El riesgo de ciberataques dificulta el plan para compartir la historia clínica en la UE
El 78% de las instituciones sanitarias fue víctima de un ciberataque en 2022
El ministro de Sanidad, José Miñones. | EP
El ministro de Sanidad, José Miñones, anunciaba recientemente la puesta en marcha de la historia clínica interoperable en ocho Comunidades Autónomas con varios países de la UE (E-Health Network). Otras dos regiones están en fase de prueba y se espera que para finales 2024 todos los territorios formen parte del acuerdo. Un plan que responde a una recomendación de la Unión Europea y que se convertirá en un reglamento, aún en borrador, que cuando se apruebe será de aplicación directa en
toda la UE, sin necesidad de transposición por los Estados.
Sin embargo, este avance que permitirá acceder al historial clínico en cualquier parte de la UE y que se encuentra dentro del plan del Espacio Europeo de Datos Sanitarios (EEDS), deja un gran reto por delante: que nuestra información sanitaria no sea accesible a los ladrones de datos.
España es el tercer país más hackeado del mundo por detrás de Estados Unidos y Rusia y, según un reciente informe de la empresa de ciberseguridad Global Healthcare Cybersecurity, el 78% de las instituciones sanitarias fue víctima de un ciberataque en 2022. Además, el 30% ha reconocido que se han visto afectados datos sensibles e información sanitaria protegida. Precisamente, el pasado mes de marzo el Hospital Clínic de Barcelona sufría un ciberataque de tipo ‘ransomware’ con graves impactos en su actividad. De esta forma, ante esta situación y con la interoperabilidad de la información clínica en la UE ya en marcha, cabe preguntarse: ¿podemos estar seguros de que esos datos estarán cifrados y no serán accesibles a ladrones de datos?
Los expertos consultados lo tienen claro: «La respuesta es no», se muestra tajante una de las fuentes que prefiere mantenerse en el anonimato, que agrega: «No creo en las bondades de la historia clínica si antes no se regulan de forma adecuada los derechos más esenciales a la privacidad y la encriptación de todos los datos», sostiene, que recuerda como la falta de un marco legal provocó ciertas inseguridades con el pasaporte covid al poner de manifiesto datos de carácter íntimo y personal sobre la salud de las personas.
En este sentido también se pronuncia a THE OBJECTIVE Nacho Alamillo, director de Transformación Digital del Colegio Oficial de Médicos, que apunta que «tener protección frente a ataques sofisticados de ransomware es costoso y falta madurez». No obstante señala que existe una normativa de ciberseguridad, general y específica en el ámbito de salud, «que ayuda a mitigar los riesgos».
Directiva NIS2
Se trata de la directiva NIS2, una ley que entró en vigor el 16 de enero de 2023 y que tiene como objetivo mejorar la ciberresiliencia de la infraestructura crítica en la Unión Europea mediante el establecimiento de un conjunto mínimo de requisitos de ciberseguridad y que todos los estados miembros de la UE deben imponer a sus respectivas entidades dentro de su alcance antes del 17 de octubre de 2024. Las entidades que no apliquen esta normativa pueden enfrentarse a multas de ente siete y diez millones de euros, relata a este medio José Antonio Sánchez Ahumada, director de Ventas para España y Portugal en Claroty.
«Tanto el entorno privado como el entorno público están muy preocupados y muy sensibilizados con la compartición, que esa información no se pueda robar, no se pueda compartir y no se filtre», asegura el directivo de la empresa de ciberseguridad que, sin embargo, agrega que en estos momentos «no todas las corporaciones cuentan con medidas que les permitan conocer su estado de seguridad, saber quién accede a todos los datos y tener recursos por si hay algún tipo de ataque y que el daño sea el menor posible».
El experto, además, añade que los ladrones de datos no solo consiguen la información «para venderla» o «hacer chantaje», «muchas veces pueden llegar a elaborar algún tipo de ataque dirigido contra un paciente conociendo su información». Desde Claroty manifiestan que una de cada cuatro instituciones sanitarias que ha sido víctima de ataques de ransomware se ha visto obligada a pagar un rescate y de estas, más de un tercio, tuvieron que afrontar costes de más de un millón de dólares como consecuencia de estos ataques.
Protección de datos
Según el borrador de Espacio Europeo de Datos Sanitarios la propuesta legislativa permitirá a la UE «beneficiarse de la dimensión del mercado interior», ya que los productos y servicios basados en datos sanitarios «a menudo se desarrollan utilizando datos sanitarios electrónicos de diferentes Estados miembros y posteriormente se comercializan en toda la UE».
Sin embargo, los expertos consultados señalan que el paciente debe autorizar que sus historia clínica pueda compartirse con el resto de los países europeos. «Así se regula en la normativa aplicable, sin perjuicio de determinados casos en que por interés vital (por ejemplo) deban tratarse los datos incluso sin consentimiento. Es un tema complejo y con una cierta casuística. Se trata de datos de categoría especial, por lo que resulta aplicable el artículo 9 del RGPD», explica Nacho Alamillo, director de Transformación Digital del Colegio Oficial de Médicos, a este periódico.
Una cuestión que comparte José Antonio Sánchez, quien asimismo expresa que «cuando un dato que es confidencial se va a compartir con un tercero diferente al organismo o a la empresa con la que la han compartido, tú como usuario siempre tienes que dar el consentimiento».
Derecho a la privacidad
Por último, los expertos hacen referencia al derecho a la privacidad del paciente. Si bien, el historial clínico puede ser borrado siempre que el paciente lo solicite y hayan transcurrido cinco años desde la última consulta, según el artículo 17 de la Ley 41/2002, el profesional médico puede negarse a borrarlo, por ejemplo, si el historial contiene información relevante para el seguimiento de una enfermedad crónica.
Ante esta situación, se preguntan: «¿Por qué una persona ha de cargar con una etiqueta allá adonde vaya por ser ‘útil’ para el Estado», se cuestiona uno de los expertos consultados que prefiere mantenerse en anonimato, y ejemplifica con un caso real: «Una mujer fue a Bélgica a hacer una entrevista de trabajo, donde gran parte del sistema es privado, y descubre que la consideran no-apta para el puesto porque, en una etapa concreta de su vida, estuvo tan en el barro que llegó a querer quitarse la vida. De pronto, esa mujer que ha tardado meses en recuperarse mínimamente y que ha querido rehacer su vida en otro país, se siente estigmatizada y hundida a niveles más peligrosos que en su primera depresión mayor. Y en esta ocasión el responsable directo es el Estado de origen».
«¿Qué ocurre con el derecho a la privacidad que se recoge tanto en nuestra Constitución como en la carta de Derechos Humanos de 1948? », vuelve a preguntarse. «El mundo avanza, nosotros con él y no se trata de quedarnos atrasados ni volver a las cavernas, sino de asegurar que esos avances sean positivos y no retrocesos disfrazados de progresos», concluye el experto.
