Ricard Martínez, presidente de la Asociación Profesional Española de Privacidad (APEP) y Cayetano M. Hernández Marín, Presidente, Asociación Valenciana de Informáticos de Sanidad (AVISA) responden a la entrevista de forma coordinada con ISACA Valencia y SEIS, organizaciones junto con las que firmaron el Manifiesto de Valencia sobre privacidad y seguridad de los sistemas de información sanitarios.
Ricard Martínez, presidente de la Asociación Profesional Española de Privacidad (APEP)
- Vivimos en la era de la información y la salud no queda al margen. ¿Están suficientemente protegidos nuestros datos e historiales médicos?
Normativamente hablando la respuesta debe ser afirmativa. La Ley Orgánica de Protección de datos y su reglamento establecen un régimen muy exigente tanto en materia de captación, que requiere por regla general un consentimiento escrito, cómo en relación con el perfil funcional de quienes pueden tratar los datos personales, y la seguridad que debe aplicarse. Y existe legislación específica en relación con la historia clínica, los ensayos clínicos o el medicamento.
Pero ello exige un compromiso activo de todas las organizaciones que tratan estos datos desde el más complejo de los hospitales a la más humilde de las consultas privadas, y sin olvidar a los nuevos actores que están actualmente recogiendo datos de saluda través de dispositivos móviles. La protección de nuestros datos de salud requiere de un compromiso activo y constante, y de un esfuerzo mantenido en el tiempo.
- ¿A qué amenazas nos enfrentamos? ¿A quién puede interesar acceder a los datos médicos de los demás?
En primer lugar, nos enfrentamos a amenazas internas y que no necesitan ni siquiera de una mala intención. Asegurar la calidad de un dato contribuye a garantizar la administración del tratamiento más adecuado, ayuda a no cometer errores. Asegurar la confidencialidad proporciona seguridad y confianza al paciente y le garantiza una esfera de dignidad.
Si tomamos como referencia lo que se viene escribiendo en los últimos años el ataque a bases con datos de salud ha sido contemplado en escenarios de ciberguerra y también se ha considerado su alto valor comercial como uno de los centros de interés.
- ¿Las aseguradoras podrían estar comercializando los datos de sus asegurados? ¿Son duras las leyes contra este tipo de actuaciones?
Que los datos de salud tengan un elevado valor comercial, no significa necesariamente que se estén comercializando. En nuestro contexto la legislación es particularmente exigente y requiere de consentimientos expresos del paciente. Por otra parte, el principio de finalidad es determinante en este ámbito de modo que el hecho de recoger un dato para prestar un servicio vinculado a la salud, o para asegurar un riesgo no habilita automáticamente a su comercialización. Y desde luego, si este tratamiento se realizase con infracción de la legislación española sobre protección de datos las sanciones son ciertamente elevadas.
- ¿Podría una empresa estar interesada en ver el estado de salud de sus futuros trabajadores? ¿Hasta qué punto es legítimo solicitar un examen de salud para acceder a un puesto de trabajo? ¿Vamos hacia la inclusión de los datos médicos en el currículum?
Una empresa debería estar interesada en conocer el estado de salud de sus futuros trabajadores en los casos en los que legalmente tiene la obligación para ello. Un principio básico consiste en garantizar que las condiciones de salud lo hacen apto para el puesto y no se pone en peligro a sí mismo y/o al entorno de trabajo. Pero no más allá. Si lo que pregunta es si en un futuro podría haber exclusiones o discriminaciones por razones de salud la respuesta debe ser negativa. La especial consideración normativa de los datos de salud como datos especialmente protegidos, responde precisamente a este objetivo, evitar la discriminación.
- ¿Son fiables las aplicaciones destinadas a mejorar nuestro estado físico? ¿Y si lo hacen captando y transfiriendo datos sobre nuestras constantes vitales?
No sé si son fiables, carezco de los conocimientos técnicos para ello. Sin embargo jurídicamente le diré que todas incluyen un disclaimer, un término o condición que les exime de cualquier responsabilidad por un uso inadecuado. Estas aplicaciones si quieren cumplir su cometido establecerán relaciones entre variables como peso y altura, pulsaciones por minuto, metros recorridos y forma en la que se hizo. Por tanto tratarán datos antropométricos, datos de salud, algunas incluso permiten incluir datos sobre qué comemos, cómo dormimos, nuestra geolocalización… Y seguramente, por razones obvias almacenarán esa información en sus servidores.
Esto en sí mismo, no es ni bueno ni malo dependerá del uso que se le dé. Pero lo cierto, es que muchos de nuestros lectores se bajaron esa aplicación y la instalaron compulsivamente aceptando sin leer cosas como: la aplicación de la normativa de otro país, el uso de sus datos con fines de explotación comercial, la cesión de sus datos personales. Debemos ser conscientes de que cuando instalamos una aplicación móvil, estamos firmando un contrato.
Cayetano M. Hernández Marín, Presidente, Asociación Valenciana de Informáticos de Sanidad (AVISA)
- ¿Las competencias autonómicas en salud interfieren en el libre acceso a la información de salud de los pacientes por parte del personal médico? ¿Hasta qué punto están coordinadas las autonomías si cada una dispone de una tarjeta de salud propia?
La interoperabilidad a nivel europeo es un objetivo consolidado en esta materia. La cuestión no reside tanto en si cada uno tiene una tarjeta de salud o un sistema de gestión, como en la capacidad de que estos sistemas intercambien datos de modo adecuado y estos datos externos estén correctamente integrados en los sistemas de información utilizados por los profesionales.
En el ámbito de la administración electrónica se han alcanzado logros importantes y en sanidad se alcanzará con toda seguridad esta interoperabilidad, ya que se dispone de los estándares necesarios. Actualmente ya existen algunas iniciativas entre comunidades, e incluso entre países, para compartir un resumen de la historia clínica, donde figuran habitualmente datos como alergias medicamentosas, patologías crónicas, etc. Sin embargo no son de uso habitual, ya que normalmente no están fácilmente accesibles por el profesional sanitario y si el paciente está consciente ya les facilita la información relevante sobre su salud.
- ¿Qué grado de implantación tiene la telemedicina en España? ¿es segura en cuanto a la privacidad se refiere?
El mayor desafío de la telemedicina en estos momentos quizás no sea tanto la privacidad como la interoperabilidad. Existen experiencias muy interesantes por ejemplo en Euskadi pero su nivel de implantación es muy diverso. Desde el punto de vista de la seguridad, es segura y debe ser segura ya que las normas así lo exigen. Por ponerle un ejemplo, los datos deben viajar adecuadamente protegidos y ser inaccesibles a terceros. El valor seguridad va a ser estratégico ya que el propio concepto de telemedicina va a alcanzar un significado muy intenso de la mano de los Smartphones y las aplicaciones móviles. Otro factor importante para el éxito de la telemedicina es que ésta se integre como un proceso asistencial más en la consulta médica o de enfermería, ya que a menudo se ve como algo exótico o como un alarde tecnológico, y en realidad es algo que no tiene mucho misterio.
Si (
No(
.jpg "Ana Contreras, directora de escena: '¡Bastante tengo con ser fiel a mí misma!'")
