Boletín Oficial de las Cortes de Aragón
PROCEDIMIENTOS DE CONTROL E IMPULSO - Preguntas - Para respuesta escrita - Respuestas
Respuesta escrita del Consejero de Sanidad a la Pregunta núm. 310/23-XI, relativa a la protección de datos sanitarios (BOCA 20, de 8 de noviembre de 2023).
Boletín Oficial de las Cortes de Aragón n°:29 (XI Legislatura)
Existen en los dispositivos sanitarios del Servicio Aragonés de Salud algunos sistemas basados en inteligencia artificial, embebidos en los propios dispositivos médicos, en tareas de ayuda al análisis e interpretación de las señales e imagen médica.
También se utilizan algoritmos en evaluación de riesgo de determinados tipos de pacientes, utilizándose como sistemas de ayuda para hacer más eficiente la toma de decisiones, pero en ningún caso se utilizan en funciones asociadas al diagnóstico o decisiones terapéuticas de forma automatizada y autónoma.
Los algoritmos embebidos en dispositivos son habitualmente propietarios del fabricante y forman parte de características técnicas de los equipos adquiridos.
Los datos sanitarios son gestionados únicamente por las empresas que, siendo contratadas por el Departamento de Sanidad o sus organismos dependientes, necesitan acceder a datos sanitarios para prestar los servicios para cumplir adecuadamente con lo exigido en dicho contrato (ejemplos: servicio de tratamientos respiratorios a domicilio, compras de implantes, realización de pruebas diagnósticas…).
La garantía de cumplimiento de la ley de protección de datos para dicha gestión está regulada en los Pliegos de Prescripciones Administrativas Particulares (PCAP), de los propios expedientes de contratación.
El Gobierno de Aragón utiliza Pliegos tipo de los PCAP y son públicos y accesibles desde la web del Gobierno de Aragón (https://www.aragon.es/-/pliegos-tipo) y desde el perfil del contratante en los propios expedientes de contratación.
Adicionalmente a este anexo, se incluyen cláusulas de cumplimiento de solvencia técnica de la certificación y conformidad de la empresa contratada en el Esquema Nacional de Seguridad, sobre todo cuando el contrato está relacionado con sistemas de información que tratan datos personales. Esto se exige considerando lo dispuesto en el artículo 2 del Real Decreto 311/2022, de 8 de mayo de 2022, por el que se regula el Esquema Nacional de Seguridad, y la Resolución, de 13 de octubre de 2016, de la Secretaría de Estado de Administraciones Públicas, por la que se aprueba la Instrucción Técnica de Seguridad de conformidad con el Esquema Nacional de Seguridad, donde se describe la obligación de exigir a los operadores del sector privado que presten servicios o provean soluciones a las entidades públicas, de conformidad con el Esquema Nacional de Seguridad.
Por último, los permisos de acceso a datos y el almacenamiento de los mismos se articulan cumpliendo con las normas establecidas a través de la Política de Seguridad de la Información publicada en la Orden SAN/1104/2022 del BOA de 25/07/2022. (Se adjunta Orden SAN/1104/2022).
Zaragoza, a 11 de diciembre de 2023.
El Consejero de Sanidad
JOSÉ LUIS BANCALERO FLORES