El acceso de los pacientes a su información sanitaria: nuevas oportunidades y garantías imprescindibles

Octubre de 2014 - Emilio Aced Félez. Agencia Española de Protección de Datos.

Los ciudadanos demandan cada vez más que la información relativa a su salud les resulte fácilmente accesible. Dada la especial sensibilidad de dicha información, el acceso electrónico a estos datos debe llevarse a cabo garantizando sus derechos fundamentales, su privacidad y, muy especialmente, la seguridad de la misma

Vivimos en un mundo en el que damos por descontado que cualquier tipo de información se encuentra a solo un clic de distancia y, por ello, los ciudadanos demandan cada vez más que también la relativa a su salud les resulte fácilmente accesible.

Por esta razón, cada vez hay más servicios sanitarios que deciden, generalmente a través de la implantación de las llamadas carpetas de salud electrónica, ofrecer a los pacientes la posibilidad de consultar online sus datos y documentos clínicos más relevantes.

Estas iniciativas facilitan el derecho de acceso, elemento esencial para garantizar que las personas tienen un control efectivo sobre la forma en que se recogen, tratan y difunden sus datos personales y, por ello, deben ser bienvenidas.

De cualquier forma, dada la especial sensibilidad de la información sanitaria -que está especialmente protegida por las leyes de protección de datos- este acceso electrónico debe llevarse a cabo garantizando los derechos fundamentales de los ciudadanos, su privacidad y, muy especialmente, la seguridad de la misma.

Así, antes de poner en marcha estos proyectos es necesario reflexionar sobre todos los aspectos que están en juego y, en particular, llevar a cabo un análisis de los posibles riesgos que este acceso a la información a través de redes públicas de telecomunicaciones puede suponer para la privacidad.

Esta reflexión es un elemento esencial de la Privacidad desde el Diseño, metodología que pretende incorporar los requisitos en materia de protección de datos desde los instantes iniciales del desarrollo de un nuevo producto, servicio o sistema de información, y se concreta en lo que se conoce como Evaluación de Impacto en la Protección de Datos Personales (EIPD).

Esta valoración es particularmente importante en el sector sanitario y, especialmente, cuando se trata de abrir las bases de datos y las redes privadas de los servicios de salud a los pacientes para que accedan a ellas desde sus ordenadores o sus dispositivos móviles inteligentes, lo que supone importantes riesgos adicionales para la seguridad de la información.

Para facilitar esta tarea, la AEPD ha publicado un primer borrador de una Guía para la Evaluación de Impacto en la Protección de Datos Personales (se puede consultar en el sitio web de la Agencia, www.agpd.es), que ha sido sometida a consulta pública.

El resultado de dicha consulta está siendo analizado en estos momentos por la Agencia y en breve se publicará la guía definitiva con los elementos esenciales que han de tenerse en cuenta en la realización de estas evaluaciones, cuyo objetivo es detectar y corregir los riesgos que cualquier proyecto pueda tener para la privacidad de los ciudadanos.

En su realización, se deben revisar todas las áreas y procesos en las que se concreten los tratamientos encaminados a proporcionar acceso a los pacientes a sus datos sanitarios; pero deberá prestarse especial atención a los aspectos que se enumeran a continuación.

El primero y más importante -ya que sin él es imposible construir el resto de garantías- es asegurarse una correcta identificación del paciente que accede a los datos y la autenticación del mismo, esto es, la verificación más allá de cualquier duda razonable de que la persona es quien dice ser y que tiene derecho a acceder al sistema.

Para conseguir esta identificación y autenticación inequívocas existen diversas posibilidades, siendo la más recomendable la utilización de los sistemas de firma electrónica avanzada, incluyendo los basados en certificados electrónicos reconocidos y, en particular, los incorporados al DNI-e.

También se están poniendo últimamente en marcha mecanismos que utilizan un sistema de registro previo y el teléfono móvil del usuario para enviarle un código que solo es válido durante un periodo corto de tiempo (típicamente, 24 horas, por lo que algunos de ellos se conocen como PIN24).

No obstante, hoy en día, todavía siguen siendo mayoría los sistemas de identificación y autenticación que se basan en la combinación de un código de usuario y una contraseña. Si este es el camino elegido, hay que poner de manifiesto una serie de requisitos mínimos.

En primer lugar, se desaconseja utilizar números identificativos como el del DNI o la tarjeta sanitaria como códigos de usuario. Por diversos motivos, pueden estar disponibles para una pluralidad de personas, pueden ser conseguidos a través de búsquedas en internet, o con técnicas de ingeniería social.

Adicionalmente, la contraseña no debe ser una palabra que se encuentre en los diccionarios, ni el nombre de familiares o mascotas o fechas fáciles de determinar por terceros por no hablar de las contraseñas triviales que aparecen en muchas ocasiones (1234, asdfg, etc.).

Idealmente, una contraseña robusta debería tener una longitud mínima (no menos de seis u ocho caracteres), contener mayúsculas, minúsculas, números y caracteres especiales; pero habrá de encontrarse un equilibrio entre estos requisitos y la necesidad de que se pueda recordar sin excesivas dificultades.

Además, la legislación de protección de datos exige que cuando se utilicen estos mecanismos de identificación y autenticación exista un procedimiento seguro de asignación, distribución y almacenamiento que garantice su confidencialidad e integridad. Y deberán tomarse las medidas necesarias para que las contraseñas se cambien periódicamente (al menos una vez cada doce meses) y para limitar la posibilidad de intentar reiteradamente el acceso no autorizado.

En cualquier caso, hay que hacer notar que la autenticación de un usuario descansa en tres factores básicos: algo que se sabe (clave, contraseña, PIN...); algo que se tiene (credencial, tarjeta magnética, tarjeta inteligente, teléfono móvil...) y algo que se es (cualquier tipo de dato biométrico).

Así, se habla de autenticación fuerte cuando se utilizan al menos dos de estos factores para verificar la identidad: si uno queda comprometido, siempre queda otro que nos puede ayudar a impedir accesos no autorizados. Si los riesgos detectados en la evaluación de impacto así lo aconsejan, habrían de implantarse mecanismos de autenticación fuerte para garantizar el acceso a los datos de salud únicamente a sus legítimos titulares.

La siguiente faceta que se debe considerar es la confidencialidad: que solo aquellas personas legitimadas para acceder a la información –en particular, los pacientes- puedan hacerlo, impidiéndose que terceros no autorizados tengan esta posibilidad.

En este punto hay que reseñar que, por muy evidente que parezca este requisito, con frecuencia se dan casos en los que se entrega información sanitaria a quien no corresponde: otros pacientes distintos, profesionales no autorizados, terceras personas, etc.

Por lo tanto, hay que implantar mecanismos sólidos de control de accesos para conseguir que antes de entregar cualquier información se verifique que la persona, que previamente hemos identificado y autenticado, tiene derecho a consultarla.

Ello es particularmente importante en el tipo de proyectos que nos ocupa, ya que, normalmente, se accede a través de internet y todos somos conscientes del largo historial de quiebras de seguridad y de explotación de vulnerabilidades en esta red.

Una de las herramientas más interesantes para preservar la confidencialidad de la información es el cifrado. La norma de protección de datos española obliga a que los relativos a la salud se cifren de una manera suficientemente robusta cuando se transmiten a través de redes de telecomunicaciones públicas o inalámbricas.

Además, aunque no sea legalmente obligatorio, para proteger la confidencialidad en todo el proceso y no solo durante la transmisión, es aconsejable que los datos de salud permanezcan cifrados cuando estén almacenados en las instituciones sanitarias. Esta medida dificulta en gran manera que queden comprometidos si culminan con éxito ataques a los sistemas de información sanitaria.

Del mismo modo, hay que señalar que las tendencias legislativas en el ámbito de la seguridad establecen la obligatoriedad de notificar a la autoridad de control competente los incidentes de seguridad que hayan afectado a datos de carácter personal.

Igualmente, si se constata que dichos incidentes pueden dañar la privacidad de los afectados, también ellos deberán ser notificados. Esta comunicación no será necesaria si puede demostrarse que se han implantado medidas de protección tecnológica apropiadas que hagan ininteligibles los datos para cualquier persona que no esté autorizada a acceder a ellos como, por ejemplo, utilizando una herramienta de cifrado adecuada.

Asimismo, son imprescindibles la autenticidad y la preservación de la integridad de la información: que quien introduce la información sea quien dice ser y solo la introduzca el personal autorizado, que los datos sean correctos, no manipulados y se correspondan con la realidad.

Si uno de los objetivos de facilitar el acceso de los pacientes a sus datos de salud es que puedan tomar decisiones informadas sobre la misma, es imprescindible garantizar la calidad e integridad de la información: que no haya información desactualizada, que se almacene información diferente en lugares distintos, que existan procedimientos que garanticen la corrección y exactitud de la información, que se implanten controles suficientes para evitar la suplantación de identidad, que se forme adecuadamente a personal y pacientes para detectar las técnicas de ingeniería social, etc.

Especialmente importante es también la trazabilidad de las acciones sobre la información de salud. Es imprescindible –además de una obligación legal- saber quién accede a la información, en qué momento se ha accedido y qué información se ha visualizado o modificado.

Así, ante comportamientos irregulares, fugas o robos de información será posible detectar la fuente de estas acciones ilegítimas y depurar las responsabilidades a que hubiera lugar, sin posibilidad de que el autor pueda negar los hechos.

Sin embargo, antes de acabar este trabajo, es necesario advertir que estos proyectos para poner información a disposición de los pacientes no se agotan en las iniciativas de los servicios de salud respecto de los datos que obran en sus archivos e historias clínicas.

A este respecto, cada vez toman mayor ímpetu instrumentos como los blogs sanitarios, el uso de entornos de cloud computing privados para almacenar datos de salud, los grupos de apoyo a pacientes, las redes sociales profesionales, la utilización de aplicaciones estándar para compartir información médica (Whatsapp, e-mail, etc.), la proliferación de las apps de salud que pueden integrar diversos sensores, etc.

En estas herramientas, en muchas ocasiones y, generalmente, por iniciativa de los propios pacientes, se publican una gran cantidad de datos de salud por lo que deberían analizarse de forma cuidadosa antes de ponerlos en marcha. Con carácter general, la realización de una Evaluación de Impacto en la Protección de Datos siempre resulta muy aconsejable y, en particular, para revisar las cuestiones que se plantean aquí.

Para terminar, quiero hacer hincapié en un aspecto que en muchas ocasiones se descuida y que resulta imprescindible para garantizar un tratamiento adecuado y seguro de los datos personales: la formación, tanto de los profesionales de la salud y de la gestión sanitaria como de los propios pacientes.

Esta formación es la primera y más eficaz línea de defensa para garantizar que las disposiciones adoptadas para minimizar los riesgos se van a desplegar en un medio adecuado y preparado; en el que la concienciación de todas las partes va a cooperar para que el conjunto de medidas implantadas proporcione un entorno seguro y privado a nuestros datos de salud.