Los centros y establecimientos sanitarios están sensibilizados, en mayor o menor medida, con la importancia de proteger la confidencialidad y los datos de sus pacientes. Tienen claro, al menos en teoría, que los datos sobre salud son información de carácter muy sensible y, por tanto, objeto de una protección especial. En la práctica, sin embargo, muchas empresas del sector sanitario fallan. Y con cada fallo, con cada deficiencia, la efectividad de los planes que pretenden proteger los datos de sus pacientes va disminuyendo. De ahí que los abogados y delegados de protección de datos nos sorprendamos al encontrarnos con clínicas donde, salvo el antivirus, no hay otras medidas tecnológicas; o con establecimientos que ni siquiera han implantado un sistema de contraseñas, o que contratan servicios externos -con el consiguiente acceso a datos de terceros- sin verificar el nivel de cumplimiento del prestador de servicios.
Lilliam Valenzuela
Con la nueva obligación de registro horario, por citar otro ejemplo, clínicas y hospitales están implantando sistemas de huella dactilar o de reconocimiento facial sin analizar la seguridad de estos sistemas, que registran datos biométricos. En muchos casos, las medidas técnicas ya existen en el sector sanitario, pero aún son desconocidas porque no están documentadas.
Todo ello supone un gran problema. Igual que si dejamos abierta la puerta física de una empresa, los intrusos entrarían a robar, si se deja al descubierto la seguridad, los ciberdelincuentes van a sustraer la información almacenada, con todo lo que ello implica para un centro o un establecimiento sanitario.
“Un plan de protección de datos sanitarios nunca será eficaz si no va acompañado de una política de seguridad tecnológica”
Las medidas de seguridad son la puerta a la información y, aún así, vemos a diario como los responsables la dejan abierta -o con deficiente protección-, sin mayor conciencia del riesgo que implica. La información tiene un precio, y los datos de salud son de los más caros, por lo que este sector podría estar en el punto de mira de los delitos informáticos.
Si bien la aprobación de la Ley Orgánica 3/2018 de Protección de Datos y el Reglamento General de Protección de Datos (RGPD) han contribuido a fomentar en muchos establecimientos la cultura de cumplimiento y salvaguarda de los datos de salud de los pacientes, muchas empresas de este sector no son aún conscientes de que un plan de protección de datos no será nunca eficaz si no contiene una política de seguridad tecnológica.
El propio RGPD hace referencia a esto en su artículo 32, al afirmar que “teniendo en cuenta el estado de la técnica, los costes de aplicación, y la naturaleza, alcance, contexto y fines del tratamiento, así como los riesgos para los derechos y libertades de las personas físicas, se aplicarán medidas técnicas y organizativas apropiadas”. Cuando un centro sanitario carece de medidas técnicas, o no son suficientemente efectivas, los riesgos aumentan de forma exponencial.
“Un fallo de seguridad por falta de medidas tecnológicas puede implicar una sanción de 20 millones de euros”
Un incidente de seguridad producido por la ausencia de medidas tecnológicas puede conllevar la imposición de una sanción de la Agencia Española de Protección de Datos, cuyo límite máximo es de 20 millones de euros. Más allá del dinero, hay que sumar el impacto reputacional que supone la pérdida de confianza de los clientes, un hecho clave para cualquier empresa sanitaria. Incluso podemos imaginar los graves daños para la salud que conllevaría un incidente de seguridad del que se derivasen fallos en los equipos médicos, en los robots o en los sistemas que los profesionales usen para atender a sus pacientes.
Pérdida de reputación
Por ello, aunque la sanción económica que pueda imponer la autoridad de control podría ser pagable -con algo de suerte-, la pérdida de confianza de los clientes que podría generar el incidente sería probablemente irreversible. Y no es un secreto que hoy, con la importancia de las opiniones en internet de otros pacientes y la facilidad con que una información negativa de la empresa se expande por la red, este aspecto puede ocasionar un perjuicio enorme.
Hay pues razones suficientes para que el sector sanitario invierta en seguridad tecnológica -por cuestiones humanas y éticas-, y en trabajar, dentro de los establecimientos y los centros sanitarios, en culturas de cumplimiento y de conciencia de los riesgos que las nuevas tecnologías pueden suponer para los pacientes.
The post Seguridad tecnológica: una exigencia insoslayable para el sector sanitario appeared first on Diariomedico.com.
via Noticias de diariomedico.... https://ift.tt/33DWyjU
No hay comentarios:
Publicar un comentario