La privacidad de los datos de salud en la era digital

  07/12/2022   5 min

La privacidad en los datos de salud es un campo de máxima actualidad que se está convirtiendo en todo un reto, tanto para las administraciones públicas como para las empresas.

Los prestadores sanitarios, públicos y privados, llevan tres décadas informatizando la prestación sanitaria y recogiendo, paulatinamente, datos de los ciudadanos como pacientes. Pero sólo recientemente estos sistemas -hasta hace poco islas de información- han comenzado a interconectarse y a crear grandes conglomerados de datos. Datos que han despertado la atención de mafias organizadas en busca de beneficios. Por poner algún ejemplo, citaré dos grandes robos de datos de salud recientes::

  • Este mismo año, en 2015, ha sido sustraída la información sanitaria de 80 millones de clientes de la aseguradora americana Anthem.
  • El año pasado ocurrió con la distribuidora de medicamentos Home Depot y afectó a 53 millones de sus clientes.

Pero ¿para qué quieren las mafias organizadas nuestros datos de salud? Los usos pueden ser diversos: obtener prescripciones fraudulentas a través de la creación de identidades falsas, chantajear a personas a partir de la información sobre sus enfermedades, o vender dicha información a empresas de marketing para campañas de productos en base a la misma.

La privacidad de los datos de salud de los ciudadanos es un derecho generalmente reconocido en casi todos los países del mundo. En la Unión Europea, la privacidad de los datos de los ciudadanos, incluidos los de salud, se recoge en la directiva 95/46/EC, que se traslada a la legislación nacional española en la Ley Orgánica de Protección de Datos (LOPD).

La LOPD establece tres niveles de protección de los datos personales, y los datos de salud gozan del nivel de protección máximo. Entre las medidas que administraciones públicas y empresas deben cumplir se encuentran:

  • Requisitos relacionados con la identificación en el acceso a la información confidencial.
  • Requisitos relacionados con la gestión de documentos y medios electrónicos de almacenamiento.
  • Requisitos relacionados con las copias de seguridad, su almacenamiento y restauración.
  • Requisitos relacionados con las comunicaciones y su cifrado.
  • Requisitos relacionados con el acceso físico de las personas a las instalaciones y soportes físicos de la información confidencial.
  • Requisitos relacionados con la gestión de incidentes de seguridad.
  • Requisitos relacionados con la devolución de datos a sus propietarios.

En Estados Unidos, la privacidad de los datos de salud se recoge en la denominada HIPAA, esto es, la Health Insurance Portability and Accountability Act, que establece:

  • Una normativa de privacidad (Privacy Rule), orientada a regular el uso que se hace por parte de las organizaciones sanitarias de la información confidencial de los pacientes.
  • Una normativa de seguridad (Security Rule), que establece las normas de seguridad informática que deben poner en marcha los prestadores sanitarios que usan información de pacientes en formato electrónico (electronic protected health information o e-PHI). Entre las exigencias de esta última norma están el control y auditoría de accesos a información confidencial, el cifrado de las comunicaciones, el control de acceso físico a los centros de proceso de datos donde se guarda información confidencial, la configuración y uso de los puestos de trabajo desde los que se puede acceder a información confidencial, procedimientos de acceso a la información, formación del personal y evaluación de riesgos, entre otros.

La HIPAA es de obligado cumplimiento para todas las aseguradoras y empresas asociadas que manejan datos confidenciales de pacientes, y la Oficina de Derechos Civiles (Office of Civil Rights, OCR) persigue su cumplimiento.

Pero el escenario de la seguridad de los datos de salud es susceptible todavía de complicarse y lo está haciendo. El nuevo reto viene de la mano de las apps en el entorno sanitario. Desde hace poco, están apareciendo en el mercado numerosas aplicaciones orientadas a lo que en inglés se denomina self tracking o autoseguimiento, con las que los individuos pueden registrar sus datos de salud y las constantes vitales que constituyen su evolución.

Estas aplicaciones, a veces aisladas y otras veces vendidas con dispositivos que capturan las constantes vitales del usuario (tensión, peso, saturación de oxígeno en sangre, actividad física …) dejan la información en manos de las empresas fabricantes y ésta acaba normalmente en almacenes de datos en la nube en EEUU, fuera del control de algo tan arcaico y necesario como las legislaciones nacionales. Es más: "Tras analizar 43 apps de estos sectores se ha descubierto que el 26 por ciento de las gratuitas y el 40 por ciento de las de pago no tienen ningún tipo de política de privacidad, y dejan sin protección los datos que toman de nuestros dispositivos móviles."

Los gigantes del sector, como Apple y Google, al ver el potencial comercial de estos datos, han generado una nueva generación de "agregadores" de datos de salud: Health Kit y Google Fit. Y han comenzado una carrera por conectar tanto dispositivos como grupos hospitalarios, por ahora en EEUU, lo que supone, a la postre, poder subir a sus respectivas nubes los datos de salud de millones de usuarios.

Sin un análisis jurídico en profundidad de la materia, parece evidente que estas aplicaciones están volando por debajo del radar de la LOPD y resto de traslaciones nacionales de la directiva europea de protección de datos. Incluso en EEUU la HIPAA es de obligado cumplimiento para las aseguradoras sanitarias y sus asociados, por lo que las empresas relacionadas con el self tracking ni siguiera están obligadas a cumplir la misma (lo cual se ha convertido en una de las principales críticas a dicha legislación). Si recordamos los archiconocidos problemas de seguridad de empresas como Sony, no se nos puede escapar el riesgo que supone poner la información confidencial sobre nuestra salud en manos de estos gigantes de Internet.

Imagen: Juhan Sonin

Julio Jesús Sánchez García
Ingeniero de Telecomunicaciones, Executive MBA por el IE, gestor de proyectos de transformación digital (con las certificaciones PMP, ITIL & Scrum Master) y estudiante de antropología. Desde 1993 trabajo en el Grupo Telefónica en áreas relacionadas con las Tecnologías de la Información. En los últimos años ha estado liderando el equipo de proyectos de Sanidad digital de Telefónica, implicado en el desarrollo de servicios innovadores TIC para los sectores sanitario y social. Miembro de la junta directiva de la Asociación de Salud Digital y del Grupo de Trabajo e-Salud del COIT-AEIT. Enfocado a la dirección de proyectos de transformación digital de la sanidad, la telemedicina y la privacidad de los datos sanitarios, su seguridad y la normativa que los atañe.

Soluciones y Sectores

Te puede interesar

Conoce toda nuestra Propuesta de Valor para Grandes Clientes

Para tu conectividad

 Somos líderes en tecnologías de conectividad, contamos con un potente ecosistema de alianzas, conocemos al 100% los procesos y aplicamos las tecnologías a las necesidades de cualquier sector.

Para tu nube

 Todas las ventajas que el Cloud puede aportar a tu negocio: Soluciones de los principales proveedores y puesta en marcha por equipos profesionales de primer nivel.

Para tu Ciberseguridad y Seguridad Tecnológica

 Somos conscientes de que es esencial dotar a las empresas de los recursos necesarios para hacer frente a los riesgos de seguridad que pongan en peligro su negocio y su reputación.

Para tus Procesos

 Desde Telefónica Empresas, te ayudamos a conocer, reducir y controlar tus procesos, generar eficiencias y optimizar operaciones, garantizando la permanencia de tu negocio.

Para tus Clientes

 Conectar con tus clientes es básico para la pervivencia de tu negocio. Te ofrecemos todo tipo de soluciones (CRM, Asistentes virtuales, Espacios inteligentes, líneas 900…)

Para tus Empleados

 La propuesta de Telefónica Empresas incluye todas las herramientas que tus empleados necesitan para trabajar con la mejor experiencia de usuario. Porque retener el talento es básico.

Consultoría e innovación tecnológica

Toda nuestra experiencia de transformación e innovación a tu alcance. Porque en Telefónica Empresas contamos con un equipo con experiencia tanto en proyectos internos de la compañía, como con clientes de distintos sectores y tamaños.
Consultoría e innovación tecnológica
Te atendemos en el 1489

Contáctanos
Soy una Pyme     No soy empresa
Ir arriba