Ciberseguridad y datos clínicos de los pacientes. Chile un paso hacia adelante

Por: Edison Calahorrano*

Hace unos días circuló en varios medios el intento de hackeo de la información clínica de la princesa de Gales, Kate Middleton, quien en enero se había sometido a una cirugía abdominal que había permanecido en la más estricta confidencialidad¹Disponible en: https://www.infobae.com/espana/2024/03/22/the-london-clinic-podria-pagar-una-multa-millonaria-por-el-hackeo-del-historial-de-kate-middleton-tres-trabajadores-bajo-investigacion/ Fecha de consulta: 26 de mazo de 2024.. Como todo lo oculto atrae, el valor de la información que revela los detalles de las causas de dicha operación provocó un intento de quebrantar la seguridad informática de London Clinic y acceder a dichos datos.

La investigación revela que el propio personal de la clínica estaría involucrado; sin embargo, la falencia en ciberseguridad que pudo haber expuso datos sensibles de la paciente puede conllevar una importante penalización.

La ficha clínica de un paciente contiene información confidencial y personalísima y constituye la columna vertebral para la comprensión de cualquier proceso en el que se pretenda determinar la responsabilidad por negligencia de un tratante o un centro médico, en la medida en que allí se deben consignar los datos sobre las prácticas y procesos clínicos a los que se ha sometido esa persona, medicamentos aplicados e inclusive las instancias en que se ha informado sobre los riesgos y consecuencias de los acos médicos y obtenido el consentimiento informado.

La ficha clínica le pertenece al paciente y contiene información valiosa para determinados actores como patologías anteriores o tratamientos aplicados, actualmente su formato es electrónico y en Chile está regulada por los artículos 12 y 13 de la Ley 20.584, con un énfasis en su confidencialidad, conservación, completitud; y, en el caso de la ficha clínica electrónica, su interoperabilidad.

Sin embargo en Chile también los hackers han causado estragos respecto a la vulneración de los sistemas de seguridad informática, como la encriptación de información de Colegio Médico de Chile en el año 2021, caso en el que se pidió una recompensa en bitcoin a cambio de la devolución de la información²Disponible en: https://www.biobiochile.cl/especial/bbcl-investiga/noticias/reportajes/2021/10/14/hackers-secuestran-base-de-datos-del-colegio-medico-piden-recompensa-aun-indeterminada.shtml Fecha de consulta: 26 de mazo de 2024.. A esto se sumaron en el mismo año las constantes suplantaciones de MINSAL por hackers que obtenían datos personales d ellos usuarios disfrazando su actividad ilícita como campañas de vacunación³Disponible en: https://www.uss.cl/noticias/hackers-minsal/ Fecha de consulta: 26 de mazo de 2024..

El 2023 Chile ya había caído diez puestos en el ranking de cyberseguridad de la National Cyber Security (NCSI), al 2024 lo hizo cuatro más hasta colocase en puesto sesenta⁴Disponible en: https://ncsi.ega.ee/country/cl/?allData=1. Fecha de consulta: 26 de mazo de 2024., aún así, a nivel latinoamericano se coloca solamente por detrás de República Dominicana y en el puesto 14 global. El 2023 Chile registró un total de 6.000 millones de intentos de ciberataques, según datos de FortiGuard Labs⁵Disponible en: https://forbes.cl/tecnologia/2024-03-25/chile-registro-6-000-millones-de-intentos-de-ciberataques-en-2023-menos-que-2022-pero-mas-sofisticados Fecha de consulta: 26 de mazo de 2024., aunque se evidencia un aumento de presupuesto de las empresas en ciberseguridad, la pérdida de liderazgo en la región sobre la materia se ha evidenciado.

En este contexto, la Ley Marco de Ciberseguridad e Infraestructura Crítica (LMCSeIC) de la información es un paso decisivo en la consolidación de Chile en el grupo de países que llevan la vanguardia, la norma es pionera y aborda principios específicos aplicables, una nueva institucionalidad reguladora como es la Agencia Nacional de Ciberseguridad con el objeto de “asesorar al Presidente de la República en materias propias de ciberseguridad, colaborar en la protección de los intereses nacionales en el ciberespacio, coordinar el actuar de las instituciones con competencia en materia de ciberseguridad, velar por la protección, promoción y respeto del derecho a la seguridad informática, y coordinar y supervisar la acción de los organismos de la Administración del Estado en materia de ciberseguridad”⁶Artículo 10 de la Ley la (LMCSeIC)..

La ley consolida el camino iniciado por el Instructivo de seguridad de la información y ciberseguridad para el sector salud contenido en resolución exenta Nº 785, de 03 de noviembre de 2021, de la Subsecretaría de Redes Asistenciales. En dicho documento se establecen los primeros lineamientos para el desarrollo de software seguro señalándose que debe integrarse la seguridad de la información dentro de ciclo de vida del desarrollo, adquisición o mantención de este, lo cual debe estar presente en el diseño y levantamiento de requerimientos, hasta las pruebas de seguridad, una vez que el software se encuentre en producción. Algunas herramientas sugeridas se refieren a la adopción de contraseñas fuertes, autenticación de seguros y limitación de los ingresos fallidos. La transmisión de datos entre sistemas que caracteriza la interoperabilidad que debe estar presente en los sistemas que almacena y procesas datos clínicos de las y los paciente es deben implementar múltiples factores de autenticación, autenticación criptográfica, en conjunto con otros mecanismos como passwords o reconocimiento biométrico.

A dichas directrices se sumó lo contenido en la Política Nacional de Ciberseguridad que, dentro de sus objetivos señala “fomentar una cultura de evaluación y gestión del riesgo, tanto en organizaciones públicas como privadas, que nos permita prepararnos frente a incidentes y desastres que puedan afectar gravemente a las personas de nuestro país, su bienestar, su salud, sus derechos, su identidad, sus bienes o la posibilidad de desarrollarse plenamente a través de Internet”.

Respecto a la salud, la Ley Marco señala en su artículo 4 lo incorpora como un servicio esencial que, por lo tanto, requiere especial incorporación de medidas destinadas a evitar el quiebre de sus dispositivos de ciberseguridad, específicamente se califica como tal la prestación institucional de salud por entidades tales como hospitales, clínicas, consultorios y centros médicos, y la producción e investigación de productos farmacéuticos.

Según el artículo 27 de la LMCSeIC un incidente de ciberseguridad es entendido como de efecto significativo “si es capaz de interrumpir la continuidad de un servicio esencial o afectar la integridad física o la salud de las personas, así como en el caso de afectar sistemas informáticos que contengan datos personales”. Las variables que permiten determinar los efectos son puramente cuantitativas como el número de personas afectadas, la extensión geográfica con respecto a la zona afectada y la duración; sin embargo, el efecto multiplicador de daño se hace presente si éste se refiere a datos sensibles, como el historial clínico de las y los pacientes.

Ante la potencialidad de que un incidente de ciberseguridad con efectos significativos se produzca, a partir de quebrantamiento de los sistemas de protección que resguarden la información clínica parece ser absolutamente pertinente acudir a la prevención y al tratamiento especialmente riguroso de los mecanismos presentes en estos sistemas; para lo cual, a priori, resulta muy útil el principio de seguridad y privacidad por defecto regulado en el numeral 8 de artículo 3.

Si nos aproximamos a la noción de principio como mandato de optimización, la norma señalada convocaría a que todo actor privado o público que genere e implemente un sistema informático, aplicación o tecnología de la información deba tomar todas las precauciones e invertir los mayores esfuerzos posibles, según los conocimientos disponibles para proteger los datos personales, lo cual debe ser inherente al diseño mismo.

La LMCS e IC expande las posibilidades de investigación y generación de conocimiento respecto de las relaciones entre el Derecho y la tecnología, especialmente, mediante la incorporación de principios y conceptos nuevos que requieren ser dotados de amplio contenido y sentido práctico. Con este fin, la Facultad de Derecho y Humanidades de la Universidad Central ha creado la cátedra Legal Tech y generado espacios de diálogo y reflexión como el I Congreso de Derecho y Tecnología que se llevará a cabo el 9 y 10 de mayo de 2024; así como la Academia Legal Tech que cuenta con instancias de debate para estudiantes y egresados interesados en estos temas.

*Edison Calahorrano Doctor en Derecho por la Universidad de Talca, Académico Investigador Universidad Central de Chile y profesor colaborador del Doctorado en Derecho, edison.calahorrano@ucentral.cl, ORCID: https://orcid.org/0000-0003-0408-5737.