Herramientas digitales de salud, una cuestión técnica y legal
La lucha contra el COVID-19 está poniendo a prueba los sistemas sanitarios del mundo entero, pero esta situación excepcional conlleva igualmente oportunidades de innovación para los mismos. En medio de la pandemia de coronavirus, se está demostrando que la utilización de herramientas y aplicaciones de salud digital resulta muy eficaz, permitiendo optimizar al máximo los recursos disponibles. Información a la población en general, primera atención, control y seguimiento a distancia de pacientes confinados en sus casas, big data... existen muchas operaciones que se pueden llevar a cabo a través de este tipo de herramientas: evitando el contacto entre personas en situaciones de cuarentena como la actual, desplazamientos innecesarios, atención a comunidades remotas o aisladas, mejorando la relación médico-paciente, la percepción de calidad en la atención sanitaria por parte de los usuarios, facilitando los diagnósticos, ahorrando en costes hospitalarios, y utilizando el análisis cruzado de enormes cantidades de datos (Big Data) para luchar contra el virus, como se ha hecho en China o Corea.
Pero hasta el 80% de las más de 300.000 aplicaciones de salud desarrolladas no puede decirse que sean aptas para su función,
bien por trabas legales, bien por falta de aceptación por parte de los sistemas sanitarios debido a su generalizado y gravísimo incumplimiento de los estándares de seguridad de datos.
Un estudio europeo elaborado en 2018 por la Universitat Rovira i Virgili de Tarragona (España) y la Universidad del Pireo (Grecia), confirmó que el 80 por ciento de las aplicaciones móviles de salud más populares incumple los estándares de seguridad de datos personales de los usuarios. [1]
[1] Security and Privacy Analysis of Mobile Health Applications: The Alarming State of Practice. A. Papageorgiou, M. Strigkos, E. Politou, E. Alepis, A. Solanas, C. Patsakis. DOI:. https://ieeexplore.ieee.org/document/8272037
Upmédica, entorno digital de confianza
En este contexto, Upmédica es un ecosistema digital de salud que opera como concentrador de servicios, integrando software de partners internacionales bajo la premisa de la máxima garantía de seguridad técnico-legal dispuesta y protocolizada a través de sucesivas capas. La herramienta se diseña e implementa en base al cumplimiento de la normativa europea sobre protección de datos personales y lo hacemos desde España, donde la citada normativa opera en su versión más detallada y desarrollada, lo que la convierte en uno de los marcos jurídicos más estrictos del mundo en la materia. Cuenta con la plena y certificada adaptación a las disposiciones nacionales españolas tanto de la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales (LOPDGDD), como de la Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico (LSSI), y demás normativa tanto de desarrollo como aquella que, específicamente, corresponda (como la propia normativa sanitaria), al amparo de lo dispuesto por el Reglamento europeo General de Protección de Datos (RGPD) ya en vigor.
Sólo el uso de plataformas digitales como la mencionada para la adecuada gestión de la relación médico-paciente tanto a nivel de grandes instituciones sanitarias, pequeñas clínicas o profesionales, facilita al usuario la gestión de la seguridad en el día a día, conforme a sus propias políticas y normativas, contando con un sistema de control de accesos lógicos al sistema; implementación de copias de seguridad; protección ante todo tipo de intrusiones en el sistema y contra ciberataques, malware y virus informáticos; software permanentemente actualizado; garantía de la seguridad de la información al ser comunicada hacia y desde el exterior, y protección permanente de la información almacenada; registro de actividad que permite observar las interacciones de los usuarios con los sistemas y detectar anomalías en su comportamiento; y, por último, pero no menos importante, garantizar la continuidad de negocio ante cualquier incidente de seguridad por grave que resulte.
Tecnología
Upmédica dispone de una serie de características técnicas (diseño cloud first compatible con despliegues on premise o híbridos; tecnología segura de comunicaciones entre capas; tecnologías de interfaz de usuario conforme a estándares W3C: HTML y CSS; Base de Datos SQL con comunicaciones punto a punto cifradas, encriptación de datos en disco, enmascaramiento de datos sensibles, georeplicación de datos y sistema de recuperación de continuidad empresarial ante desastres (BCDR) para asegurar su disponibilidad incluso ante eventos extremos, copias de seguridad...; código fuente de integración continua con despliegues automatizados...), que garantizan la seguridad y el cumplimiento de todos y cada uno de los requerimientos mencionados.
El alojamiento en los servidores Microsoft Azure™ de BHD Consulting cumple con las más altas garantías de rapidez, calidad y seguridad, tanto técnica (acceso seguro, cifrado y encriptación de datos, georeplicación y BCDR...), como legal.
El Reglamento europeo General de Protección de Datos (GDPR) ha introducido un nuevo marco de acción a escala global en relación con la seguridad en el tratamiento de los datos personales, imponiendo nuevas reglas tanto a las organizaciones que ofrecen bienes y servicios a personas en la Unión Europea (UE), como a aquellas otras que recopilan y analizan datos vinculados a los residentes de la UE, sea cual sea el lugar del mundo en que éstos se encuentren. El GDPR se aplica sin importar dónde se encuentre el interesado -si es ciudadano europeo-, o la organización, si su actividad afecta a los datos personales de éstos; y esa es la razón por la cual la normativa europea ha terminado por impactar en buena parte del resto de normativas nacionales, a nivel internacional. Las soluciones técnicas de Microsoft Azure™ en las que se basan tecnologías digitales de salud como Upmédica, cumplen con las regulaciones normativas más complejas del mundo en relación a la protección de datos personales y en la defensa de la privacidad, ya sea la normativa europea como la norteamericana.
Microsoft Azure™ es la nube que actualmente cuenta con un mayor grado de cumplimiento de seguridad técnica y legal, frente a cualquier otro proveedor cloud, conforme a varias certificaciones de los más exigentes auditores internacionales independientes. Microsoft ha venido desarrollando medidas de seguridad y directivas de privacidad, participando en programas de cumplimiento internacional. En cuanto al cumplimiento normativo, Microsoft Azure™ cumple un gran número de estándares de compliance internacionales y específicos de la industria, como ISO 27001, HIPAA, FedRAMP, SOC 1 y SOC 2.
Área Legal y de Cumplimiento normativo de BHD Consulting
En el caso de una plataforma digital como Upmédica, el Área Legal y de Cumplimiento normativo, planificó la integración de la arquitectura de seguridad técnica y legal de la herramienta desde el principio, trabajando codo a codo junto con las áreas de desarrollo de negocio y de ingeniería informática sobre los conceptos de privacidad desde el diseño (privacy by design) como garantía de la privacidad durante todo el ciclo de vida del dato, desde su recogida hasta su cancelación; y de privacidad por defecto (privacy by default), como garantía de una adecuada protección y gestión de los datos con el fin de asegurar la protección efectiva de la privacidad de los usuarios. La herramienta facilita de este modo la asunción de una responsabilidad proactiva por parte del responsable del tratamiento, conforme a la nueva cultura de la privacidad que se establece a nivel mundial a través del desarrollo del compliance, yendo más allá del mero cumplimiento legal. Este principio de responsabilidad proactiva (accountability) es una de las principales novedades introducidas por el RGPD e implica que la simple falta de adopción de medidas puede llegar a conllevar sanciones por sí sola, sin necesidad de que se haya producido una efectiva lesión de los derechos y libertades del afectado.
El diseño, desarrollo e implementación de las nuevas herramientas digitales de salud va más allá, pues, de una mera cuestión práctica o de eficacia: no se puede abordar si no es considerando, al mismo tiempo, la cuestión de la seguridad técnica y legal que debe estar imbricada en el diseño de dichas herramientas. Incluso –o precisamente por ello- en situaciones de extrema gravedad como la que afrontamos en estos momentos; la inseguridad siempre resulta ser el perfecto caldo de cultivo para todo tipo de abusos, ataques y tropelías... hoy mismo, en plena crisis sanitaria, con la población europea recluida en cuarentena en sus casas, la policía alertaba de ataques informáticos masivos dirigidos a inutilizar los sistemas hospitalarios en España y Francia.
El general y filósofo chino Sun Tzu, dejó escrito en su Arte de la Guerra que, frente al terror, “las víctimas tienen la obligación de mantener el equilibrio, pues la racionalidad individual es la última línea de defensa”. Una situación como ésta va más allá de poder ser entendida como una oportunidad para la innovación. Pensamos que debe entenderse ya como una verdadera obligación de innovación, pues toda lucha ha de desarrollarse utilizando las armas disponibles más adecuadas a las necesidades del momento.
Fdo: José Luis del Río Fernández
Letrado Col. Nº 3.437 del Ilustre Colegio de Abogados de Oviedo
Área Legal y de Cumplimiento Normativo de BIG HEALTH DATA CONSULTING, S.L.