Ley relacionada con el uso compartido de cierta información sobre salud (Quebec)

Información general

compliance-privacy-pipeda-canada
quebec-act-flag

Una ley que respeta el intercambio de cierta información sobre salud, CQLR, c P-9.0001(la “Ley de Quebec”) es la legislación más relevante de Quebec con respecto a la recopilación, uso y divulgación de información sobre salud relacionada a la entrega de servicios de sanidad en la provincia de Quebec. La Ley de Quebec tiene como objetivo establecer recursos de información que permiten compartir datos sobre salud considerados esenciales para los servicios de atención primaria y continua, a fin de mejorar la calidad y la seguridad de los servicios de salud y sociales y tener acceso a ellos. También está destinada a mejorar la calidad, eficacia y rendimiento del sistema sanitario de Quebec, ya que permite la administración y el uso controlado de la información social y de salud. Mientras que el objetivo se centrará en la Ley de Quebec para los fines de la información que se encuentra en esta página, la Ley de Quebec con respecto al acceso a documentos en poder de los organismos públicos y la protección de información personal, CQLR, c. A-2.1 también se extiende a instituciones sociales y de salud y la Ley de Quebec con respecto a la protección de información personal en el sector privado, CQLR, c P-39.1, la cual establece reglas para la recopilación, el uso y la divulgación de información personal en el sector privado.

Los clientes siempre conservan el control acerca de la manera en la que administran y obtienen acceso al contenido almacenado en AWS. AWS no posee conocimiento sobre lo que los clientes suben a sus redes, incluso si esos datos se contemplan o no en la Ley de Quebec, y los clientes son responsables de garantizar su conformidad con esta ley. Los clientes de AWS pueden diseñar e implementar un entorno de AWS, además de utilizar los servicios de AWS de una manera tal que permita cumplir las obligaciones establecidas por la Ley de Quebec.

Actualmente, la región de Canadá (Central) de AWSestá disponible para múltiples servicios, incluidos Amazon Elastic Compute Cloud (Amazon EC2), Amazon Simple Storage Service (Amazon S3) y Amazon Relational Database Service (Amazon RDS). Si desea obtener una lista completa de las regiones y los servicios de AWS, consulte la página de infraestructura global. Los precios para la región de Canadá están disponibles en las páginas de detalles de cada servicio, a las que puede acceder a través de nuestra página de productos y servicios.

  • ¿Qué es PIPEDA y qué es la Ley de Quebec? ¿Cuál es la relación entre estas leyes?

    La Ley de Protección de Datos Personales y Documentos Electrónicos (PIPEDA) es una ley federal canadiense aplicable a la recopilación, el uso y la divulgación de información personal durante la realización de actividades comerciales en todas las provincias canadienses. Determinadas provincias canadienses también adoptaron leyes de privacidad generales propias tanto para el sector público como para el privado, además de leyes sobre privacidad específicas para la información de salud personal. La Ley de Quebec relacionada con el uso compartido de cierta información sobre salud, CQLR, c P-9.0001(Ley de Quebec) es legislación sobre privacidad en Quebec, que tiene por objetivo establecer recursos de información que permitan compartir datos de salud considerados esenciales para los servicios de atención primaria y continua, a fin de mejorar la calidad y la seguridad de los servicios de salud y sociales y tener acceso a ellos. También está destinada a mejorar la calidad, la eficacia y el rendimiento del sistema sanitario de Quebec, ya que permite la administración y el uso controlado de la información social y de salud. La Ley de Quebec aplica a todas las personas o asociaciones que alojan, operan o utilizan un recurso de información (como se define en este documento) que incluye, pero no se limita, a consultorios médicos privados, farmacias, centros médicos especializados, proveedores de servicios sociales y de salud y otros como se detalla en la sección 4 de la Ley de Quebec. “Recurso de información” se define en la Ley de Quebec como “toda base de datos, sistema de información, sistema de telecomunicaciones, infraestructura tecnológica o una combinación de estos o cualquier componente informático de equipo médico especializado o ultra especializado”.

    El hecho de que un cliente de AWS esté obligado a cumplir con la PIPEDA, la Ley de Quebec o cualquier otro requisito de privacidad provincial canadiense puede variar en función del negocio del cliente.

    Es posible que otras organizaciones también estén sujetas a la PIPEDA u otras leyes provinciales sobre privacidad. Si desea obtener más información sobre esta ley, visite el sitio web de AWS aquí.

    Los clientes deben consultar a sus asesores legales para comprender las leyes de privacidad que deben cumplir.

  • ¿Cómo pueden los clientes cumplir con la Ley de Quebec en AWS?

    Los clientes de AWS pueden diseñar e implementar un entorno de AWS, además de utilizar los servicios de AWS de una manera tal que permita cumplir las obligaciones establecidas por la Ley de Quebec.

    Los clientes que estén sujetos a la Ley de Quebec quizás deban cumplir con los requisitos relacionados con la administración, la recopilación, el acceso, el uso, la divulgación y la protección de la información sobre salud. AWS brinda a los clientes el control acerca de cómo almacenar y procesar su contenido cuando usan los servicios de AWS, incluido el control sobre cómo se protege y quiénes pueden obtener acceso a él. AWS ofrece servicios que los clientes pueden configurar y utilizar para aumentar la seguridad de la información sobre salud almacenada en AWS. Es responsabilidad del cliente diseñar una solución que cumpla los requisitos de privacidad correspondientes.

    Tenga en cuenta que no existe ninguna “certificación” con reconocimiento oficial para el cumplimiento de la Ley de Quebec, como las certificaciones o autorizaciones que una entidad puede obtener en relación con SOC, PCI o FedRAMP. En su lugar, AWS ofrece a sus clientes información considerable sobre las políticas, los procesos y los controles definidos y utilizados por AWS. AWS provee manuales, documentos técnicos y guías de prácticas recomendadas en la página de recursos de conformidad de AWS y los clientes tienen acceso bajo demanda a los informes de auditoría externos de AWS en AWS Artifact.

  • ¿AWS tiene acceso a la información sobre salud que los clientes ingresan en AWS?

    Los clientes siempre conservan el control acerca de la manera en la que administran y obtienen acceso al contenido almacenado en AWS. AWS ofrece un conjunto de características avanzadas de acceso, cifrado y generación de registros para ayudar a los clientes a gestionar su acceso y contenido. AWS no accede al contenido de los clientes ni lo divulga a menos que este se lo solicite o si resulta necesario para cumplir con la ley o una solicitud legalmente válida y vinculante de un organismo gubernamental o regulador competente. A menos que se le prohíba a AWS legalmente o que haya una clara indicación de conducta ilegal relativa al uso de los servicios de AWS, AWS envía una notificación a los clientes antes de divulgar su contenido para que puedan protegerse. Si desea obtener más información, consulte las preguntas frecuentes sobre privacidad de datos.

  • ¿La Ley de Quebec prohíbe a los clientes de AWS poseer datos en tránsito o en reposo fuera de Quebec o de Canadá?

    Los clientes deben consultar a sus asesores legales en relación con el cumplimiento de leyes de privacidad. La Ley de Quebec quizás exija personas procedentes que determinen las medidas de protección de la información sobre salud en su custodia o control, como la protección administrativa, técnica y física. La información sobre salud que deba almacenarse, utilizarse, divulgarse o a la que deba accederse fuera de Quebec o Canadá puede estar sujeta a ciertas obligaciones en conformidad con la Ley de Quebec con anterioridad a dicho almacenamiento, acceso, uso o divulgación fuera de Quebec o Canadá. Es responsabilidad de cada cliente determinar si la transferencia y el almacenamiento de datos fuera de Quebec o de Canadá cumple las obligaciones relacionadas con la seguridad y la privacidad que determina la Ley de Quebec.

    Los clientes de AWS deben considerar si se aplica la PIPEDA o las leyes de otras provincias canadienses y verificar si estas especifican límites en relación con la residencia de los datos. Los clientes de AWS eligen las regiones en las que se almacenará el contenido. AWS no migrará ni replicará contenido del cliente fuera de las regiones seleccionadas por él sin su consentimiento.

  • ¿La Ley de Quebec requiere que se cifre la información sobre salud?

    La Ley de Quebec no incluye ningún requisito específico en relación con el cifrado de la información sobre salud. Sin embargo, a las entidades que deban cumplir con la Ley de Quebec se les requiere tomar las medidas necesarias a fin de proteger la información sobre la salud y es responsabilidad de cada cliente determinar si el cifrado es apropiado para cumplir las obligaciones de seguridad. Como práctica recomendada, AWS recomienda que la información sobre salud se cifre siempre en reposo y en tránsito.

  • ¿De qué manera los clientes pueden obtener información para completar una evaluación de impacto en la privacidad en relación con el uso de AWS?

    AWS pone a disposición una amplia gama de materiales para ayudar a los clientes a comprender el funcionamiento de los controles de seguridad y el entorno de AWS. AWS suministra a los clientes acceso bajo demanda a informes de auditoría externos (como nuestros informes SOC 1 y SOC 2) en AWS Artifact. AWS también provee manuales, documentos técnicos y prácticas recomendadas en la página de recursos de conformidad de AWS acerca de cómo ejecutar cargas de trabajo en AWS de manera segura.

  • ¿De qué manera los clientes pueden implementar tareas de auditoría en sus entornos de AWS?

    Como parte del modelo de responsabilidad compartida, los clientes deben considerar la implementación de auditorías y la generación de registros en todo el entorno de AWS de una manera tal que resulte suficiente para cumplir sus requisitos de conformidad. AWS ofrece servicios que simplifican la implementación de arquitecturas de análisis de registros y la generación de registros de escala ajustable. AWS también cuenta con una variedad de socios en AWS Marketplace que ofrecen soluciones de generación de registros de seguridad. Consulte la página de capacidades de generación de registros de seguridad de AWS para obtener más información acerca de cómo implementar la generación de registros en AWS.

  • ¿Podrían darme ejemplos de otras organizaciones del sector de la salud de Canadá que utilicen los servicios de AWS?

    Puede leer la publicación de blog más reciente sobre las tendencias en el sector de la salud de Canadá. Haga clic aquí para obtener información adicional sobre conformidad en el área de salud en la nube de AWS.

compliance-contactus-icon
¿Tiene preguntas? ¿Necesita ponerse en contacto con un representante empresarial de AWS?
¿Está buscando trabajo en el sector de conformidad?
Inscríbase hoy mismo »
¿Desea recibir novedades acerca de asuntos de conformidad en AWS?
Síganos en Twitter »