La seguridad de la información, pilar para la seguridad del paciente

Javier Zubieta. Director de Marketing y Comunicación. Maole Cerezo. Asesora de Comunicación y Marketing. Secure eSolutions de GMV. Entre las nuevas medidas que contempla el Reglamento Europeo de Protección de Datos cabe citar la exigencia de la figura del Delegado de Protección de Datos (DPD) para las organizaciones cuyos datos se traten a gran escala o sean considerados sensibles. Se le atribuye un papel proactivo con la misión de adelantarse a los posibles riesgos, aplicando políticas predictivas y de prevención. Además, se da un nuevo paso en el ámbito de la transparencia, al requerirse la comunicación a la autoridad de control de aquellas incidencias de seguridad que supongan un riesgo para los derechos y libertades de las personas, en un plazo máximo de 72 horas. La mayor exposición ante los “clientes” de salud puede servir de acicate para que los decisores incrementen las inversiones que, según informes, no alcanzan a día de hoy los niveles necesarios para blindarse ante posibles amenazas. Asumir una actitud proactiva en la protección de los sistemas de información de salud debería contribuir a una mayor robustez de los mismos. Además, permitirá realizar informes que ayudarán a los pacientes en el ejercicio de su derecho de libre elección. La reputación de una prestadora de servicios es un bien intangible y vulnerable que se ve expuesto ante medidas de transparencia como la que el RGPD impone. Asimismo, la obligatoriedad de comunicar los incidentes de ciberseguridad es un gran avance en la búsqueda de la necesaria y deseada transparencia que permita apreciar el estado real de la ciberseguridad en el sistema sanitario español. Según constata el informe “Infracciones de información médica protegida en los Estados Unidos”, realizado por los doctores Vincent Liu, de la división de Investigación de Kaiser; Mark Musen, y Timothy Chou, del Centro de Investigación de Informática Biomédica de Stanford y la Universidad de Informática de Stanford respectivamente, en EE.UU., no abundan los estudios que detallen el alcance y las características de los robos de información en el sector de la salud. A la hora de escribir el presente artículo, no se ha encontrado alguno parecido en España. Suculento botín sumido en la oscuridad La protección de los datos personales de salud y  su confidencialidad son importantes obligaciones del sistema de salud frente al ciudadano. Junto con la integridad y la disponibilidad de la información clínica, constituyen la denominada “seguridad de la información clínica”.  El Reglamento General de Protección de Datos tipifica la información de salud como  el conjunto de datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria que revelen información sobre su estado de salud. A estos datos le otorga el rango de “Especialmente Protegidos”. La historia clínica, como conjunto de documentos que contienen los datos, valoraciones e informaciones de cualquier índole sobre la situación y evolución clínica de un paciente a lo largo de su proceso asistencial, queda comprendida dentro de la tipificación del RGPD. Asimismo, integra dentro de la categoría de datos de salud los genéticos y biométricos, y los califica como datos de naturaleza especial, sujetos a unas condiciones más restrictivas en cuanto a su uso. La compraventa de datos sanitarios, según apuntan informes especializados, es junto con la información de origen bancario y los datos personales o de identidad en redes sociales la que mayor negocio genera en el mercado negro. Un informe titulado “El Estado de la Ciberseguridad” realizado por el Instituto Ponemon de Michigan, cifra en un 125 por ciento el aumento registrado por los ciberataques contra la Sanidad estadounidense en los últimos cinco años, afectando a uno de cada tres de sus ciudadanos, con un coste estimado anual de 6.000 millones de dólares  para  el sistema de salud americano. Los ciberdelincuentes son una de las causas que ponen en jaque la seguridad de la información clínica, pero no es la única. La seguridad de la misma también está en manos de quienes trabajan con ella y de las entidades que la custodian. Los procesos asistenciales entrañan más responsabilidad que ningún otro, ya que en sus manos está la salud de la población. Por ello, se aboga en que sean seguros desde su diseño, considerando tanto la privacidad y la ciberseguridad del paciente como la atención que se le presta. Seguridad de la información/seguridad clínica Hoy nadie cuestiona que la información de calidad resulta esencial para cualquier tipo de actividad. Pero cuando los volúmenes que se manejan son tan enormes, sólo a través de la tecnología es posible tratarlos, almacenarlos y “exprimirlos” para que tal explosión de datos pueda aportar valor. Valor en la investigación de enfermedades para su tratamiento y prevención; en la investigación biotecnológica; en el apoyo a los profesionales y gestores sanitarios para que puedan tomar decisiones basadas en evidencias. Ante un escenario que sitúa la esperanza media de vida en torno a los 80 años, cuando según informes hasta el 70 por ciento de los mayores de 65 años padece una media de cuatro enfermedades crónicas,  y con una tasa de natalidad contenida, es “vox populi” que el sistema sanitario requiere “repensarse” para garantizar su sostenibilidad. El papel de las tecnologías en el proceso de “reconversión” es incuestionable. Lo mismo que el de los grandes volúmenes de datos de salud que se manejan hoy, provenientes no solo de los tradicionales “emisores” de información, tanto públicos como privados (hoy la Sanidad privada ha alcanzado gran peso en el conjunto del sistema sanitario español), sino también de otros nuevos agentes que han irrumpido como resultado del desarrollo tecnológico. La salud, como cualquier otra industria, está inmersa en el proceso de transformación digital en la que todo gira alrededor de la calidad del dato. Datos de naturaleza diversa y a los que se les reconoce la presunción de confidencialidad, frecuentemente almacenados en un mismo repositorio donde convive información estructurada con información no estructurada y, en todo caso, datos de salud que han de ser manejados con ética, garantizando el derecho a la intimidad personal, siendo protegidos y custodiados con tal objeto al tiempo que se mantienen accesibles. El Reglamento Europeo de Protección de Datos ha establecido normas para que estas condiciones se cumplan. Conceptos como el de privacy-by-design o principios como el definido por el estándar ISO 29100 de “minimización de datos”, por el que el procesamiento y la entrega de los personales debe ser el mínimo posible suficiente, limitando el número de personas o entidades que acceden a esos datos y primando la filosofía “need-to-know”, contribuyen también a ello. Por su parte, la Directiva del Parlamento Europeo y Consejo relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información de la Unión, (Directiva NIS), que contribuirá a formalizar la colaboración entre organizaciones públicas y privadas prestatarias de servicios esenciales y digitales dentro de la Unión Europea para la gestión de cibercrisis y la recuperación ante ciberincidentes, o el Plan Nacional de Infraestructuras Críticas,  que cataloga más de 3.500 instalaciones e infraestructuras sensibles en diferentes áreas, entre ellas las de la salud, velan por la disponibilidad de los sistemas. Existen la normativa y los medios necesarios para garantizar la confidencialidad, la integridad de los datos, la disponibilidad y la accesibilidad (condicionantes todos de la seguridad de la información). ¿Y existe un código ético o de raciocinio elevado que impida caer en situaciones ilógicas? Ante tal contexto, cabría hacerse eco de una reflexión puesta sobre la mesa por los profesionales de la salud. Si seguridad es sinónimo de confianza, también debe facilitar la usabilidad del sistema en su conjunto. Si el personal clínico topa con barreras insalvables para acceder a una información esencial en la asistencia al paciente estaremos siendo presos de un exceso de celo normativo. Se coincidirá en que es de sentido común que la seguridad de la información nunca debe poner en peligro la seguridad del paciente, ni su confianza en su sistema de salud.