La protección de datos debe ser una prioridad para las instituciones de salud. Es decir, éstas deben establecer políticas de protección con múltiples niveles de seguridad y confidencialidad.
Todos recibimos llamadas en nuestros teléfonos móviles —o fijos, si todavía usas uno— en las que una institución bancaria, de seguros o inclusive una empresa comercial te llama desde un centro telefónico para ofrecerte algo que desde luego no te interesa. ¿Cómo obtuvieron mi número? ¿Por qué me siguen llamando a pesar de mis múltiples solicitudes de detener las llamadas?
Los datos generales existen en nuestras cuentas bancarias, de Facebook, Amazon, Google, Apple y un sinnúmero adicional de bases de datos en las que nos hemos registrado de manera voluntaria. Sin embargo, en México existen leyes, como la Ley Federal de Protección de Datos Personales en Posesión de Particulares (LFPDPPP) y la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, cuyo objetivo es garantizar a las personas un uso lícito y controlado de sus datos tanto por las empresas privadas como por los organismos públicos. Desde luego, esto incluye a las instituciones de salud.
Protección de datos y cultura de ciberseguridad
La gran mayoría de los hospitales privados en México ya tienen en funcionamiento algún sistema de expediente clínico electrónico. En el caso de las instituciones públicas, si bien existen expedientes electrónicos, no han sido aún coordinados a nivel federal, estatal ni entre las instituciones del sector público. Aun así, para regular su manejo se emitió la Norma Oficial Mexicana NOM-004 Salud, Expediente Clínico.
¿Qué información específica debe tener una institución de salud? ¿Quiénes dentro de la institución debe tener acceso a esa información? ¿Cuándo y cómo es deseable que esa información sea compartida por la institución y en qué escenarios debe ser protegida sin compartirla externamente?
Sin duda el historial clínico, las consultas, enfermedades, los síntomas, el tipo de seguro médico y muchos más campos en nuestro historial clínico son exclusivos de la institución de salud y, de hecho, son privados y propiedad del paciente, de acuerdo con la legislación. Muchas empresas de seguros tienen convenios con hospitales para temas de cobertura a pacientes que son clientes de la aseguradora, pero eso no les da acceso a la información de nuestro expediente clínico.
Si bien lo recomendable es tener como institución —y como departamento de TIC en particular— políticas de protección de datos con múltiples niveles de seguridad y confidencialidad, aún queda un buen trecho por recorrer en México. Una investigación periodística realizada en 2018 por Arena pública reveló que, en las políticas de privacidad que por ley están obligadas a publicar, casi ninguna institución de salud hacen mención explícita de su responsabilidad en la ciberseguridad de los datos de los pacientes. De hecho, sólo el ISSSTE especifica los pasos que toma para lograr dicha protección, aunque señala que no son infalibles y pide a los pacientes estar conscientes de ello.
Políticas claras, una necesidad
De acuerdo con una entrevista realizada por el CONACYT a la maestra Itzelle Medina —quien actualmente realiza en la Universidad de Sheffield, Reino Unido, una investigación doctoral sobre el flujo de los datos personales en el sistema de salud británico—, para que realmente sea eficaz la protección de datos de los pacientes en el sector salud resulta indispensable crear en los médicos una cultura institucional de protección a la privacidad. De esa manera, apunta la investigadora, podrán dimensionar las consecuencias de compartir la información y determinar con más facilidad en qué circunstancias es pertinente hacerlo sin violar las leyes ni poner en riesgo al paciente.
Para lograr la cultura de ciberseguridad en las instituciones de salud y evitar ataques como el sufrido en 2015 por el Servicio Nacional de Salud británico (NHS), el mejor camino pasa por establecer políticas muy claras y apegadas a las leyes, además de implementar el entrenamiento continuo de todo el personal, como se expone en el artículo Ciberseguridad en la salud: cómo entrenar.
Estas acciones permitirán garantizar, tanto al paciente como a la institución, que la información clínica tiene un manejo adecuado para minimizar el riesgo de que sean compartidos sin autorización ni —lo que sería mucho peor— robados o víctimas de un ciberataque.