Protegiendo el Dato que salva Vidas

  • Opinión

Emilio Castellote, IDC

En este artículo de opinión Emilio Castellote,IDC Senior Research Analyst, reeflexiona sobre la aplicación de GDPR en el Sector Salud.

También puedes leer...

Privacidad y protección de datos en aplicaciones móviles

Haciendo frente a la PSD2

Cambios de Paradigma en Seguridad

DMARC, protegiendo el email

Nuevo paradigma en la confianza

Cada vez es mayor el instrumental médico que procesa la información de forma digital (pruebas diagnósticas, historiales médicos, análisis clínicos,…) y por extensión la penetración de los sistemas de gestión de pacientes con los datos de las personas asociados se incrementan elevando el riesgo.

Los procesos de transformación digital avanzan indiscutiblemente haciéndose hueco en todas las áreas de la nueva sociedad digital, y estos procesos giran en torno a dos factores fundamentales: Las personas y los datos.

Las personas y los datos se funden continuamente hasta el punto de empezar a vislumbrar una nueva entidad (digital) que identifica y perfila con todo detalle a las personas dentro del nuevo ecosistema digital. Son multitud los datos que giran alrededor de estas nuevas entidades digitales, pero hay muchos que empiezan a ser críticos por los niveles de confidencialidad que suponen para las personas.

Uno de los sectores que mayor número de datos de elevada confidencialidad maneja es el Sector Salud. Pocos sectores están escapando a la adopción de los procesos de transformación digital y el Sector Salud no puede ser menos en esta carrera digital.

Según IDC, en 2021 la inversión en seguridad IT por los proveedores del sector salud en la zona Europa occidental alcanzará una inversión de 249 millones de euros.

Cada vez es mayor el instrumental médico que procesa la información de forma digital (pruebas diagnósticas, historiales médicos, análisis clínicos,…) y por extensión la penetración de los sistemas de gestión de pacientes con los datos de las personas asociados se incrementan elevando el riesgo.

Según IDC, en España, la partida de inversión asociada a la seguridad y gestión del riesgo del dato de los proveedores del sector salud será la que obtenga un mayor crecimiento porcentual con un 4% (CAGR entre 2018-2021), alcanzando una previsión de inversión total de 25,4M€ en el periodo 2018-2021.

Este es uno de los muchos escenarios de datos confidenciales que encontramos en la actualidad, donde garantizar esa confidencialidad y la seguridad del dato se convierten en necesidades imperiosas para el éxito de cualquier acción digital.

A pocos días de la implantación del Reglamento General de Protección de Datos (GDPR), vivimos momentos de tensión, en el lado de la empresa o la administración pública, para readaptar los procesos de gestión de la información en aras de una mayor protección del dato, pero también vivimos del lado de las personas un progresivo aumento de sus derechos en términos de confidencialidad y control del dato que identifica a las personas.

Para comprender el impacto que GDPR acabará teniendo en el Sector Salud, debemos definir cuáles son las tres características asociadas a la seguridad de un dato que debe ser protegido por el nuevo Reglamento General de Protección de Datos:

1. Confidencialidad significa que la información está protegida contra el acceso o la exposición a personas no autorizadas. Significa que un ciudadano debe poder confiar en que no se accede a la información personal confidencial por personas que no tienen derechos y un propósito concreto para ver la información. Debido a la información sensible en aplicaciones clínicas y la cantidad de datos compartidos en el ecosistema de la salud, la confidencialidad se convierte en un pilar clave.

2. Integridad significa que la información no puede ser cambiada sin autorización. Los ciudadanos y los profesionales de la salud deben confiar en que los datos a los que tienen acceso son precisos y completos para garantizar un régimen de tratamiento adecuado. Esto es particularmente importante en el cuidado de la salud, ya que el fallo en la integridad de los datos puede ocasionar serios errores médicos. Una confusión en la información del paciente, un registro de manera incorrecta o el tratamiento previo en los diagnósticos que puedan mezclan los datos de otros pacientes, puede tener implicaciones a largo plazo para los pacientes (y el personal) involucrados.

3. La disponibilidad implica que la información es accesible para las personas autorizadas donde sea relevante. Se trata de dar acceso a la información cuando es necesaria, a menudo en un entorno basado en el contexto. Cuando el tratamiento se basa en una gran cantidad de datos y la fuerza laboral clínica es a menudo móvil, entonces el acceso a los datos se vuelve crucial, no solo en entornos críticos como el de las urgencias, sino también cuando un médico especializado supervisa a otro pabellón, cuando el personal clínico está visitando al paciente en su hogar o tratando al paciente con equipo de telemedicina.

Además de la seguridad, las tres áreas destacables que en GDPR son cada vez más importantes y relevantes para los proveedores de atención médica en el área de los derechos personales son: privacidad, consentimiento y portabilidad de datos.

La privacidad y el consentimiento dentro del cuidado de la salud tratan sobre la protección de la información y solo la comparten con las partes interesadas relevantes con el consentimiento del paciente. Los pacientes deben confiar en que los proveedores de atención médica tengan la información relevante cuando sea necesario para tomar decisiones sobre su tratamiento. Al mismo tiempo, los pacientes deben tener confianza en que la seguridad de su información personal de salud se maneja de acuerdo con la legislación vigente y las mejores prácticas. Cuando los datos y los procesos se digitalizan, compartir e integrar los datos se convierte en una realidad y, por lo tanto, se convierte en una herramienta clave en un sector de la salud moderno y sólido orientado a la calidad.

Para que el procesamiento de los datos del paciente sea legítimo, a menudo debe haber un consentimiento del paciente. Cuando se trata de tratamiento de datos personales comunes, el consentimiento debe ser libre, específico, informado e inequívoco. Lo nuevo en GDPR es que el consentimiento debe ser inequívoco: el consentimiento no es ambiguo cuando la persona registrada realiza una acción afirmativa, lo que indica que la persona registrada acepta el uso de datos personales para el propósito específico. Los ejemplos de dicho consentimiento incluyen que el paciente dé su consentimiento de manera activa haciendo clic en un cuadro en una página web. El administrador de los datos está obligado a demostrar que se otorgó el consentimiento. Al procesar datos personales confidenciales, el consentimiento debe ser explícito, a menos que el procesamiento se base en otros motivos legales como se establece en el artículo 9.

Señalar que gestionar el consentimiento siempre ha sido un desafío para el sector de la salud, con las organizaciones proveedoras tratando de encontrar un equilibrio, proporcionando información clara a los pacientes que sea útil y respalde su privacidad de sus datos, sin molestarlos con documentos legales densos al ingresar a un centro de salud para recibir servicios de atención. Debido a que el paciente se encuentra en una variedad de contextos dentro de la vía de tratamiento, es relevante analizar cuándo se necesita el consentimiento. Los datos se usan en varios escenarios de casos de uso alrededor del paciente, y los proveedores de atención médica deben determinar si se requiere o no el consentimiento del paciente.

El derecho a ser olvidado y obtener información sobre los propios datos y la portabilidad de datos

Una gran preocupación para los proveedores de servicios de salud en Europa es cómo implementar el derecho del paciente a acceder a sus propios datos como paciente. Los datos del paciente se deben recopilar y entregar cuando los pacientes soliciten acceso. Por ejemplo, la regulación introduce un nuevo derecho: portabilidad de datos. Los ciudadanos tendrán derecho a obtener sus datos en un "formato estructurado y comúnmente utilizado y legible". Esto permite que los pacientes reciban sus datos para que puedan elegir ir a otro proveedor de atención o recibir atención en otro país europeo. No es el proceso o el gobierno de hacerlo lo que más preocupa a los proveedores, sino la perspectiva del repositorio de TI. Para que los proveedores puedan distribuir todos los datos, necesitan saber exactamente dónde se guardan los datos de cualquier paciente: en qué aplicación o equipo. La mayoría de los proveedores de servicios de salud tienen 50-100 aplicaciones clínicas principales y probablemente 300-900 sistemas de TI locales adicionales para especialidades específicas. Además de eso, los equipos médicos como resonancias magnéticas o escáneres de ultrasonido también almacenan datos del paciente. Implementar procesos en torno al derecho de acceso es difícil, pero establecer puntos de vista de manera estandarizada en todos los repositorios de datos de pacientes en todos los sistemas / plataformas / equipos es una gran tarea que debe ser administrada.

Con referencia al derecho a ser olvidado, el artículo 17 establece que no se aplica al registro de salud de un individuo para atención médica, propósitos de salud pública o investigación (en los casos de uso identificados en las secciones H e I del artículo 9).

El Sector Salud incorpora así las garantías necesarias para trasladar unos niveles de usabilidad y confianza a las personas (pacientes) que tienen que percibir la entrada en vigor de la nueva legislación en materia de protección de datos (GDPR) como un refuerzo de sus derechos fundamentales en materia de privacidad de su identidad digital.

TAGS GDPR