La privacidad en los datos de salud es un campo de máxima actualidad que se está convirtiendo en todo un reto, tanto para las administraciones públicas como para las empresas.
Los prestadores sanitarios, públicos y privados, llevan tres décadas informatizando la prestación sanitaria y recogiendo, paulatinamente, datos de los ciudadanos como pacientes. Pero sólo recientemente estos sistemas -hasta hace poco islas de información- han comenzado a interconectarse y a crear grandes conglomerados de datos. Datos que han despertado la atención de mafias organizadas en busca de beneficios. Por poner algún ejemplo, citaré dos grandes robos de datos de salud recientes::
- Este mismo año, en 2015, ha sido sustraída la información sanitaria de 80 millones de clientes de la aseguradora americana Anthem.
- El año pasado ocurrió con la distribuidora de medicamentos Home Depot y afectó a 53 millones de sus clientes.
Pero ¿para qué quieren las mafias organizadas nuestros datos de salud? Los usos pueden ser diversos: obtener prescripciones fraudulentas a través de la creación de identidades falsas, chantajear a personas a partir de la información sobre sus enfermedades, o vender dicha información a empresas de marketing para campañas de productos en base a la misma.
La privacidad de los datos de salud de los ciudadanos es un derecho generalmente reconocido en casi todos los países del mundo. En la Unión Europea, la privacidad de los datos de los ciudadanos, incluidos los de salud, se recoge en la directiva 95/46/EC, que se traslada a la legislación nacional española en la Ley Orgánica de Protección de Datos (LOPD).
La LOPD establece tres niveles de protección de los datos personales, y los datos de salud gozan del nivel de protección máximo. Entre las medidas que administraciones públicas y empresas deben cumplir se encuentran:
- Requisitos relacionados con la identificación en el acceso a la información confidencial.
- Requisitos relacionados con la gestión de documentos y medios electrónicos de almacenamiento.
- Requisitos relacionados con las copias de seguridad, su almacenamiento y restauración.
- Requisitos relacionados con las comunicaciones y su cifrado.
- Requisitos relacionados con el acceso físico de las personas a las instalaciones y soportes físicos de la información confidencial.
- Requisitos relacionados con la gestión de incidentes de seguridad.
- Requisitos relacionados con la devolución de datos a sus propietarios.
En Estados Unidos, la privacidad de los datos de salud se recoge en la denominada HIPAA, esto es, la Health Insurance Portability and Accountability Act, que establece:
- Una normativa de privacidad (Privacy Rule), orientada a regular el uso que se hace por parte de las organizaciones sanitarias de la información confidencial de los pacientes.
- Una normativa de seguridad (Security Rule), que establece las normas de seguridad informática que deben poner en marcha los prestadores sanitarios que usan información de pacientes en formato electrónico (electronic protected health information o e-PHI). Entre las exigencias de esta última norma están el control y auditoría de accesos a información confidencial, el cifrado de las comunicaciones, el control de acceso físico a los centros de proceso de datos donde se guarda información confidencial, la configuración y uso de los puestos de trabajo desde los que se puede acceder a información confidencial, procedimientos de acceso a la información, formación del personal y evaluación de riesgos, entre otros.
La HIPAA es de obligado cumplimiento para todas las aseguradoras y empresas asociadas que manejan datos confidenciales de pacientes, y la Oficina de Derechos Civiles (Office of Civil Rights, OCR) persigue su cumplimiento.
Pero el escenario de la seguridad de los datos de salud es susceptible todavía de complicarse y lo está haciendo. El nuevo reto viene de la mano de las apps en el entorno sanitario. Desde hace poco, están apareciendo en el mercado numerosas aplicaciones orientadas a lo que en inglés se denomina self tracking o autoseguimiento, con las que los individuos pueden registrar sus datos de salud y las constantes vitales que constituyen su evolución.
Estas aplicaciones, a veces aisladas y otras veces vendidas con dispositivos que capturan las constantes vitales del usuario (tensión, peso, saturación de oxígeno en sangre, actividad física …) dejan la información en manos de las empresas fabricantes y ésta acaba normalmente en almacenes de datos en la nube en EEUU, fuera del control de algo tan arcaico y necesario como las legislaciones nacionales. Es más: «Tras analizar 43 apps de estos sectores se ha descubierto que el 26 por ciento de las gratuitas y el 40 por ciento de las de pago no tienen ningún tipo de política de privacidad, y dejan sin protección los datos que toman de nuestros dispositivos móviles.»
Los gigantes del sector, como Apple y Google, al ver el potencial comercial de estos datos, han generado una nueva generación de «agregadores» de datos de salud: Health Kit y Google Fit. Y han comenzado una carrera por conectar tanto dispositivos como grupos hospitalarios, por ahora en EEUU, lo que supone, a la postre, poder subir a sus respectivas nubes los datos de salud de millones de usuarios.
Sin un análisis jurídico en profundidad de la materia, parece evidente que estas aplicaciones están volando por debajo del radar de la LOPD y resto de traslaciones nacionales de la directiva europea de protección de datos. Incluso en EEUU la HIPAA es de obligado cumplimiento para las aseguradoras sanitarias y sus asociados, por lo que las empresas relacionadas con el self tracking ni siguiera están obligadas a cumplir la misma (lo cual se ha convertido en una de las principales críticas a dicha legislación). Si recordamos los archiconocidos problemas de seguridad de empresas como Sony, no se nos puede escapar el riesgo que supone poner la información confidencial sobre nuestra salud en manos de estos gigantes de Internet.
Imagen: Juhan Sonin