Seguridad de la Información – Auditoría de Sistemas Publicado en Revista CISALUD – Edición 11 – Página 29

Te

l. (0

54

11)

15 3

328

-68

59

fa

bia

nd

esc

alz

o@

ya

ho

o.c

om

.ar

1

Nuestra salud digital La brecha entre el tratamiento de datos sensibles y la regulación legal… O los derechos de los Pacientes y la integridad de su inf ormación de salud. La salud del Paciente no solo está en manos de los profesionales de la salud; en la actualidad los departamentos legales y tecnológicos son sus socios naturales en el cumplimiento de las leyes respecto de la integridad y tratamiento de los datos sanitarios… Y por sobre todo en la disponibilizació n e integridad de la información que puede salvar una vida. Para interiorizarnos en esta problemática e interpretar como se ha globalizado la responsabilidad en la atención de la salud dentro de cada una de las Instituciones Sanitarias a través de sus distintos departamentos operativos, primero debemos partir de desde estas tres premisas:

1. Contamos con regulaciones legales definidas y orientadas a la protección de datos personales y a los derechos de los Pacientes, que son nuestro primer marco de referencia para asegurar la atención. (LEY 17.132 Nacional - Ejercicio de la Medicina, Odontología, y de las actividades de colaboración, Ley 14.494 Provincial (Bs.As.) - Historia clínica electrónica, Ley 26529 Nacional - Derechos del Paciente, historia clínica y consentimiento informado, Ley 25506 Nacional - Firma digital)

2. Cambio de enfoque de las áreas de tecnología y seguridad de la información como componentes de servicio necesarios para los procesos asociados a la atención y cuidado de los Pacientes (ISO/IEC 20.000 Sistema de Gestión de Servicios de TI, ITIL, CobIT, ValIT)

3. Establecimiento de una nueva visión para la gestión de control corporativo, denominada GRC y que se basa en la gobernabilidad corporativa, gestión integral de riesgos del negocio y cumplimiento de leyes y regulaciones.

Iniciar este artículo conociendo estos conceptos nos ayudará a entender y a “naturalizar” el porqué de la integración de departamentos tan disímiles como las áreas técnicas médicas (profesionales de la salud en cualquiera de sus disciplinas), las áreas tecnológicas (responsables de los sistemas, comunicaciones y seguridad de la información) y las áreas técnicas legales (responsables de acompañar y guiar en la implementación de soluciones para el cumplimiento

que surge del marco regulatorio de las entidades de salud). Ahora el objetivo… La salud del Paciente. El símbolo de la moral colectiva y la promesa ética de los médicos unidos por un único propósito de curar y aliviar a sus Pacientes se materializa en el Juramento Hipocrático, que des de su concepción ha evolucionado como así también lo hizo la práctica d e la medicina a través de la influencia tecnológica . Desde mi opinión, esta evolución ha permitido que de distintas formas se cambie el enfoque de concentrarse en curar enfermedades a interesarse en el cuidado de la persona como un ser concreto abarcando tanto sus aspectos físicos como psíquicos, responsabilidad no solo de los profesionales médicos en cualquiera de sus especialidades sino también de otras personas del área de la salud y principalmente relacionadas con la tecnología médica.

Seguridad de la Información – Auditoría de Sistemas Publicado en Revista CISALUD – Edición 11 – Página 29

Te

l. (0

54

11)

15 3

328

-68

59

fa

bia

nd

esc

alz

o@

ya

ho

o.c

om

.ar

2

Debido a ello, y específicamente desde las áreas de tecnología de la información, es que deben brindar a los profesionales de la salud un ambiente seguro de trabajo garantizando confidencialidad e integridad de los datos a Pacientes y Afiliados, reflejando en los sistemas y soluciones tecnológicas aquellas medidas de cumplimiento surgidas de las diferentes leyes que regulan a las Organizaciones de Salud, y a su vez las áreas tecnológicas deben obtener la guía y asesoramiento desde el área legal para poder definir la arquitectura de la solución tecnológica acorde al cumplimiento de las leyes y del compromiso profesional de los profesionales de la salud para con los Pacientes. Como podrán haber visto, en lo planteado hay un estricto sentido de dirección en integrar diferentes áreas enfocándolas hacia la pro tección integral de la información del Paciente , y si vemos el proceso de la atención de su salud desde el aspecto del cumplimiento conseguiremos encausar cada necesidad de implementación tecnológica no como un proyecto individual para resolver una situación puntual sino como una herramienta de solución a procesos de tratamiento de información y atención médica de las personas.

Ahora bien, el tratamiento de los datos presupone un entorno de riesgos asociados a la operatoria de los sistemas que deben ser tenidos en cuenta y medidos en función del entorno de aplicación. La exposición de los datos sensibles de las personas (historias clínicas, resultados de investigaciones); errores de gestión de seguridad con Gerenciadoras de Contratos, Distribuidoras, Droguerías, Farmacias, Obras Sociales y empresas de medicina prepaga y prestadores médicos, pueden ser solo algunos de los riesgos en el intercambio, gestión e integración de

información relacionada con la atención de sanidad y la gestión de servicios de salud. Las transacciones para trasmitir datos de registro de pacientes, admisión, cobertura de salud, imágenes, órdenes y resultados de laboratorio, observaciones sanitarias y de enfermería, indicaciones de exámenes, dietas y medicamentos pueden verse afectados y levarnos a incurrir en errores en la Historia Clínica electrónica con las siguientes consecuencias:

• PERDIDA DE DATOS - ¿Qué ocurre si no se elabora la Historia Clínica o se omite anotar algún procedimiento o medicación? Todo lo que no se precise en ella puede ser usado en contra de quien cometió la omisión, pero adicionalmente se expone a las sanciones ante el Tribunal de Ética Médica, disciplinariamente.

• FALTA DE INTEGRIDAD DE LOS DATOS ¿Qué ocurre si se hacen anotaciones de

las condiciones de salud de una persona, o actos médicos o procedimientos que nunca se realizaron? Se comente el delito de falsedad ideológica en documento privado. Todo lo que no se precise en ella puede ser usado en contra de quien cometió la omisión, pero adicionalmente se expone a las sanciones ante el Tribunal de Ética Médica, disciplinariamente.

Seguridad de la Información – Auditoría de Sistemas Publicado en Revista CISALUD – Edición 11 – Página 29

Te

l. (0

54

11)

15 3

328

-68

59

fa

bia

nd

esc

alz

o@

ya

ho

o.c

om

.ar

3

• FALTA DE CONFIDENCIALIDAD DE LOS DATOS - ¿Qué sanción tiene una persona particular que revele algo que esté en la Historia Clínica de otra persona? Comete el delito de divulgación y empleo de documentos reservados.

La Tecnología entonces debe responder a dos compromisos asumidos desde la práctica médica en pos de la defensa del derecho del Paciente:

1. El ético y moral que surge del contacto entre el médico y el paciente y se refleja en la Historia Clínica donde se recoge la información necesaria para la correcta atención de los pacientes.

2. El legal, establecido por el Estado como marco de cumplimiento para la buena práctica y cuidado de la persona no solo en el derecho de asistencia médica sino también de la información relativa a su salud.

Bajo este contexto, y si bien la hemos puesto en tercer lugar, la premisa más importante es la de establecer un Gobierno Corporativo que permita administrar los diferentes procesos tecnológicos para garantizar que el uso de las tecnologías cumple con los objetivos éticos y legales de la atención médica . Esto nos llevará a primeramente a interpretar cada una de las leyes de aplicación para de esta manera adecuar nuestros sistemas a las necesidades de cumplimiento y así brindar al Paciente seguridad en la confidencialidad de sus datos y resguardar su salud a brindar a los profesionales médicos integridad en la información utilizada para

confirmar diagnósticos, realizar análisis o decidir tratamientos. En relación a estas definiciones podemos tomar como ejemplo algunos puntos a analizar en el Código de Ética para los Equipos de Salud de la Asociación Médica Argentina publicado en 2001, que merecen ser tenidas en cuenta al momento de proyectar la implementación de soluciones tecnológicas relacionadas con el tratamiento de datos:

Definiciones de tratamiento Condición tecnológica El Artículo 171 que dice “La historia clínica debe ser legible, no debe tener tachaduras, no se debe escribir sobre lo ya escrito, no debe ser borrada, no se deben dejar espacios en blanco. No se debe añadir nada entre renglones.” El artículo 185 dice “en caso de computarización de la

historia clínica deberán implementarse sistemas de seguridad suficientes para asegurar la inalterabilidad de los datos y evitar el accionar de violadores de información reservada”.

El artículo 178 dice “la historia clínica completa y escrita en forma comprensible, es una de las mayores responsabilidades del equipo de salud y su redacción defectuosa es un elemento agravante en los juicios de responsabilidad legal.” El artículo 181 dice “… la desaparición de la historia clínica o su falta de conservación entorpecerá la acción de la justicia. Así mismo negara la oportunidad de defensa en juicio.” Verlo de esta forma nos ayudará a reducir el impacto negativo sobre la protección de datos que en la actualidad se traduce en un riesgo de vida al Paciente. En mi experiencia he podido determinar que la mayoría de los Organismos carece de:

Seguridad de la Información – Auditoría de Sistemas Publicado en Revista CISALUD – Edición 11 – Página 29

Te

l. (0

54

11)

15 3

328

-68

59

fa

bia

nd

esc

alz

o@

ya

ho

o.c

om

.ar

4

• Procedimientos de control para el desarrollo y mantenimiento de sistemas, desde

modificaciones no autorizadas sobre los Sistemas, falta de documentación e implementación de Sistemas no probados

• Procedimientos aprobados para las tareas de administración de seguridad, con el fin de evitar accesos no autorizados a la información o los recursos del Organismo, inexactitud o falta de confiabilidad de los datos o Sistemas y falta de disponibilidad de la información o recursos necesarios.

• Un plan para afrontar contingencias ante interrupciones a la continuidad operativa del Organismo, con el consiguiente perjuicio al Paciente

• Procedimientos documentados para la generación de back ups maximizando la pérdida de información.

Como respuesta a los puntos arriba enumerados, si analizamos la Ley 25.326 de protección de datos personales podremos ver que nos sirve como marco de implementación para dar respuesta a lo indicado tanto para la Ley Nacional Nº 17.132 para el Ejercicio de la Medicina como la Ley 26.529 de Derechos del Paciente en su Relación con los Profesionales e Instituciones de la Salud, dando respuesta directa de solución al secreto profesional y garantías sobre la integridad y legibilidad de la información. Algunos de los principales objetivos son:

• Garantizar transparencia en el tratamiento de la información y su comunicación cuando los datos personales se sometan a tratamiento de forma automatizada, implementando medidas técnicas y organizativas que garanticen un nivel de seguridad adecuado en relación con los riesgos en el tratamiento y la naturaleza de los datos.

• Realizar una evaluación de los riesgos para adoptar medidas de protección de los datos contra su destrucción accidental o ilícita, o su pérdida accidental, y de impedir cualquier forma de tratamiento ilícito, en particular la comunicación, la difusión o el acceso no autorizados o la alteración de los datos personales.

• Especificar conformidad en los criterios y condiciones aplicables a las medidas técnicas y organizativas para sectores específicos y en situaciones de tratamiento de datos específicas, habida cuenta en particular de la evolución de la tecnología y de las soluciones de privacidad desde el diseño y la protección de datos.

Fabián Descalzo Gerente de Governace, Risk & Compliance (GRC) Cybsec S.A. – Security Systems Fabián Descalzo es Gerente de Governance, Risk & Compliance (GRC) en Cybsec S.A., certificado ITIL v3-2011 y auditor ISO 20000, con 20 años de trayectoria en Seguridad de la Información. Posee amplia experiencia en la implementación y cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio en la optimización y cumplimiento de la seguridad en sistemas de información, Gobierno de TI/SI y Continuidad del Negocio. Actualmente es responsable de servicios y soluciones en las áreas de Gobierno, Riesgos y Cumplimiento asociados al aseguramiento del Negocio.