CAPÍTULO I: DISPOSICIONES PRELIMINARES

ARTÍCULO 1.- FINALIDAD

FUNDACIÓN VOZANDES, a quien en adelante se le denominará como “LA FUNDACIÓN” o “FUNDACIÓN”, dicta la presente política interna con la finalidad de establecer las directrices que se deberán seguir respecto a la confidencialidad de la información custodiada por LA FUNDACIÓN; en especial, por la existencia de datos personales y datos de salud de usuarios y pacientes que reposan en los archivos físicos y digitales de LA FUNDACIÓN.

ARTÍCULO 2.- ALCANCE

La presente política interna aplica para todo el personal bajo relación de dependencia de LA FUNDACIÓN y para terceros contratados, sea por servicios complementarios, servicios profesionales, o por algún servicio en específico.

Asimismo, se incluye en este segmento a todos los miembros de la Junta Directiva de LA FUNDACIÓN, así como a sus administradores.

ARTÍCULO 3.- MARCO NORMATIVO

Este procedimiento tiene su fundamento en las siguientes disposiciones normativas:

• Ley Orgánica de Protección de Datos Personales; y,
• Reglamento para el manejo de información confidencialidad en el Sistema Nacional de Salud.

ARTÍCULO 4.- DEFINICIONES

Para efectos de la interpretación y aplicación de esta política interna, se tomarán en cuenta las siguientes definiciones:

1. Archivo clínico: Es el lugar físico donde reposan las historias clínicas de forma centralizada, ordenada y segura. Se divide en activo y pasivo.
2. Dato personal: Es aquel dato que identifica o hace identificable a una persona natural, directa o indirectamente.
3. Dato relativo a la salud: Aquel dato personal relacionado a la salud física o mental de una persona, incluida la prestación de servicios de atención sanitaria, que hace énfasis sobre su estado de salud.
4. File del trabajador: Archivo que contiene toda la información relacionada del trabajador de LA FUNDACIÓN, incluyendo, pero no limitando a: contrato, llamados de atención, ascensos, hoja de vida, certificados, entre otros.
5. Historia clínica: Documento legal que contiene información pormenorizada y ordenada de todos los datos personales y de salud relativos al paciente, que incluye sus antecedentes, estado actual de salud y evolución, así como los procedimientos y tratamientos recibidos.
6. Información confidencial: Es aquella información que se guarda con sigilo y reserva y únicamente se proporciona a su titular o a un tercero debidamente autorizado por el propietario.
7. Parte reveladora: La persona que suministra o facilita el acceso a información confidencial a otra.
8. Parte receptora: La persona que reciba o acceda a información confidencial.

CAPÍTULO II: TRATAMIENTO DE LA INFORMACIÓN CONFIDENCIAL

ARTÍCULO 5.- DE LA CONFIDENCIALIDAD

Todos los miembros de la Junta Directiva, administradores, trabajadores y contratistas de FUNDACIÓN se obligan a mantener en reserva y confidencialidad toda la información que se suministre o a la que tengan acceso con ocasión de la ejecución de sus actividades.

De la misma forma, la información a la que tengan acceso podrá ser utilizada únicamente para las actividades por las que fueron contratados o aquellas que ejecutan por mandato legal.

La parte receptora se compromete a guardar absoluta confidencialidad de la información que tuvo o tuviere acceso, absteniéndose de revelarla a terceros.

La parte receptora se obliga de manera expresa a no divulgar, ni usar para sí, o para perjudicar a los colaboradores de LA FUNDACIÓN, ni revelar la información proporcionada por este, salvo que exista una autorización expresa y escrita de LA FUNDACIÓN en ese sentido.

ARTÍCULO 6.- INFORMACIÓN CONFIDENCIAL

La información confidencial será cualquier información, sea financiera, técnica, de mercado, servicios, proyectos, ideas, análisis, sean datos o materiales tangibles (incluyendo, pero sin limitarse a documentos, datos informáticos y software, o comunicaciones verbales) divulgados por parte de LA FUNDACIÓN, ya sea directa o indirectamente, para que sus miembros de la Junta Directiva, administradores, contratistas y trabajadores ejecuten sus actividades.

Ello implica, pero no se limita, a:

6.1 Los siguientes tipos de información y otra información de naturaleza similar (esté o no escrita): descubrimientos, ideas, conceptos, software en diversas etapas de desarrollo, diseños, dibujos, especificaciones, técnicas, modelos, datos bien sean internos o de nuestros clientes, código fuente, código objeto, algoritmos, documentación, manuales de usuario, esquemas, diagramas de flujo, métodos y técnicas de consultoría, investigación, desarrollo, procesos, procedimientos, “know-how”, técnicas y materiales de marketing, planes de marketing o desarrollo, nombres de clientes y otra información relacionada con los mismos, listas de servicios, listas de precios, políticas de tarifas e información financiera, métodos de producción, uso, operación y aplicación, sean éstos propiedad o en desarrollo de LA FUNDACIÓN; que se aplican e incorporan en el software de LA FUNDACIÓN;

6.2 Incluye cualquier patente, derechos de autor y/o marcas existentes actualmente registradas, con aplicaciones pendientes o que en el futuro se generen, adquieran o concedan en base a cualquier información confidencial o de propiedad de LA FUNDACIÓN. Información Confidencial incluirá, además, los datos relativos a las prácticas de negocio, servicios, tarifas, listas y directorios de clientes y colaboradores, filosofía de productos, posición respecto a sus competidores y documentación referente a proyectos en ejecución; y,

6.3. Todo tipo de información de carácter médico, en especial aquella contenida dentro del archivo clínico y la historia médica de los pacientes de LA FUNDACIÓN.

ARTÍCULO 7.- DIVULGACIÓN DE LA INFORMACIÓN

1. Cuando la información se obtenga mediante plataformas de acceso público
2. Cuando el requirente sea el titular de la información
3. Por orden de autoridad competente
4. Por autorización expresa del titular
5. Por orden de la Presidencia de LA FUNDACIÓN

En caso de que se detecte un incumplimiento a esta disposición, la misma podrá ser considerada como falta muy grave y se facultará al HOSPITAL a iniciar las acciones de visto bueno que correspondan.

Si el incumplimiento proviene de administradores y miembros de la Junta Directiva, se aplicarán las sanciones legales previstas para el efecto.

Para el caso de contratistas, LA FUNDACIÓN estará facultado a terminar de forma inmediata el contrato, sin perjuicio de iniciar las acciones por daños y perjuicios que ameriten.

ARTÍCULO 8.- NOTIFICACIÓN EN CASO DE HALLAZGO O EXTRAVÍO

En caso de que cualquiera de los trabajadores, administradores, miembros de la Junta Directiva o contratistas encontrare de forma ocasional y fortuita información confidencial de LA FUNDACIÓN, en cualquier lugar, dentro o fuera de sus instalaciones, deberá remitir dicha información inmediatamente al área de estadística, a fin de que ésta a su vez disponga de ella según corresponda.

Quien haya encontrado la información, no podrá realizar un duplicado de la misma, ni actuar con mala fe o dolosamente en contra de LA FUNDACIÓ o del titular de la misma. De la misma manera, no podrá tratar de ninguna manera los datos personales y/o de salud contenidos en dicha información. En este caso se podrá considerar como falta grave cuando el trabajador sea encontrado en posesión de información confidencial y no la haya reportado. 

ARTÍCULO 9.- OBLIGACIONES DE LA PARTE RECEPTORA

1. Guardar la reserva y confidencialidad de la información que se le entregue o a la cual llegare a tener acceso o conocimiento.
2. Tomar todas las precauciones y medidas necesarias para garantizar la confidencialidad de la información que tenga tal carácter, las cuales, en ningún caso, serán menores de aquellas tomadas para mantener sus propios asuntos y negocios en reserva.
3. Utilizar la información suministrada por la parte reveladora o de la que tenga conocimiento, únicamente de la manera y para los fines establecidos en este acuerdo.
4. Abstenerse de entregar o realizar para sí o para terceros, copias, arreglos, reproducciones, adaptaciones o cualquier otra clase de mutilación, deformación o modificación de la información confidencial.
5. No divulgar a terceros o a ninguna otra persona o entidad la información confidencial sin el consentimiento previo, expreso y por escrito de la parte reveladora.
6. No reproducir la información confidencial entregada, salvo si ello resulta necesario para cumplir la finalidad para la cual ha sido suministrada y sólo se dará a conocer a aquellos empleados, trabajadores o asesores, que tengan necesidad de tal conocimiento. En este último evento, deberá advertirse a dichos empleados, trabajadores o asesores, el carácter confidencial de la información, al tiempo que deberá advertírseles respecto de los términos de esta política
7. La parte receptora responderá por el cumplimiento de las obligaciones aquí dispuestas y, en caso de incumplimiento, deberá someterse a las sanciones dispuestas e indemnizará por los perjuicios que la divulgación de la información confidencial le ocasione a la parte reveladora.

ARTÍCULO 10.- OBLIGACIONES DE LA FUNDACIÓN VOZANDES

1. Garantizar que los sistemas de comunicación y la infraestructura tecnológica en la cual almacenará y/o procesará los datos recibidos de sus usuarios y/o pacientes poseen los elementos de seguridad necesarios para salvaguardar la información, tales como Firewalls, sistemas de autenticación y de encriptación. Al utilizar medios de intercambio de información tales como el correo electrónico e Internet, aplicarán las mismas medidas para asegurar que la información no sea vista ni modificada por personas ajenas al proceso.
2. Garantizar la destrucción, eliminación o devolución de la información, según aplique.
3. Socializar esta política y demás políticas internas relacionadas a los miembros de la Junta Directiva, administradores, trabajadores y contratistas.
4. Realizar capacitaciones constantes a los miembros de la Junta Directiva, administradores, trabajadores y contratistas de LA FUNDACIÓN VOZANDES.
5. Realizar auditorías a sus sistemas informáticos de forma periódica, con la finalidad de determinar su nivel de madurez y de seguridad, a fin de evitar ataques externos que puedan vulnerar la información contenida en los servidores y repositorios digitales.
6. Entregar los accesos necesarios dentro de las plataformas tecnológicas que se utilicen, de tal manera que no todos tengan acceso a la información de FUNDACIÓN.
7. Suscribir de forma conjunta con cada trabajador el respectivo convenio de confidencialidad.

CAPÍTULO III: ACCESO POR PERFILES Y CARGOS

ARTÍCULO 11.- FORMA DE ACCESO

El responsable designado de tecnologías de LA FUNDACIÓN, configurará las plataformas digitales, de tal manera que determinados perfiles asignados a cargos puntuales, accedan a una o a todas las funcionalidades de dichas plataformas.

La asignación se realizará basada en que todos los perfiles deberán estar acoplados acorde a las necesidades de cada área dentro de LA FUNDACIÓN; sin embargo, los perfiles de administrador podrán estar asignados al Gerente de cada área y al Gerente de Tecnologías, para canalizar cualquier soporte tecnológico necesario.

Esto se realiza por cuanto no todos los perfiles y no todos los cargos deben tener acceso a la totalidad de información que consta dentro de los sistemas de LA FUNDACIÓN.

ARTÍCULO 12.- ACCESO AL PERFIL

Para acceder a los perfiles asignados, LA FUNDACIÓN proporcionará al miembro de la Junta Directiva, administrador o trabajador un usuario y contraseña, mismo que es personal e intransferible.

Dichos accesos son de carácter personal y en caso de que se olvide cuáles son, se deberá canalizar el respectivo incidente al área de tecnologías para recuperar los mismos.

No se podrá solicitar más accesos a los conferidos, salvo pedido del responsable cada área, debidamente justificada; y, en caso de ascensos o cambios, previa notificación de parte del área de recursos humanos.

Si se detectare que los accesos son compartidos a terceras personas, se considerará una falta muy grave y se habilitará a seguir las acciones de visto bueno que correspondan. Se estará exento de esta falta, si los accesos fueron transferidos por una necesidad emergente, y posterior a ello, la contraseña fue modificada para seguridad del titular del perfil.

ARTÍCULO 13.- CONFIGURACIÓN DE DISPOSITIVOS

El área de tecnologías configurará todos los dispositivos que se utilicen dentro de LA FUNDACIÓN y los mantendrá bajo su dominio.

Para cualquier instalación de software, se deberá contar con el apoyo de parte del área de tecnologías, a fin de que ésta valide que dicho software no sea riesgoso para los dispositivos.

ARTÍCULO 14.- DEL ARCHIVO CLÍNICO

El área de estadística realizará una selección de cuáles son las personas que pueden acceder a las instalaciones físicas del archivo clínico. Estas personas contarán con credenciales especiales de acceso, a fin de limitar el ingreso de personal no autorizado.

Dichas credenciales son intransferibles, por lo que su uso es de carácter personalísimo y se regirán bajo los parámetros y sanciones establecidas para el acceso a perfiles establecido en el artículo 12 del presente documento.

En caso de que se cuente con un proveedor externo que brinde soporte en lo que respecta al archivo pasivo, se le socializará la presente política a fin de que este la cumpla y la haga extensiva a su personal.

Dicho personal podrá acceder bajo la debida identificación y reporte pertinente, según la política interna de LA FUNDACIÓN. Principalmente, el personal médico tendrá acceso al mismo, previa acreditación correspondiente; y, una vez finalizada su gestión con la historia clínica, deberá retornarla al lugar o a la persona designada para el efecto.

De presentarse cualquier solicitud de corrección, eliminación, supresión o cambio por parte de los titulares de los datos personales, esta deberá notificarse al área de estadística para seguir con el procedimiento correspondiente.

Quienes accedan al archivo clínico, no podrán duplicar, eliminar, extraer, modificar, dividir o cortar la información constante en él. En caso de que se presente un daño o extravío, éste debe ser comunicado de forma inmediata a la Jefatura del área de estadística y al Comité de Historias Clínicas.

En el caso de que personal no autorizado acceda a información confidencial se podrá considerar como falta muy grave.

CAPÍTULO IV: TRATAMIENTO DE DATOS PERSONALES

ARTÍCULO 15.- ACCESO Y TRATAMIENTO DE DATOS PERSONALES

Todos aquellos que tengan acceso a datos personales de los usuarios y/o pacientes de LA FUNDACIÓN VOZANDES, deberán hacerlo respetando la finalidad de estos. Es decir, no podrán duplicarlos, eliminarlos, extraerlos, venderlos, segregarlos o modificarlos bajo su sola discreción.

LA FUNDACIÓN VOZANDES como receptor de la información, se encargará de obtener de parte del titular el consentimiento para recabar y tratar sus datos personales, y en cada contrato que suscriba con un tercero, se hará constar una cláusula específica sobre datos personales y las obligaciones de dicho tercero.

Si el titular llegase a solicitar cualquier derecho respecto a su dato personal, se deberá notificar al delegado de Protección de Datos a fin de que se emita la contestación correspondiente.

En caso de que se detecte un incumplimiento a esta disposición, la misma podrá ser considerada como falta muy grave y se facultará al HOSPITAL a iniciar las acciones de visto bueno que correspondan.

Si el incumplimiento proviene de administradores y miembros de la Junta Directiva, se aplicarán las sanciones legales previstas para el efecto.

Para el caso de contratistas, LA FUNDACIÓN estará facultado a terminar de forma inmediata el contrato, sin perjuicio de iniciar las acciones por daños y perjuicios que ameriten.

CAPÍTULO V: DISPOSICIONES GENERALES

ARTÍCULO 16.- DIFUSIÓN DE LA POLÍTICA

LA FUNDACIÓN entregará a su personal y proveedor (cuando aplique) un ejemplar impreso o de forma electrónica del presente instrumento.

ARTÍCULO 17.- VIGENCIA

El presente documento entrará en vigor desde su suscripción, y será de cumplimiento obligatorio.

Dado y suscrito en la ciudad de Quito, a los 17 días del mes de marzo de 2023.

Atentamente,

Dra. Katherine Rosero
Presidenta
FUNDACIÓN VOZANDES