Alfonso Mateluna: "Los hospitales se han dedicado a proteger información de pacientes pero no su infraestructura"
La seguridad en el campo de la salud, tanto pública como privada, es algo primordial, puesto que permite mantener en resguardo los datos de los pacientes y otros documentos importantes de los hospitales y clínicas.
Sin buenos sistemas que protejan la información de los pacientes, ocurren las filtraciones o los hackeos, como el que ocurrió recientemente en el Reino Unido, en mayo del 2017, donde un ciberataque logró paralizar a 16 hospitales. El daño no fue menor, obligando a que se apagaran diversos computadores en varios centros médicos, además de que tuvieron que cancelarse varias citas médicas.
De ahí que surja un concepto clave para enfrentar esta problemática y proteger a los pacientes y a las instituciones de salud, la llamada seguridad informática o ciberseguridad, que busca fortalecer la confidencialidad, disponibilidad e integridad de un sistema informático. Es decir, contar con un sistema confiable donde quede protegida toda la información contenida en un computador o la que circula en las redes entre sistemas. La seguridad informática tiene como finalidad entonces, resguardar bases de datos, metadata y archivos.
De estos últimos, uno particularmente sensible para una institución de salud, es la ficha clínica, que en muchos lugares está en formato digital y no tiene respaldo en papel, lo que las hace vulnerables frente a un ataque o hackeo informático.
En Latinoamérica aún falta mucho por implementar en el campo de la seguridad informática, especialmente en el área de salud, y Chile no es la excepción. Este año el ministerio de Salud de ese país revocó la licitación que permitiría el arranque del convenio Marco de Sidra 2, un proyecto que sentaría las bases para la unificación de datos clínicos en Chile, pero la decisión de la autoridad se debió por considerar que no estaban los parámetros de seguridad informática para llevarlo a cabo.
Alfonso Mateluna, ingeniero informático y experto en seguridad, destaca una ley de 1996 en EE.UU. que establece las pautas para proteger la confidencialidad y privacidad de la información de salud. Se trata de la Ley de Portabilidad y Responsabilidad del Seguro Médico o HIPPA por sus siglas en inglés. La normativa se aplica a todas aquellas entidades que transmiten electrónicamente o almacenan información de salud, como pueden ser, médicos, enfermos, farmacias, laboratorios, hospitales, clínicas, hogares de ancianos, y muchos otros proveedores de atención médica. Además, establece altas multas por incumplimiento e incluso prisión para algunos casos.
- ¿Por qué no se crea una ley como HIPPA en Chile, falta voluntad política?
- La verdad es difícil decir que sea solamente falta de voluntad política, yo creo que también hay falta de cultura. He tenido el privilegio de conversar con distintas personas y ministerios, me di cuenta que no es tanta falta de voluntad sino que no la conocían, pero si están empezando a entender que esto es una necesidad por ser miembros de la OCDE, lo que nos ha favorecido bastante, porque precisamente la Presidenta Bachelet en marzo este año, evacuó un proyecto que aborda dos de los seis pilares de requisitos que nos pide la OCDE para la gestión de la salud. Ahora, evidentemente es un ante proyecto, aún no ha sido aprobado. Una vez que sea aprobado y tramitado, habrá que darle un tiempo para su implementación. Esto es para temas de seguridad y privacidad en información de registros médicos y eso evidentemente va a ser válido tanto para el mundo privado como el público, y va a tener consecuencias en todo lo que es la industria y quien maneja la información de salud, ya sea farmacias, aseguradoras, etc.
-¿Se podría llegar a lo mismo con el proyecto Sidra?
- Correcto, pero si yo miro algunos de los actores detrás del Sidra, los privados, ellos no sanitizaban la información, no encriptaban... y tampoco se pedía que fuese hecho de acuerdo a un protocolo de seguridad, como por ejemplo, un estándar para evitar ataques a sistemas. Por lo tanto, si hago un ataque o una penetración a las soluciones de seguridad que compró el Minsal, posiblemente pueda haber muchas violaciones a la seguridad.
-¿Qué problemas pueden generarse hoy con respecto a la privacidad de datos?
- Imagínese por ejemplo que yo esté postulando a un crédito hipotecario y tengo que firmar un formulario de salud que dice que yo no he tenido enfermedades renales o cardíacas. Hoy hay un vacío legal, ya que podría pasar que una aseguradora vaya a la farmacia más importante y compre toda la información con lo que ha sido el comportamiento de los clientes que están tan bajo su sistema de puntos. Podría asociar el Rut y decir que Alfonso Mateluna compró glafornil, que es una medicina que está destinada a bajar la resistencia a la insulina, lo que si es inconsistente con que yo declarara que no soy diabético. En estricto rigor, si consumo glafornil no significa que sea diabético, puedo tener solamente resistencia a la insulina y estar en tratamiento para bajar de peso y eliminarlo, pero podría ser discriminado y no dárseme una póliza de seguro para comprar mi casa por esto… No hay ninguna disposición de que se esté violando algo, pero si fuésemos un Estado que se rige por la disposiciones de la OCDE, ahí si que sería ilegal.
Retraso respecto a otras industrias
- ¿Por qué una industria tan sensible como la de la salud está tan atrasada en términos de seguridad, a nivel mundial?
- Por una razón muy sencilla, la banca antes estaba en pañales en seguridad pero una vez que la ley lo exigió (mejor estándar), producto de todos los escándalos financieros que hubo, de Enron, de Basilea, es que se empezó a exigir cosas, y la banca subió su nivel de madurez. Lamentablemente esta no es una adopción voluntaria, yo tengo que empujar a través de la ley para que la gente empiece a cambiar porque es nuestra cultura. Como cultura latinoamericana no tenemos y tampoco los hospitales en EE.UU. tenían, antes del año 1996, cosas mínimas en seguridad, y de hecho hoy los hospitales cumplen con lo mínimo para poder hacer HIPPA, pero si tú ves los ataques de ransomwares, a qué instituciones les pega mas fuerte, es a los hospitales, porque solamente se han dedicado a proteger información de pacientes pero no su infraestructura. Igual falta bastante invertir a pesar de la ley, de hecho el último ataque ransomware agredió muy fuerte a los hospitales en Inglaterra y tuvo que salir la primera ministra de ese país a decir "vamos a tener que trabajar la salud y la seguridad de los hospitales porque fueron hackeados".
- ¿Tiene Chile protocolos en materia de privacidad?
- Hoy en día ya hay protocolos en los cuales los hospitales se certifican respecto a privacidad de información, ya hay un paso avanzado pero es insuficiente, porque el paciente hoy no puede pedir todavía su propia ficha, no puede saber con quienes se compartió la información. También, si tu hijo nace en un hospital público, no le puedes sacar fotos al parto, no te van a dejar, y te van a decir que es por un tema de protección a la privacidad del paciente, en este caso del bebé, porque no tiene la capacidad de decir "no" y por eso no se puede. Ya hay muchos protocolos respecto a privacidad de información, si vas al hospital San José, hay tremendos carteles que dicen "estamos certificados en manejo de privacidad de información del paciente", sin embargo ese manejo del que están tan orgullosos es muy ineficiente, porque te puedes encontrar con doctores caminando por el pasillo diciendo "oye el paciente de la 200 y tanto tiene tal problema" y comentan los inconvenientes de los pacientes. No hay normas de anonimicidad de los datos que están conversando.
Fichas clínicas seguras
- ¿Qué problemas tienen las fichas clínicas en el país?
- Yo como paciente no puedo llevarme mi ficha y guardarla yo, la resguarda el hospital o clínica, por tanto el dato que está ahí es mío pero quien la resguarda es la institución de salud. Pero la ley HIPPA dice es que si la va a resguardar, yo tengo derecho a conocerla, a pedir rectificaciones, a decir quien puede accederla, a diferencia de la ley chilena. Con HIPPA tengo tengo libre acceso de pedir copia y revisar los datos. Acá es muy difícil que me den un respaldo de mi ficha, queda casi a discreción de la institución de salud, porque no está consagrado como derecho. Me ha tocado ver fichas Excel en hospitales, con toda la gente que está enferma de tal cosa, con nombre, apellido, dirección, Rut, por lo que se puede perfectamente identificar a la gente que pidió la pastilla del día después, la gente con VIH, gente con tratamiento por alguna enfermedad siquiátrica, etc. Esta información estaría tremendamente resguardada si yo estuviese cumpliendo con HIPPA, pero hoy en día es una información que está en discos compartidos, sin encriptar, sin nada.
- ¿Cree que sería bueno virtualizar la información en la nube?
- Eso la verdad es un arma de doble filo, porque si está en la nube pierdes jurisprudencia de donde está la información. Yo sería un poco mas cauto, aplicaría leyes como la bancaria, que la ley proteja datos privados en este caso de salud, y que obligue que mi información esté primero en Chile, porque quizá no tengo jurisprudencia en el país donde fue hackeada.
Papel vs digitalización
- ¿Está a favor de la transición del papel a lo digital?
- Lo que pasa es que hay muchas partes donde todavía tenemos solamente papel. En el mundo público todavía hay harto papel, y hacer el cambio tecnológico es un poco difícil y costoso, ya que significaría, por ejemplo, desviar recursos de atención dental o médica, a la implementación de medios digitales. Es una revolución bastante fuerte y que implicaría en el mundo público, dejar de invertir en infraestructura y otras cosas mas para digitalizar la ficha porque el presupuesto público no está pensado en digitalización sino en la continuidad de la atención pero no en como la préstamos. Uno podría digitalizar y hacer muchas cosas, pero tendría que empezar a delegar en forma obligatoria una capacitación para que la gente maneje las fichas en forma digital, tener por ejemplo tablets o equipos computacionales.
- ¿Que otras cosas se podrían regular con una ley como HIPPA?
- Se podría normar incluso la conversación, es decir, lo que el médico esté conversando sobre el caso clínico en un pasillo, ya que tiene normas específicas de administración de las discusiones sobre los pacientes. Por ejemplo, yo no puedo hablar sobre el paciente de la habitación 214, o decir su nombre.
Mateluna destaca que aunque no haya actualmente una ley similar en Chile que regule ciertos procesos o la privacidad y seguridad de los datos en salud, si existen otros mecanismos para mejorar estos aspectos. “Quizá falta que las instituciones lean más sobre estos temas, es gratis conocer como regular procesos en Google, y cómo hacer campañas de concientización, que cosas no puedo hacer, o como llevar a cabo normas de anonimización de conversaciones de pasillos". No obstante, afirma que Chile está asimilando y haciendo un trabajo bastante fuerte a través del Instituto Nacional de Normalización (INN) para poder nacionalizar o pasar a la versión chilena, bastantes normas, y una de las que se están trabajando es la ISO 27799: "Si Chile la hace suya, es recomendable pero no exigible. Tiene que ser por ley que sea exigible".
Comentarios