Boletín nº 3 año 2010

Oficina de Seguridad: Las redes sociales y el Código de buenas prácticas

Una red social es una estructura en la que hay individuos que se relacionan entre sí, ya sea por amistad, parentesco, intereses o porque desean compartir conocimientos.

En un mundo digital como el de hoy, las redes sociales se han convertido en un nuevo fenómeno de la comunicación. Sin salir de tu habitación, interactúas con un número infinito de personas que quieren compartir contigo un sinfín de experiencias.

La dimensión de las redes sociales es de una magnitud sin precedentes: nada menos que 41,7 millones de usuarios habituales en Europa... y el número aumenta sin cesar.

 

Hay diferentes tipos de redes sociales:

  • Redes de intercambio de contenidos (P2P, Youtube, Googlevideo, etc.), donde se intercambian películas, vídeos, fotos…
  • Redes basadas en perfiles (Facebook, Tuenti, Wamba…), que son las más populares. Se intercambian texto e imágenes sin tener que instalar ningún tipo de programa.
  • Aparte de las redes de ocio, también hay redes sociales de contenido profesional, como Linkedin, y también algunas específicas del ámbito sanitario, como Medting, Esanum, Sermo, Diigo, Connotea, Medbook...

Las redes P2P y la protección de datos

¿Qué riesgos conllevan las redes sociales? ¿Podemos evitarlos? ¿Qué ocurre con la protección de los datos personales?

Podemos distinguir varias situaciones de riesgo dentro del ámbito de las redes sociales basadas en perfiles:

  • Cuando el usuario se registra y configura su perfil: este punto es fundamental, ya que en este momento el usuario decide qué datos quiere publicar y con qué grado de privacidad. Hay que destacar que una mala configuración del perfil del usuario puede afectar a terceras personas, porque puede haberse publicado información compartida.
  • Durante el uso de la red social: los usuarios pueden publicar datos y fotos de terceras personas sin haber recabado antes su consentimiento.
  • Cuando el usuario solicita la baja del servicio: como ya hemos comentado en el punto anterior, otros usuarios pueden disponer de nuestra información personal y seguir publicándola, incluso en el caso de que hayamos dado de baja la cuenta.

Fundamentalmente queremos resaltar la importancia de la cautela en el uso de las redes sociales. Por ello debemos darnos cuenta de la cantidad de datos personales que exponemos al público: datos de salud, ideología, religión, fotos…

Por eso la Oficina de Seguridad de la Oficina de las Tecnologías de la Información y las Comunicaciones (OTIC) del Servicio de Salud recuerda con carácter general que el Código de buenas prácticas en el uso de los sistemas de información y el tratamiento de los datos de carácter personal —aprobado por la Circular 04/09, de 28 de abril de 2009, del director del Servicio de Salud— establece que hay que evitar el uso de equipos o aplicaciones que no estén directamente especificados como parte del software o del hardware estándar del Servicio de Salud (4.1.3).

También dispone que, si es necesario instalar programas ajenos al estándar establecido, debe solicitarse la autorización del responsable del servicio y es necesaria la valoración previa del servicio de informática (4.3.2). Este último precepto es especialmente importante cuando sea necesario hacer una pequeña instalación para alguna de las redes sociales no profesionales de intercambio.

En el uso de las redes sociales no profesionales y en el ámbito doméstico, a fin de evitar en lo posible la pérdida o la sustracción de los datos personales, deberíamos seguir las recomendaciones finales siguientes:

  • No publicar demasiada información personal.
  • Configurar correctamente el grado de privacidad del perfil del usuario.
  • Usar seudónimos y no necesariamente la identidad verdadera.
  • Notificar a terceras personas la información que se va a publicar sobre ellas y conseguir su autorización si es requerida.
  • No intercambiar nombres de usuario ni contraseñas.

La participación en las páginas oficiales de los organismos del Servicio de Salud que están en las redes sociales no profesionales supone la aceptación de las normas de uso y además no debe convertirse en un recurso para la comunicación interna en esta institución. En estos casos, la página se crea fundamentalmente para potenciar la interacción con los ciudadanos, como parte de la llamada Web 2.0, y no como vía de comunicación interna entre los profesionales.

No deben utilizarse nombres de organismos del Servicio de Salud para crear páginas de particulares en las redes sociales no profesionales. Si se crean grupos, debe quedar clara la categoría "por diversión" (nunca "página oficial"), y debe evitarse utilizar el nombre de la institución, a no ser que forme parte de una frase (p. ej, "Grupo de amigos que trabajan en el Hospital H").

El uso proporcionado de las redes sociales profesionales que estén relacionadas con las funciones laborales de cada persona puede beneficiar las labores de investigación y desarrollo en el ámbito del Servicio de Salud. Hay que extremar la precaución para no difundir información confidencial —en especial datos clínicos de pacientes junto con datos identificativos—, a la cual no debe tener acceso personal indebido, como recuerda el apartado 3.5.5 del Código de buenas prácticas. En este sentido, el apartado 7.7.7 dispone que se considera como uso incorrecto del servicio de acceso a Internet publicar información relacionada con el Servicio de Salud, para lo que se requiere una autorización expresa.

Código de buenas prácticas interactivo

Como ya sabe, a mediados del año pasado fue aprobado el Código de buenas prácticas en el uso de los sistemas de información y en el tratamiento de los datos de carácter personal del Servicio de Salud de las Islas Baleares.

Con el fin de hacerle partícipe de este Código de una manera más didáctica, hemos puesto a su disposición un curso interactivo al cual puede acceder desde la dirección https://formacio.ssib.es, en el que se incluyen casos prácticos, preguntas específicas, conceptos legales y buenas prácticas en el uso de los sistemas de información.

El curso interactivo estará disponible hasta el 31 de enero de 2011; para iniciar el proceso de matriculación y seguir el curso solamente necesita disponer de una identificación de usuario "S" y de una conexión a Internet.

Cabe señalar que este curso está actualmente en el trámite de acreditación a cargo de la Escuela Balear de Administración Pública. Para cualquier otra información adicional sobre el curso, no dude en ponerse en contacto con la Oficina de Seguridad escribiendo a la dirección de correo electrónico Esta dirección de correo electrónico está siendo protegida contra los robots de spam. Necesita tener JavaScript habilitado para poder verlo..


Preguntas más frecuentes sobre el Código de buenas prácticas

Continuando la labor iniciada en boletines anteriores, en este número le mostramos las preguntas más frecuentes surgidas sobre el capítulo relativo al uso de los recursos informáticos (capítulo IV) y al Código de buenas prácticas interactivo.

¿Se pueden utilizar los recursos informáticos para uso personal?

 Nunca. Solo deben usarse para las labores propias del personal de acuerdo con las funciones que tenga asignadas.

¿Cuáles son las prácticas que hay que evitar para no comprometer las medidas de seguridad establecidas por el Servicio de Salud?

 No hay que usar ni software ni hardware que no sea estándar del Servicio de Salud.

 No debe modificarse la configuración establecida en los recursos.

 No hay que sacar los equipos de los locales excepto que esté autorizado previamente.

 No deben hacerse conexiones a redes o a sistemas externos a través de otros medios que no sean los definidos y administrados por el personal informático competente.

 No hay que extraer ni utilizar información confidencial o datos de carácter personal en entornos que no estén protegidos o configurados adecuadamente.

 No deben trasladarse fuera de las instalaciones habituales de trabajo datos o información alguna sin la autorización correspondiente.

 No hay que destruir, alterar o inutilizar los recursos informáticos, los programas, los datos, los soportes ni los documentos.

 No hay que intentar descifrar las claves.

 No deben modificarse ni desactivarse los mecanismos de seguridad implantados.

 No hay que acceder a la información que no sea necesaria para el desarrollo de las funciones de cada persona.

¿Se puede utilizar el navegador o el correo electrónico corporativo para uso personal?

 Nunca. Solo se pueden utilizar el navegador o el correo electrónico para uso personal si el usuario está autorizado para ello.

¿Se puede descargar música, películas y juegos de ocio en el equipo?

 Nunca. Las unidades ofimáticas no deben utilizarse para fines privados, ya que constituyen una herramienta de trabajo y tienen capacidad limitada.

¿Se pueden instalar programas personales en el equipo?

 Nunca, salvo que se tenga la autorización del responsable del servicio y del servicio de informática.

¿Qué medidas puede tomar para evitar virus y otros ficheros maliciosos?

 Ante la sospecha de una infección por virus, debe notificar la incidencia de acuerdo con el procedimiento correspondiente.

 Debe adoptar todas las precauciones posibles al ejecutar cualquier programa.

 Debe evitar ejecutar archivos adjuntos recibidos por correo electrónico y visitar páginas de Internet de contenidos de legalidad o moralidad dudosas.