La ciberseguridad y la protección del derecho a los datos personales de salud

La ciberseguridad y la protección del derecho a los datos personales de salud.

En esta entrega hacemos una reflexión partiendo del marco jurídico relativo a los derechos de los pacientes y a la protección de sus datos de salud y las medidas para garantizar la ciberseguridad en sanidad.

En este sentido, la seudonimización se ha convertido en una técnica de seguridad clave para facilitar el procesamiento de datos personales de salud en el ámbito, al tiempo que ofrece garantías sólidas para la protección de datos personales y  protege los derechos y libertades de las personas.

Todo usuario del sistema sanitario tiene derecho a la constancia de la información obtenida en todos sus procesos asistenciales, realizados por el servicio de salud, en relación a sus datos médicos personales.

La protección de Datos personales es un derecho fundamental de acuerdo a lo establecido en el artículo 18.4 de la Constitución Española y regulado también por el Reglamento Europeo de Protección de Datos (RGPD); así como en la Ley de protección de datos (LOPDGDD).

En este caso, la normativa en protección de datos se complementa con la Ley de Autonomía del Paciente 41/2002, de 14 de noviembre. La ley de protección de datos médicos regula los derechos y las obligaciones en materia de información y documentación clínica del paciente. Esta normativa afecta al personal que opera en el sector sanitario, a las clínicas, a los hospitales, a los centros médicos y a las instituciones sanitarias.

La protección jurídica de los datos relativos a la salud de las personas está cada vez más conectada a distintos dispositivos tecnológicos. Esto supone la introducción de problemas relacionados con la seguridad cibernética, que van desde malware que compromete la integridad de los sistemas y la privacidad de los pacientes hasta ataques de denegación de servicio distribuido (DDoS) que interrumpen la capacidad tecnológica para brindar atención al paciente. Los ataques cibernéticos pueden estar constitucionalmente protegidos, relativos a la salud de los pacientes.

Marco jurídico de los datos de salud en el RGPD | La ciberseguridad y la protección del derecho a los datos personales de salud

Entendemos por datos de salud al conjunto de documentos que contienen valoraciones e informaciones sobre la situación y evolución clínica de un paciente. La nueva normativa europea de protección de datos (RGPD), considera la información sanitaria de las personas como especialmente protegida cuando acuden a centros médicos u hospitales. Esta norma se centra en obtener los principios básicos relativos a la protección de datos de salud.

Datos personales relativos a la salud física o mental

El RGPD define los datos personales relativos a la salud física o mental de una persona que contengan información sobre su estado de salud. Por lo tanto, cualquier información relativa a una enfermedad,  una discapacidad, el riesgo de padecer patologías, el historial médico del paciente, el tratamiento clínico o el estado fisiológico o biomédico del paciente, un médico u otro profesional sanitario, un hospital, un dispositivo médico, o una prueba diagnóstica in vitro.

Dada la importancia de tener este tipo de datos para la privacidad del paciente, el RGPD, le otorga el adjetivo de Especialmente Protegidos; lo implica cumplir una serie de condiciones adicionales para recibir su tratamiento conforme a la normativa.

Principios fundamentales para la protección de datos médicos

En segundo lugar, los principios fundamentales para la protección de datos médicos son los siguientes:

a) Confidencialidad de los datos médicos:

El secreto profesional es de obligatorio cumplimiento por el personal sanitario que tenga acceso a los datos del paciente. La ley de confidencialidad del paciente obliga a los centros médicos a adoptar las medidas que garanticen la confidencialidad de los datos relativos a la salud y su procedimiento legal.

b) Calidad de los datos:

Permite recoger datos personales de un paciente en una historia clínica, siempre que sean adecuados, veraces y pertinentes, con finalidad de garantizar una asistencia adecuada al paciente. La información sanitaria no debe ser recopilada de forma desleal, fraudulenta o ilícita.

La información clínica para la asistencia sanitaria debe contar, como mínimo, con los siguientes datos:

– Documentación referida a la hoja clínico-estadística

– Autorización de ingreso

– Informe de urgencia

– Exploración física

– Evolución

– Órdenes médicas

– Hoja de interconsulta

– Informes de exploración complementaria

-Consentimiento informado

– Informe de anestesia

– Informe de quirófano o registro del parto

– Dosier de anatomía patológica

– Evolución y planificación de cuidados de enfermería

– Aplicación terapéutica de enfermería

c)  Consentimiento por parte del paciente.

La principal base legal para el tratamiento de los datos médicos de una persona se encuentra establecido en el artículo 9 del RGPD. Según la nueva normativa europea, los datos médicos deben ser explícitos y recogidos por escrito. Por tanto, se prohíbe el uso de datos personales sin consentimiento.

d). Dar información al paciente sobre el tratamiento de su información sanitaria. 

La ley de protección de datos contempla el deber de información a los pacientes: Existencia de estos ficheros, que especifique la finalidad del mismo, posibles destinatarios de la información, identidad y dirección del responsable de su mantenimiento y posibilidad del ejercicio de sus derechos

Es obligatorio que los centro sanitario disponga de una hoja de información al paciente en la que le solicita su autorización para el tratamiento de sus datos. En ella se recoge, los siguientes datos:

– Nombre del profesional y del centro hospitalario donde haya sido atendido el paciente

– Propósitos de la petición

– Expresa conformidad de divulgación del caso clínico en publicaciones científicas dirigidas a profesionales de la salud

– Nombre del paciente

– Documento de identidad o pasaporte y su firma autorizando el uso de los datos de su historia clínica en las condiciones descritas en el informe.

Las nuevas medidas de seguridad en el ámbito sanitario | La ciberseguridad y la protección del derecho a los datos personales de salud

Las nuevas medidas del RGPD sanitarias en relación a la seguridad y garantía de los datos protegidos de salud so las siguientes:

1. Medidas organizativas y de seguridad. prevé su aplicación en función del riesgo que puedan ocurrir en el tratamiento de los datos. En el tratamiento de datos de salud el nivel del riesgo es enorme, por lo que debe diseñarse unas medidas organizativas y de seguridad que permitan afrontar dicho riesgo.
2. Evaluación de Impacto. Es un análisis del riesgo que permite a los responsables del tratamiento tomar medidas adecuadas para reducir dichos riesgos.
3. Registro de las actividades de tratamiento. Los responsables y los encargados están obligados a mantener registros de los casos de tratamientos de datos de salud, genéticos o biométricos; así como de las actividades de tratamiento que realicen. Nombrar un Delegado de Protección de Datos. La nueva normativa comunitaria exige que se debe contar con un Delegado de protección de Datos. Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes deben nombrar un Delegado de Protección de datos y comunicar dicho nombramiento a la Agencia Española de Protección de Datos (AEPD).
4. Comunicación de los datos. Los datos ser comunicados entre las entidades para el mejor tratamiento del paciente.
5. Facilitar los derechos ARCO. Los pacientes podrán ejercer libremente  derechos de acceso, rectificación, cancelación y oposición de su historia clínica (ARCO). Para ello, el responsable deberá colaborar con ellos, facilitándoles un informe o, en su defecto, una copia del mismo.

En conclusión, las regulaciones actuales como el RGPD han supuesto un antes y un después en los mecanismos para la seguridad y denuncia de los delitos cibernéticos; y es fundamental en la protección de datos.

La ciberseguridad para la protección los datos de salud hospitalarios

La seguridad a la hora de compartir los datos de salud, en los que se facilita información privada de los pacientes, debe contar con las garantías tecnológicas relativas a los derechos de los pacientes y usuarios del sistema nacional de salud.

Recordemos que la obligación legal del RGPD afecta a las instituciones sanitarias pública y privadas en el tratamiento de los datos personales. Además, los datos relativos a la salud son considerados como sensibles especialmente protegidos, y una categoría especial de datos personales. Por tanto, el sector sanitario tiene el reto de protegerse ante los ciberataques a nivel mundial.

La asistencia sanitaria está cada vez más conectada. La proliferación de soluciones de tecnología médica ha cambiado el panorama de las TIC en las organizaciones sanitarias de todo el mundo.

Cabe destacar que la creciente interconexión de dispositivos médicos y el uso de conexiones remotas para su mantenimiento; la necesidad de monitorear continuamente a los pacientes, dentro y fuera del hospital; el uso de teléfonos inteligentes para que pacientes y médicos accedan a información de salud; y la falta de presupuesto para servicios y soluciones de ciberseguridad hace que el sector sanitario sea vulnerable.

Principales vulnerabilidades a las que se enfrenta el sector sanitario

Las principales vulnerabilidades a las que se enfrenta el sector sanitario son las siguientes:

1. Dispositivos anticuados que ejecutan software o sistemas operativos obsoletos. El presupuesto, los recursos y las operaciones a menudo pueden impedir la práctica de reemplazar software y dispositivos antes de llegar al final de su vida útil, dejándolos más susceptibles a un ataque.
2. Las vías más fáciles para los atacantes se hacen visibles en la gestión integrada del edificio, la seguridad física y los dispositivos clínicos. Estos dispositivos a menudo están fuera del control de TI, y pueden permanecer sin parches durante años, proporcionando un punto de entrada potencial para los piratas informáticos (hackers).
3. Las redes de atención médica están diseñadas para minimizar los costes y maximizar la eficiencia, siendo objetivos fáciles para los atacantes.
4. Las organizaciones sanitarias están centradas en su misión principal: salvar vidas y ayudar a los pacientes; sin embargo, los riesgos de ciberseguridad no están contemplados.
5. Algunas organizaciones sanitarias aprovechan proveedores externos para administrar y ejecutar sus sistemas de información automatizados; lo que puede introducir una cantidad significativa de riesgo. En lugar de atacar directamente a organizaciones grandes y con capacidades cibernéticas avanzadas, los atacantes intentan comprometer a un proveedor externo más pequeño que tiene acceso a la organización objetivo; evitando de manera efectiva todos los controles de seguridad de la entidad principal y proporcionando acceso directo a sus redes.
6.  La excesiva descentralización de algunos centros sanitarios puede hacer más difícil priorizar las inversiones en seguridad cibernética.

1. Protección hardware | La ciberseguridad y la protección del derecho a los datos personales de salud

En primer lugar, es necesario tener en cuenta que los dispositivos móviles (portátiles, tabletas, teléfonos inteligentes, medios de almacenamiento portátiles) pueden presentan amenazas a la privacidad y seguridad de la información.

Estos dispositivos son fáciles de perder y son vulnerables al robo, y no todos están equipados con fuertes controles de autenticación y acceso; y a menudo se utilizan para transmitir y recibir datos de forma inalámbrica. Estas deben estar protegidas contra escuchas e intercepción

En segundo lugar, son importantes los controles de acceso para minimizar el riesgo para la información electrónica de salud al configurar de manera efectiva los dispositivos. La contraseña, sin embargo, constituye la mitad las credenciales de un usuario de ordenador que se complementa con la identidad del usuario o nombre de usuario.

Estas credenciales (nombre de usuario y contraseña) se utilizan como parte de un sistema de control de acceso para que los usuarios tengan determinados derechos para acceder a los datos almacenados en los sistemas y bases de datos. De ahí que la configuración de los dispositivos para conceder acceso electrónico a la información de salud solo se le otorga a las personas autorizadas.

En tercer lugar, debido a la sensibilidad de la información de atención médica y al hecho de que debe estar protegida, se deben utilizar herramientas que permitan a personas externas acceder a la red a modo de consulta de atención médica con extrema precaución. La información de salud electrónica que fluye por la red inalámbrica debe estar protegida para que accedan solo los usuarios autorizados que pueden captar la señal. Los enrutadores inalámbricos deben ser configurados para operar en modo encriptado. Y también es importante disponer de una VPN para proteger la conexión.

2. Protección del software | La ciberseguridad y la protección del derecho a los datos personales de salud

La mayoría del software requiere actualizaciones periódicas para mantenerlo seguro y añadir funciones. Mantener el software actualizado es fundamental para proteger un sistema y hacerlos más seguros, ya que estas actualizaciones corrigen vulnerabilidades en las aplicaciones.

Se debe tener en cuenta que las cuentas de usuario de los ex empleados deben ser deshabilitadas de manera adecuada y oportuna; los ordenadores y cualquier otro dispositivo deben limpiarse antes de desincorporarlos; los archivos de datos antiguos se archivan para almacenamiento si es necesario, o se eliminan del sistema si no son necesarios. El software que ya no sea necesario debe desinstalarse completamente.

Algunas medidas de protección eficaces contra los ataques son: instalar un firewall y antivirus para proteger contra intrusiones y amenazas externas. El antivirus ayudará a encontrar y destruir el software malicioso, mientras que el firewall evita que los intrusos accedan a la red interna.

Un firewall puede tomar la forma de un software o un dispositivo de hardware. En cualquier caso, su trabajo es inspeccionar todos los mensajes que ingresan al sistema desde el exterior y, de acuerdo a los criterios predeterminados, permitirá o no su acceso.

 3. Protección de datos de salud | La ciberseguridad y la protección del derecho a los datos personales de salud

La protección de la información debe ser una prioridad para las personas que trabajan en la atención médica. Las organizaciones sanitarias que tienen las medidas de seguridad adecuadas limitarán el riesgo de sufrir una violación. En caso de que ocurra, estará mejor preparada para responder a la misma.

La protección de los datos es esencial para prevenir o mitigar una violación de la atención médica. Para ello, es necesario saber dónde se almacenan los datos confidenciales, cómo se transmiten y cómo se utilizan. De esta forma, una organización podrá determinar qué protecciones deben implementarse para cada dispositivo; lo que permite implementar medidas de seguridad más exhaustivas.

Actuaciones de los centros sanitarios

Además, los centros sanitarios deben tener en cuenta las siguientes actuaciones.

1. Evaluación de riesgos en seguridad. La evaluación de impacto es un análisis del riesgo que permite a los responsables del tratamiento tomar medidas adecuadas para reducir dichos riesgos.
2. Cifrado. Sirve para reducir el riesgo de violaciones de datos en la atención médica. Los datos cifrados no son visibles sin una clave de descifrado, por lo que es lo más efectivo para su protección.
3. Formación. Capacitar a los empleados sobre políticas y procedimientos de la organización; así como, inducción sobre los requisitos de seguridad. La mayoría de las infracciones de salud ocurren como consecuencia de un error humano. Los empleados deben estar capacitados sobre la importancia de la información personal y cómo manejarla adecuadamente.
4. Evaluar a proveedores. Las entidades sanitarias tienen que asegurar la obligación de garantizar que los proveedores tengan las medidas adecuadas para la protección de la información personal.

También deben firmarse acuerdos de confidencialidad con todos los proveedores antes de compartir información personal. Estos acuerdos limitan la responsabilidad de ambas partes en caso de incumplimiento, ya que han aceptado cumplir con sus obligaciones para proteger esa información y la responsabilidad de su propio cumplimiento.

En definitiva, las instituciones sanitarias deben diseñar las plataformas para garantizar la protección de los datos personales de los pacientes; estableciendo sus planes de ciberseguridad en los que aplican tecnologías para que los sistemas sean menos vulnerables. Lo que supone la correcta actualización del software y hardware y realizar acciones de concienciación sobre el uso responsable de los sistemas. En este sentido, las aplicaciones y plataformas emplean técnicas de anonimización o seudonimización para evitar la identificación de los pacientes que las organizaciones sanitarias utilizan en sus proyectos de BIG data e inteligencia artificial para investigación.

Técnicas de protección de datos de salud y seguridad cibernética | La ciberseguridad y la protección del derecho a los datos personales de salud

Los datos de salud son una valiosa fuente de conocimiento en el cuidado de la salud. El cuidado de la salud históricamente ha generado grandes cantidades de datos, tanto para el tratamiento de pacientes como para la investigación y el análisis posterior. Se ha producido nuevas fuentes de datos de salud como resultado del uso generalizado de registros electrónicos, aplicaciones y dispositivos portátiles.

Además, los avances informáticos han permitido el desarrollo de nuevas técnicas de análisis de datos; así como el aprendizaje automático que mejoran el diagnóstico, el tratamiento y administración en salud. El resultado es que está llevando al paciente de hospitalización hacia un sistema de salud distribuido proporcionado por una combinación de servicios públicos y privados.

La integración de nuevas tecnologías en salud representa nuevos problemas con respecto a los datos protección y la seguridad cibernética. Sin embargo, el aumento del procesamiento de datos médicos digitalizados también ha aumentado los riesgos, en términos de la ciberseguridad.

Instrumentos legales pertinentes de la Unión Europea (UE), como la Directiva NIS – Network Information System –, el Reglamento General de Protección de Datos, el Reglamento de Dispositivos Médicos, entre otras, impuso obligaciones a proveedores de atención médica y fabricantes de dispositivos médicos para garantizar una adecuada y uniforme nivel de protección de los datos médicos.

Además, el RGPD distingue, en el artículo 9, datos relativos a la salud como otorgar la categoría especial de datos (sensibles) y establecer requisitos adicionales y obligaciones más estrictas para el procesamiento y protección de dichos datos. Esto es para salvaguardar los derechos y libertades de las personas.

V.1.  La seudonimización en el sector sanitario | La ciberseguridad y la protección del derecho a los datos personales de salud

La seudonimización se está convirtiendo en una técnica clave de seguridad de protección de datos personales y, además, garantiza el resguardo de los mismos; salvaguardando de esa manera los derechos y libertades de las personas relativas a los datos de salud.

El RGPD define la seudonimización en su artículo 4 como el tratamiento de datos personales de manera tal que no puedan atribuirse a una persona sin utilizar información adicional, siempre que esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.

En este sentido se manifiesta la Agencia de la Unión Europea para la Ciberseguridad (ENISA, por sus siglas en inglés) en una de sus publicaciones. Este hecho es cada vez más frecuente en el sector sanitario, ya que intenta aprovechar al máximo la evolución de la tecnología y adecuar la prestación de sus servicios para atender de manera oportuna las necesidades de los pacientes. Por ello, en el sector sanitario, intervienen los desafíos de ciberseguridad y la protección de los datos personales.

Así, la Agencia ha detallado en el documento tres nuevas técnicas sustanciales para mejorar la protección de los datos personales en el ámbito sanitario:

1. a) Seudonimización determinista: usar el mismo seudónimo para el mismo dato.
2. b) Documento de seudonimización aleatoria: utilizando el mismo seudónimo para el mismo dato dentro de un alcance consistente.

c). Seudonimización completamente aleatoria: usando un seudónimo diferente para el mismo dato.

V.2. La seudonimización en el ámbito hospitalario | La ciberseguridad y la protección del derecho a los datos personales de salud

En términos generales, la seudonimización tiene como objetivo proteger los datos personales, ocultando la identidad de individuos en un conjunto de datos;  reemplazando uno o más identificadores de datos personales con seudónimos y protegiendo adecuadamente el vínculo entre estos y las identificadoras iniciales. La seudonimización es una técnica de “desidentificación” (agregación, ofuscación, enmascaramiento, etc.) destinados a eliminar la asociación entre un conjunto de datos de identificación y el principal de datos.

Por tanto, la principal ventaja de la seudonimización, es ocultar la identidad de un individuo. También reduce el riesgo de la vinculación de datos personales para un individuo específico a través de diferentes dominios de procesamiento de datos.

Conclusiones

A medida que el sector de la salud aprovecha al máximo el panorama técnico en evolución y adapta la prestación de servicios para satisfacer, de manera oportuna, las crecientes necesidades de los pacientes, surgen desafíos adicionales en materia de ciberseguridad y protección jurídica de datos de salud.

La seudonimización es una técnica de seguridad clave al proporcionar un medio que puede facilitar el procesamiento de datos personales, al tiempo que ofrece garantías sólidas para la protección de datos personales y, salvaguarda de los derechos y libertades de las personas.

Los desarrolladores y reguladores deben promover el intercambio de buenas prácticas y proporcionar orientación práctica sobre la implementación de la seudonimización en la práctica.

Los avances en tecnología y en los tipos de servicios relacionados con la salud pueden afectar la eficacia y la aplicabilidad de una solución de seudonimización que ya se está implementando.

Las soluciones de seudonimización dependen en gran medida del estado de la técnica informática y pueden surgir desafíos o limitaciones de implementación con el tiempo. No obstante, la comunidad investigadora debe seguir trabajando en la protección de datos y la ingeniería de seguridad, incluidas las técnicas de seudonimización de última generación y sus posibles implementaciones, con el apoyo de las instituciones de la UE en términos de orientación política y financiación de la investigación.