales, para fines de investigación científica, según lo establecido en la normativa nacional vigente sobre investigaciones en salud o en modelos de gestión interna.
- Tratar los datos personales, para fines de vigilancia de la salud.
PROCESO PARA EJERCER EL DERECHO DE LOS TITULARES DE LOS DATOS PERSONALES
El Ministerio de Salud Pública, reconoce a los titulares de datos personales, el acceso; rectificación y actualización; eliminación; oposición; limitación; y, suspensión al tratamiento que se realice sobre la información de sus datos personales, garantizando el cumplimiento de la norma vigente.
Para garantizar el cumplimiento de los derechos del titular de la información, se realizará el siguiente procedimiento:
- El titular de la información y/o representante legal puede acceder a su información a través de una solicitud dirigida a la máxima autoridad del nivel desconcentrado y/o establecimiento de salud según corresponda, de manera presencial o a través de la plataforma ec. La instancia correspondiente notificará la respuesta al usuario en el plazo determinado en la normativa vigente.
- El titular de la información y/o representante legal, debe ingresar, a través de la plataforma ec, la solicitud de rectificación y actualización; eliminación; oposición; limitación; y/o, suspensión dirigida al responsable del tratamiento de datos personales; y, adjuntar los documentos justificativos, según sea el caso.
- El responsable del tratamiento de datos personales del Ministerio de Salud Pública, analizará la procedencia del requerimiento en coordinación con las instancias correspondientes.
- En caso de ser procedente, el Ministerio de Salud Pública a través de las instancias técnicas, ejecutará las acciones correspondientes, para el cumplimiento del requerimiento, y notificará al titular de los datos personales en un plazo no mayor a quince (15) días.
- En caso de no ser procedente, el Ministerio de Salud Pública a través del responsable de tratamiento de datos personales notificará la respuesta al titular de los datos personales, debidamente justificada, dentro del plazo de quince (15) días.
NOTIFICACIONES CUANDO EXISTAN CAMBIOS EN LA POLÍTICA
El Ministerio de Salud Pública, se reserva el derecho de actualizar esta política por necesidad institucional, acorde al ordenamiento legal vigente.
MEDIDAS PARA PRECAUTELAR LA SEGURIDAD DE LOS DATOS PERSONALES
El Ministerio de Salud Pública protege la seguridad de los datos personales conforme a los principios de seguridad de la información (confidencialidad, integridad y disponibilidad) y al cumplimiento del Esquema Gubernamental de Seguridad de la Información (EGSI).
Las medidas adoptadas sobre seguridad informática para los sistemas del MSP son las siguientes:
No. | Características | Definición |
1 | Equipamiento de Seguridad Perimétrica | La infraestructura tecnológica sobre la cual se alojen los sistemas deberá contar con equipamiento o módulo de seguridad perimétrica (Cortafuegos/Firewall) |
La infraestructura tecnológica sobre la cual se alojen los sistemas deberá contar en lo posible con cortafuegos de aplicaciones WEB (WAF) | ||
La infraestructura tecnológica sobre la cual se alojen los sistemas deberá contar en lo posible con un sistema de administración de eventos de seguridad (SIEM) | ||
2 | Equipamiento de Seguridad de Red | La infraestructura tecnológica sobre la cual se alojen los sistemas deberá contar en lo posible con un sistema de detección y respuesta incidentes de red (NDR) |
La infraestructura tecnológica sobre la cual se alojen los sistemas deberá contar en lo posible con un sistema/servicio de detección y respuesta de incidentes (MDR) | ||
3 | Canal de Comunicaciones | Los diferentes sistemas WEB serán únicamente publicados a través de canales de comunicación de manera segura a través de protocolo HTTPS y mediante certificados de seguridad SSL vigentes y otorgados por una entidad certificadora (CA) reconocida y avalada a nivel mundial. |
Mecanismos de transferencia de datos/información serán únicamente a través de protocolos SFTP o VPN (Cliente-Sitio, Sitio a Sitio) | ||
4 | Bases de Datos | Ninguna base de datos estará publicada directamente a la red de Internet |
En lo posible se utilizará enmascaramiento de bases de datos (Data Masking) en ambientes de desarrollo y prueba | ||
En lo posible se utilizará pseudo-anonimización y anonimización sobre las bases de datos en producción | ||
5 | Equipamiento de Usuario Final | Los equipos de usuario final (PC), deberán contar con licenciamiento de antivirus vigente |
La infraestructura tecnológica sobre la cual se alojen los sistemas deberá contar en lo posible con un sistema de detección y respuesta de incidentes de punto final (EDR) |
Los sistemas del MSP, deberán cumplir obligatoriamente con los parámetros técnicos establecidos en el “Estándar de seguridad de la información para adquisición, desarrollo y mantenimiento de sistemas de información” vigente (Anexo1).
BASE LEGAL QUE SUSTENTA EL TRATAMIENTO DE LOS DATOS
El Ministerio de Salud Pública fundamenta el tratamiento que da a los datos personales en los siguientes instrumentos legales, como los que se citan a continuación:
- Constitución de la República del Ecuador
- Ley Orgánica de Salud
- Ley Orgánica de Protección de Datos Personales
- Ley Orgánica de Prevención Integral del Fenómeno Socio Económico de las Drogas y de Regulación y Control del uso de Sustancias Catalogadas Sujetas a Fiscalización
- Ley Orgánica de Discapacidades
- Código Orgánico de la Economía Social de los Conocimientos, Creatividad e Innovación
- Acuerdo Ministerial Nro. 012-2019, publicada en el Registro Oficial No. 18 de 15 de agosto 2019, mediante el cual el Ministerio de Telecomunicaciones y Sociedad de la Información expide la “Guía para el tratamiento de datos personales en la administración pública central”.
- Acuerdo Ministerial 5216 publicado en Registro Oficial Suplemento 427 del 29 de enero de 2015, con una reforma realizada en 12 de febrero de 2021, mediante el cual el Ministerio de Salud Pública expide el “Reglamento de Información Confidencial en Sistema Nacional de Salud”.
Además, se deberá considerar la normativa que la autoridad competente emita para el efecto.
TÉRMINOS Y CONDICIONES DE USO
El tratamiento de datos personales debe concebirse sobre la base del debido sigilo y secreto, es decir, no debe tratarse o comunicarse para un fin distinto para el cual fueron recogidos, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme lo dispone la Ley Orgánica de Protección de Datos Personales.
En lo que respecta a los datos relativos en salud, los responsables y encargados del tratamiento de datos, así como todas las personas que intervengan en cualquier fase de este, estarán sujetas al deber de confidencialidad, de tal manera que se garantice una seguridad adecuada de los datos personales, incluida la protección contra el tratamiento no autorizado o ilícito y contra su pérdida, destrucción o daño accidental, mediante la aplicación de medidas técnicas organizativas apropiadas. Esta obligación será complementaria del secreto profesional de conformidad con cada caso. Y se mantendrán aun cuando hubiese finalizado la relación del obligado con el responsable o encargado del tratamiento.
El Ministerio de Salud Pública no se hace responsable por la veracidad o exactitud de los datos entregados por terceros o contenida en sus repositorios físicos o digitales.
Son obligaciones del usuario:
- No dañar, inutilizar, modificar o deteriorar los canales y repositorios institucionales digitales y/o físicos a los que está teniendo acceso, ni los contenidos incorporados y almacenados en estos.
- No utilizar versiones de sistemas modificados con el fin de obtener accesos no autorizados a cualquier canal electrónico, contenido y/o servicios ofrecidos a través de estos.
- No interferir ni interrumpir el acceso, funcionalidad y utilización de canales electrónicos y redes conectados al mismo.
- Dar estricto cumplimiento al Acuerdo Ministerial 5216 publicado en Registro Oficial Suplemento 427 del 29 de enero de 2015, con una reforma realizada en 12 de febrero de 2021, mediante el cual el Ministerio de Salud Pública expide el “Reglamento de Información Confidencial en Sistema Nacional de Salud”.
Si deseas descargar la “Política para el tratamiento de datos personales en el Ministerio de Salud Pública» dar clic aquí.