Interoperabilidad de las fichas clínicas y ciberseguridad

Por Fernando Halim Muñoz * 

La interoperabilidad es “la habilidad de una entidad para comunicarse con otra entidad”¹Computer Security Resource Center, NIST Information Technology Laboratory; Disponible en: https://csrc.nist.gov/glossary/term/interoperability (por medios tecnológicos en este caso). La Ley 21.668 incorporó la noción de interoperabilidad de las fichas clínicas electrónicas dentro del estatuto de derechos y deberes del paciente (Ley 20.584) e hizo modificaciones a dos de sus artículos. La idea que motivó la legislación fue la de permitir la interoperabilidad de la ficha clínica tanto  en prestadores de salud públicos como privados, con miras a garantizar la continuidad de la atención del paciente²Historia de la Ley 21.668, Biblioteca del Congreso Nacional: Disponible en: https://www.bcn.cl/historiadelaley/nc/historia-de-la-ley/8299/.

Hasta antes de esta Ley, la ficha electrónica ya era una realidad. Su custodia quedaba entregada a un sólo prestador de salud y se fijaban deberes reglamentarios genéricos de: 1. Acceso centralizado; 2. Mantención de copia de seguridad (in situ y en un centro de almacenamiento); 3. Establecer medidas de seguridad -indeterminadas- frente a accesos no autorizados³Art. 8 y 9 del Decreto 41, de 2012, de MINSAL, que aprueba el Reglamento sobre Fichas Clínicas.. Esto tenía como efecto un grado de control y responsabilidad de parte del prestador de salud respecto de los aspectos centrales de la seguridad de la información: la confidencialidad, integridad y disponibilidad de los datos. Con la implementación de esta nueva ley, el panorama experimenta un cambio significativo debido a la multiplicidad de actores y tecnologías que deben converger. Además de que varios aspectos críticos quedaron sujetos al reglamento.

En lo que interesa, la ley 21.668 agregó nuevas obligaciones para los prestadores de salud, a saber:

1. Adoptar las medidas que permitan la interoperabilidad con otros prestadores de salud;
2. El acceso oportuno a la información contenida en la ficha que sea necesaria para garantizar la continuidad del cuidado del paciente; y
3. Para concretar lo anterior, la ficha clínica debe custodiarse en conjunto con otros prestadores de salud que hayan realizado las atenciones registradas⁴Nuevo Art. 12 de la Ley 20.584.

Al respecto, la Ley no definió el contenido mínimo de estas nuevas obligaciones ni tampoco el cómo se concretarán. La técnica legislativa fue la de delegar en el reglamento del Ministerio de Salud toda su definición conceptual y operacional⁵Nuevo Art. 13 de la Ley 20.584. Para ello se le concedió 18 meses desde la publicación de la norma⁶Art. 3 de la Ley 21.668.

Si bien hay ciertos aspectos de ciberseguridad que serán soportados por el estatuto de la Ley Marco de Ciberseguridad (21.663) y la Agencia Nacional de Ciberseguridad, hay aspectos claves que quedaron en manos del regulador sectorial de salud, lo que crea nuevas amenazas que pueden y deben ser mitigadas. En tal sentido, de no contar con una determinación clara del regulador, los elementos cruciales serían fijados -finalmente- por los regulados, quienes hoy carecen de incentivos para maximizar los aspectos de seguridad.

Es importante tener en cuenta que la ciberseguridad trata de gestionar los riesgos de incidentes. Dado que es imposible lograr un sistema sin riesgos, es fundamental identificar y establecer los niveles de riesgo de seguridad que consideramos aceptables en función del estado actual de la materia. Esto implica determinar el nivel de pérdida o interrupción potencial que estamos dispuestos a tolerar para garantizar los fines de la ficha clínica.

Para dimensionar los riesgos, debe explicarse que la interoperabilidad será entre entidades que tienen distintas culturas organizacionales (públicos y privados), distintos recursos (PYME y grandes empresas) y con una ley de datos personales que constantemente es criticada por la débil protección que ofrece⁷Reporte: Consulta experta sobre la Ley de Protección de la vida Privada de las Personas, Asesoría Técnica Parlamentaria, Biblioteca del Congreso Nacional, Octubre 2018; Disponible en: https://obtienearchivo.bcn.cl/obtienearchivo?id=repositorio/10221/26703/2/BCN_Consulta_experta_sobre_la_Ley_de_Proteccion_de_la_vida_Privada.pdf y cuya modificación los especialistas acusan estar paralizada⁸“Postergación al proyecto de protección de datos personales”, La Tercera, 5 de junio de 2024, https://www.latercera.com/opinion/noticia/postergacion-al-proyecto-de-proteccion-de-datos-personales/G7HRRUFQRFDETKMXMCUA4RAQAE/.

El primer riesgo observado es de orden regulatorio: la posible ambigüedad del futuro reglamento. En tal sentido, en un contexto de múltiples actores no bastaría -para la protección de los datos- una declaración genérica de que los prestadores deben establecer “medidas de seguridad y barreras de protección”, como lo hace el actual reglamento, pues se requiere que todos los prestadores de salud conversen a través de un medio (canal de comunicación), definición del lenguaje en que hablaran (con algún grado de encriptado interoperable) y el establecimiento de controles de acceso (generación de claves)⁹NIST Special Publication 800-175B Revision 1, Guideline for Using Cryptographic Standards in the Federal Government: Cryptographic Mechanisms, marzo de 2020; Disponible en: https://nvlpubs.nist.gov/nistpubs/SpecialPublications/NIST.SP.800-175Br1.pdf.

En el mismo sentido, debe establecerse cuán (des)centralizado será el sistema, la operatividad de una eventual tercerización, los respaldos, y el reforzamiento de una cultura de ciberseguridad en los prestadores.

Por otro lado, es primordial la concreción de obligaciones claras que permitan una correcta fiscalización, sanción y revisión judicial en caso de incumplimiento.

El segundo riesgo se refiere al incremento de las amenazas externas, las cuales se suman a las ya existentes internamente. Estas amenazas pueden originarse en la tecnología, los datos y las personas, ya sea de manera accidental o intencional. Es crucial relevar el creciente interés por los incidentes de origen intencional, especialmente debido al alto valor que poseen los datos clínicos en el mercado negro¹⁰Sanjay Cherian, “Council Post: Healthcare Data: The Perfect Storm”, Forbes, accedido 3 de junio de 2024, https://www.forbes.com/sites/forbestechcouncil/2022/01/14/healthcare-data-the-perfect-storm/ y a los efectos negativos que puede tener en la atención de los pacientes el no acceder oportunamente a los datos clínicos. Existen casos de vulnerabilidades documentados que respaldan esta preocupación. Por ejemplo, en 2017, el Sistema Nacional de Salud del Reino Unido (NHS) fue secuestrado y paralizado por un ransomware¹¹“The WannaCry and ASP Cases: Holding Medical Data Hostage through Ransomware”, SecureHospitals.Eu (blog), accedido 5 de junio de 2024, https://www.securehospitals.eu/knowledge/case-studies/the-wannacry-and-italy-cases-holding-medical-data-hostage-through-ransomware/,  en 2018, en los Países Bajos se filtraron datos clínicos completos de una celebridad¹²“The Barbie case: GDPR and the mishandling of patient information – SecureHospitals.eu”, accedido 2 de junio de 2024, https://www.securehospitals.eu/knowledge/case-studies/the-barbie-case-the-netherlands-gdpr-and-the-mishandling-of-patient-information/ y hoy existen malwares que pueden incluso modificar exámenes médicos, añadiendo enfermedades que los pacientes no padecen¹³Divya Tirumalaraju, “Israeli Research Shows Medical Scans Vulnerable to Hacking”, Medical Device Network (blog), 4 de abril de 2019, https://www.medicaldevice-network.com/news/medical-scans-cybersecurity-study/.

El tercer riesgo es el del sigilo de las amenazas. Una cultura de ciberseguridad inadecuada puede llevar a que las amenazas presentes, pasadas y futuras pasen inadvertidas. Esto puede originarse por múltiples vías, como el compartir las claves entre los profesionales de salud, la intervención silenciosa de un hacker y los nuevos malware existentes que pueden operar incluso desde la memoria RAM. Todas ellas indetectables de no contar con una correcta supervigilancia de parte de los prestadores de salud o del Ente fiscalizador. Graficando este riesgo, en el año 2018 un grupo de hackers accedieron a los sistemas de la American Medical Collection Agency (AMCA) y no fueron detectados en todo un año, comprometiendo los datos sensibles de  25 millones de pacientes¹⁴“The AMCA Case: Hacking and Data Breaches in Healthcare”, SecureHospitals.Eu (blog), accedido 5 de junio de 2024, https://www.securehospitals.eu/knowledge/case-studies/the-amca-case-hacking-and-data-breaches-in-healthcare/.

Estos tres riesgos reflejan parte de las preocupaciones que deberá hacerse cargo el nuevo reglamento.

En un escenario donde los expertos en ciberseguridad escasean a nivel mundial¹⁵“Cybrary and Google Cloud: Cybersecurity Training to More Learners”, Google Cloud Blog, accedido 23 de mayo de 2024, https://cloud.google.com/blog/topics/public-sector/cybrary-closing-cybersecurity-skills-gap-affordable-tools-and-training, las vulneraciones a los sistemas de seguridad van en aumento¹⁶Stuart Madnick, “Why Data Breaches Spiked in 2023”, Harvard Business Review, 19 de febrero de 2024, https://hbr.org/2024/02/why-data-breaches-spiked-in-2023 y el incentivo económico existente para adquirir datos sensibles hacen levantar señales de alerta sobre el riesgo de incidentes de ciberseguridad sobre la ficha clínica electrónica y el otorgamiento continuo de las prestaciones de salud.

* Fernando Andrés Halim Muñoz es Abogado de la Universidad Central, Magíster en Derecho -mención en Derecho Público- de la Universidad de Chile y Magíster en Arbitraje de la Universidad Central. Diplomado en Regulación Económica de la Universidad Adolfo Ibáñez, en Derecho del Trabajo y de la Seguridad Social del IEJ, en Introducción al Derecho Internacional de los DDHH y en Derecho Público Económico, ambos últimos de la Universidad de Chile. Especialista en Derecho Público, Regulatorio y de Salud.