Publicado en Revista CISALUD |N11| Diciembre 2013 - Febrero de 2014

Nuestra salud digital

La brecha entre el tratamiento de datos sensibles y la regulacin legal O los derechos de los Pacientes y la integridad de su informacin de salud. La salud del Paciente no solo est en manos de los profesionales de la salud; en la actualidad los departamentos legales y tecnolgicos son sus socios naturales en el cumplimiento de las leyes respecto de la integridad y tratamiento de los datos sanitarios Y por sobre todo en la disponibilizacin e integridad de la informacin que puede salvar una vida. Para interiorizarnos en esta problemtica e interpretar como se ha globalizado la responsabilidad en la atencin de la salud dentro de cada una de las Instituciones Sanitarias a travs de sus distintos departamentos operativos, primero debemos partir de desde estas tres premisas: 1. Contamos con regulaciones legales definidas y orientadas a la proteccin de datos personales y a los derechos de los Pacientes, que son nuestro primer marco de referencia para asegurar la atencin. (LEY 17.132 Nacional - Ejercicio de la Medicina, Odontologa, y de las actividades de colaboracin, Ley 14.494 Provincial (Bs.As.) Historia clnica electrnica, Ley 26529 Nacional - Derechos del Paciente, historia clnica y consentimiento informado, Ley 25506 Nacional - Firma digital) 2. Cambio de enfoque de las reas de tecnologa y seguridad de la informacin como componentes de servicio necesarios para los procesos asociados a la atencin y cuidado de los Pacientes (ISO/IEC 20.000 Sistema de Gestin de Servicios de TI, ITIL, CobIT, ValIT) 3. Establecimiento de una nueva visin para la gestin de control corporativo, denominada GRC y que se basa en la gobernabilidad corporativa, gestin integral de riesgos del negocio y cumplimiento de leyes y regulaciones. Iniciar este artculo conociendo estos conceptos nos ayudar a entender y a naturalizar el porqu de la integracin de departamentos tan dismiles como las reas tcnicas mdicas (profesionales de la salud en cualquiera de sus disciplinas), las reas tecnolgicas (responsables de los sistemas, comunicaciones y seguridad de la informacin) y las reas tcnicas legales (responsables de acompaar y guiar en la implementacin de soluciones para el cumplimiento que surge del marco regulatorio de las entidades de salud). Ahora el objetivo La salud del Paciente. El smbolo de la moral colectiva y la promesa tica de los mdicos unidos por un nico propsito de curar y aliviar a sus Pacientes se materializa en el Juramento Hipocrtico, que desde su concepcin ha evolucionado 2013 CYBSEC 1

como as tambin lo hizo la prctica de la medicina a travs de la influencia tecnolgica. Desde mi opinin, esta evolucin ha permitido que de distintas formas se cambie el enfoque de concentrarse en curar enfermedades a interesarse en el cuidado de la persona como un ser concreto abarcando tanto sus aspectos fsicos como psquicos, responsabilidad no solo de los profesionales mdicos en cualquiera de sus especialidades sino tambin de otras personas del rea de la salud y principalmente relacionadas con la tecnologa mdica. Debido a ello, y especficamente desde las reas de tecnologa de la informacin, es que deben brindar a los profesionales de la salud un ambiente seguro de trabajo garantizando confidencialidad e integridad de los datos a Pacientes y Afiliados, reflejando en los sistemas y soluciones tecnolgicas aquellas medidas de cumplimiento surgidas de las diferentes leyes que regulan a las Organizaciones de Salud, y a su vez las reas tecnolgicas deben obtener la gua y asesoramiento desde el rea legal para poder definir la arquitectura de la solucin tecnolgica acorde al cumplimiento de las leyes y del compromiso profesional de los profesionales de la salud para con los Pacientes. Como podrn haber visto, en lo planteado hay un estricto sentido de direccin en integrar diferentes reas enfocndolas hacia la proteccin integral de la informacin del Paciente, y si vemos el proceso de la atencin de su salud desde el aspecto del cumplimiento conseguiremos encausar cada necesidad de implementacin tecnolgica no como un proyecto individual para resolver una situacin puntual sino como una herramienta de solucin a procesos de tratamiento de informacin y atencin mdica de las personas. Ahora bien, el tratamiento de los datos presupone un entorno de riesgos asociados a la operatoria de los sistemas que deben ser tenidos en cuenta y medidos en funcin del entorno de aplicacin. La exposicin de los datos sensibles de las personas (historias clnicas, resultados de investigaciones); errores de gestin de seguridad con Gerenciadoras de Contratos, Distribuidoras, Drogueras, Farmacias, Obras Sociales y empresas de medicina prepaga y prestadores mdicos, pueden ser solo algunos de los riesgos en el intercambio, gestin e integracin de informacin relacionada con la atencin de sanidad y la gestin de servicios de salud. Las transacciones para trasmitir datos de registro de pacientes, admisin, cobertura de salud, imgenes, rdenes y resultados de laboratorio, observaciones sanitarias y de enfermera, indicaciones de exmenes, dietas y medicamentos pueden verse afectados y levarnos a incurrir en errores en la Historia Clnica electrnica con las siguientes consecuencias:
2013 CYBSEC

PERDIDA DE DATOS - Qu ocurre si no se elabora la Historia Clnica o se omite anotar algn procedimiento o medicacin? Todo lo que no se precise en ella puede ser usado en contra de quien cometi la omisin, pero adicionalmente se expone a las sanciones ante el Tribunal de tica Mdica, disciplinariamente. FALTA DE INTEGRIDAD DE LOS DATOS Qu ocurre si se hacen anotaciones de las condiciones de salud de una persona, o actos mdicos o procedimientos que nunca se realizaron? Se comente el delito de falsedad ideolgica en documento privado. Todo lo que no se precise en ella puede ser usado en contra de quien cometi la omisin, pero adicionalmente se expone a las sanciones ante el Tribunal de tica Mdica, disciplinariamente. FALTA DE CONFIDENCIALIDAD DE LOS DATOS - Qu sancin tiene una persona particular que revele algo que est en la Historia Clnica de otra persona? Comete el delito de divulgacin y empleo de documentos reservados.

La Tecnologa entonces debe responder a dos compromisos asumidos desde la prctica mdica en pos de la defensa del derecho del Paciente: 1. El tico y moral que surge del contacto entre el mdico y el paciente y se refleja en la Historia Clnica donde se recoge la informacin necesaria para la correcta atencin de los pacientes. 2. El legal, establecido por el Estado como marco de cumplimiento para la buena prctica y cuidado de la persona no solo en el derecho de asistencia mdica sino tambin de la informacin relativa a su salud. Bajo este contexto, y si bien la hemos puesto en tercer lugar, la premisa ms importante es la de establecer un Gobierno Corporativo que permita administrar los diferentes procesos tecnolgicos para garantizar que el uso de las tecnologas cumple con los objetivos ticos y legales de la atencin mdica. Esto nos llevar a primeramente a interpretar cada una de las leyes de aplicacin para de esta manera adecuar nuestros sistemas a las necesidades de cumplimiento y as brindar al Paciente seguridad en la confidencialidad de sus datos y resguardar su salud a brindar a los profesionales mdicos integridad en la informacin utilizada para confirmar diagnsticos, realizar anlisis o decidir tratamientos. En relacin a estas definiciones podemos tomar como ejemplo algunos puntos a analizar en el Cdigo de tica para los Equipos de Salud de la Asociacin Mdica Argentina publicado
2013 CYBSEC

en 2001, que merecen ser tenidas en cuenta al momento de proyectar la implementacin de soluciones tecnolgicas relacionadas con el tratamiento de datos:
Definiciones de tratamiento El Artculo 171 que dice La historia clnica debe ser legible, no debe tener tachaduras, no se debe escribir sobre lo ya escrito, no debe ser borrada, no se deben dejar espacios en blanco. No se debe aadir nada entre renglones. El artculo 178 dice la historia clnica completa y escrita en forma comprensible, es una de las mayores responsabilidades del equipo de salud y su redaccin defectuosa es un elemento agravante en los juicios de responsabilidad legal. El artculo 181 dice la desaparicin de la historia clnica o su falta de conservacin entorpecer la accin de la justicia. As mismo negara la oportunidad de defensa en juicio. Condicin tecnolgica

El artculo 185 dice en caso de computarizacin de la historia clnica debern implementarse sistemas de seguridad suficientes para asegurar la inalterabilidad de los datos y evitar el accionar de violadores de informacin reservada.

Verlo de esta forma nos ayudar a reducir el impacto negativo sobre la proteccin de datos que en la actualidad se traduce en un riesgo de vida al Paciente. En mi experiencia he podido determinar que la mayora de los Organismos carece de: Procedimientos de control para el desarrollo y mantenimiento de sistemas, desde modificaciones no autorizadas sobre los Sistemas, falta de documentacin e implementacin de Sistemas no probados Procedimientos aprobados para las tareas de administracin de seguridad, con el fin de evitar accesos no autorizados a la informacin o los recursos del Organismo, inexactitud o falta de confiabilidad de los datos o Sistemas y falta de disponibilidad de la informacin o recursos necesarios. Un plan para afrontar contingencias ante interrupciones a la continuidad operativa del Organismo, con el consiguiente perjuicio al Paciente Procedimientos documentados para la generacin de back ups maximizando la prdida de informacin. Como respuesta a los puntos arriba enumerados, si analizamos la Ley 25.326 de proteccin de datos personales podremos ver que nos sirve como marco de implementacin para dar respuesta a lo indicado tanto para la Ley Nacional N 17.132 para el Ejercicio de la Medicina como la Ley 26.529 de Derechos del Paciente en su Relacin con los Profesionales e Instituciones de la Salud, dando respuesta directa de solucin al secreto profesional y garantas sobre la integridad y legibilidad de la informacin. Algunos de los principales objetivos son: Garantizar transparencia en el tratamiento de la informacin y su comunicacin cuando los datos personales se sometan a tratamiento de forma automatizada, implementando medidas tcnicas y organizativas que garanticen un nivel de seguridad adecuado en relacin con los riesgos en el tratamiento y la naturaleza de los datos.
2013 CYBSEC

 Realizar una evaluacin de los riesgos para adoptar medidas de proteccin de los datos contra su destruccin accidental o ilcita, o su prdida accidental, y de impedir cualquier forma de tratamiento ilcito, en particular la comunicacin, la difusin o el acceso no autorizados o la alteracin de los datos personales. Especificar conformidad en los criterios y condiciones aplicables a las medidas tcnicas y organizativas para sectores especficos y en situaciones de tratamiento de datos especficas, habida cuenta en particular de la evolucin de la tecnologa y de las soluciones de privacidad desde el diseo y la proteccin de datos.
Fabin Descalzo Gerente de Governace, Risk & Compliance (GRC) Cybsec S.A. Security Systems
Fabin Descalzo es Gerente de Governance, Risk & Compliance (GRC) en Cybsec S.A., certificado ITIL v3-2011 y auditor ISO 20000, con 20 aos de trayectoria en Seguridad de la Informacin. Posee amplia experiencia en la implementacin y cumplimiento de Leyes y Normativas Nacionales e Internacionales en compaas de primer nivel de diferentes reas de negocio en la optimizacin y cumplimiento de la seguridad en sistemas de informacin, Gobierno de TI/SI y Continuidad del Negocio. Actualmente es responsable de servicios y soluciones en las reas de Gobierno, Riesgos y Cumplimiento asociados al aseguramiento del Negocio.

2013 CYBSEC