La Organización Mundial de la Salud (OMS) define al “eHealth” como el “uso de información y tecnologías de la comunicación para un mejor control de la salud.” Por ejemplo, algunos usos podrían darse para el tratamiento de determinados pacientes, para fomentar la investigación, crear herramientas para la educación de estudiantes o supervisar la salud pública.
Con el auge de las nuevas tecnologías, podemos avanzar en muchas cosas, pudiendo ofrecer una serie de servicios más adecuados, cercanos y personalizados para los usuarios, haciendo incluso un seguimiento más continuado por parte del personal sanitario a sus pacientes.
Hace un tiempo, se disponía de programas informáticos en los ordenadores de los centros de salud o clínicas, con los que los trabajadores de dicho centro podían gestionar la información de sus pacientes. Si bien aparte, seguían disponiendo de unas grandiosas y abultadas historias clínicas en papel con todo el historial de cada paciente. La realidad es que hoy, cada vez más, estos centros optan por digitalizar sus historias, disponiendo muchas veces de un centro externo de almacenamiento de las mismas; mientras que, por otro lado, cada vez más, se dispone de programas y sistemas que almacenan todo en la nube, o lo que viene conociéndose como cloud computing. Un ejemplo de ello en Cataluña es el sistema de historia clínica compartida, conformada por el conjunto de documentos que contienen datos e información relevante sobre la situación y evolución de un paciente, a lo largo de su proceso asistencial.
Por si esto fuera poco, cada vez más, existen más plataformas online que ofrecen servicios relacionados con la salud en la nube, poniendo a disposición herramientas para centros privados, consultas pequeñas y otro tipo de centros, que les permiten gestionar toda la información sobre sus pacientes de una manera más fácil, rápida y práctica en su día a día. Incluso comunicarse con ellos de forma más directa.
No quedándonos aquí, hoy en día en el mercado están apareciendo todo tipo de dispositivos y apps que ofrecen servicios relacionados con la salud, como por ejemplo, los wearables, unos dispositivos que el usuario se pone en el cuerpo (pulseras, smartwatches o relojes inteligentes, gafas, lentillas…) y con los que puede llevar el control del ejercicio que hace, la dieta que sigue y un sinfín de aspectos sobre su salud.
Está claro que todo son avances y que en principio debemos pensar que suponen muchos beneficios. Ahora bien, no debemos olvidar que el hecho de que esta información no sea almacenada directamente por nosotros en nuestras propias instalaciones y bajo nuestro propio control, conlleva una serie de riesgos que no pueden obviarse.
Al respecto, es necesario tener en cuenta una serie de pautas con relación a los siguientes aspectos:
1. La custodia de la información por parte de un tercero.
Si un centro opta por la digitalización de sus historias o expedientes debe tener en cuenta dos cosas: por un lado, disponer de un sistema de digitalización adecuado, que garantice que la información que se almacena, no ha sido alterada ni manipulada y que se corresponde con la auténtica y original. Esto exige que la empresa o centro en cuestión, disponga de un protocolo por el que se garantice este proceso y la fiabilidad de la información.
Si, por otro lado, se contrata a una empresa externa para que nos almacene esta documentación, debemos asegurarnos de que sus medidas de seguridad son adecuadas para lo que necesitamos.
Esto es, que en aquella empresa se haya implantado la normativa de protección de datos, que disponga de medidas de seguridad destinadas a evitar el acceso por parte de terceros a esas historias y que tenga los siguientes registros: de accesos, de incidencias y de entradas y salidas, todo para registrar todo movimiento de la información o documentación, en su caso; además de disponer de medidas a nivel físico e informático que garanticen lo que la normativa viene catalogando como de nivel alto, puesto que los datos e información de salud se consideran altamente sensibles y que requieren una protección adicional o otro tipo de datos.
Con este tipo de empresa, además, debemos firmar un contrato de encargado de tratamiento, por el que el prestador de servicios se comprometa a disponer de las medidas antes descritas y les traslademos la responsabilidad de responder frente al incumplimiento de ello, así como al no actuar según las directrices y pautas que les demos.
2.- Contratación de servicios en la nube
Si lo que se contrata es una plataforma para disponer de las historias en la nube, debemos asegurarnos de que la empresa también dispone de las medidas antes señaladas, además de unos circuitos de realización de copias de seguridad, concretos y que se encuentren protocolizados, entre otros aspectos. Así, por ejemplo, es necesario disponer de copias de seguridad con carácter semanal, como mínimo.
Hay que prestar especial atención a servicios en la nube que se lleven a cabo por parte de empresas de fuera de la Unión Europea puesto que muchas veces no disponen de las medidas de seguridad que se requieren para este tipo de tratamiento de datos.
3.- No utilizar servicios gratuitos en la nube
En ningún caso recomendamos utilizar servicios gratuitos en la nube para almacenar o tratar información de nivel alto; salvo que sus condiciones detallen expresamente que cumplen con la normativa de protección de datos.
En este sentido, hay que prestar especial atención a servicios como Dropbox, WeTransfer o cualquier otro que nos permita la publicación o almacenamiento de información en el cloud.
Si bien algunas de estas plataformas tal vez cumplen con la normativa de protección de datos, o estén adheridas a lo que se conoce como Puerto Seguro, debido a su uso habitual en el mercado, están sujetas a muchos riesgos de ataque por parte de hackers o virus, por lo que lo recomendable es optar por plataformas que nos ofrezcan el máximo de garantías posibles.
4.- No utilizar redes sociales para tratar datos de salud
No recomendamos el uso de herramientas o redes como Whatsapp o Facebook para tratar información asociada a pacientes y que permitan su identificación. En consecuencia, si eres un profesional de la salud, lo mejor es que no atiendas a pacientes por alguna de estas vías puesto que hoy por hoy no se considera que cumplan con la seguridad necesaria para el tratamiento de datos de nivel alto.
5.- mHealth
El mHealth es el tratamiento de datos de salud que se lleva a cabo a partir de dispositivos móviles. Por ejemplo, mediante el uso de aplicaciones en nuestros móviles. Respecto de este tema, hay que hacer hincapié en que si el almacenamiento de la información volcada en esa aplicación, se produce por parte de alguien; éste deberá disponer de las medidas de seguridad oportunas; mientras que si este servicio lo presta un tercero, deberá trasladarle su correspondiente responsabilidad, según lo que hemos indicado ya en este artículo.
Junto a ello, un tema que cada vez tiene más relevancia es el hecho de que muchas aplicaciones móviles, además de no disponer de las medidas de seguridad indicadas aquí, tampoco disponen de los correspondientes avisos legales y sistemas adecuados de aceptación de sus políticas de privacidad por lo que el usuario, además, puede no llegar a saber nunca, con qué finalidad van a recoger sus datos; a quién los comunican, qué hacen con ellos; así como qué derechos tiene al respecto.
Existe una tendencia a pensar que todo lo que está en Internet es de quién lo recoge y libre de derechos. Nada más lejos de la realidad.
Cualquier información relativa a una persona física y por la que se le pueda identificar, es de aquella persona y por ello, toda empresa que pretenda tratar esta información, deberá informarle correctamente, solicitarle su permiso y tratarla adecuadamente. Lo contrario, quebranta el derecho a la intimidad y privacidad de la información, pudiendo suponer graves sanciones económicas para el infractor.
Además, aparte de disponer de los avisos legales, debes disponer de unos procedimientos internos por los que se garantice que todo el tratamiento de datos es correcto y acorde con la normativa de protección de datos.
En consecuencia, si tienes pensado llevar a cabo una aplicación relacionada con la salud, ten en cuenta que debes reunir las condiciones de seguridad máximas para evitar los accesos por parte de terceros no autorizados, disponer de sistemas de copias de seguridad periódicos, antivirus, firewalls y cualquier otra protección que dote a tu infraestructura de seguridad frente a ataques informáticos; y, por último, adecuarla a nivel formal y legal a lo que la normativa de protección de datos, comercio electrónico, defensa del consumidor y usuario, así como ley de autonomía del paciente, en este caso, requieran.
¿Tienes pensado llevar a cabo una aplicación de salud? ¿Una plataforma médica o sanitaria?
Recuerda que tal vez tu idea sea buena y, además de lo que aquí hemos dicho, te interese protegerla también frente a terceros, colaboradores, competencia o bien posibles inversores; así como puede ser que, incluso, te interese averiguar si la marca o nombre que quieres poner a tu plataforma, se puede utilizar en el mercado.
Nuestro despacho pone a tu disposición el asesoramiento jurídico que necesitas en todos estos ámbitos.