AD 144/2020
Resumen: la situación generada por la pandemia mundial de COVID-19 y los períodos de confinamiento y el distanciamiento social han traído consigo la teleactividad: el trabajo a distancia, la formación a distancia, el ocio a distancia, etc. Uno de los ámbitos en los que también se están desarrollando soluciones y herramientas a distancia es el de la medicina. La telemedicina presenta un interesante potencial desde hace años, y son cada vez más los establecimientos y profesionales sanitarios los que comienzan a invertir en esta forma de prestar sus servicios, con el impacto jurídico que ello conlleva.
Palabras clave: telemedicina, privacidad, datos, seguridad, eSalud.
Abstract: The situation generated by the COVID-19 global pandemic and the containment periods and social distancing have led to the tele-activity: remote working, distance-learning, distance-leisure, etc. One of the areas in which distance solutions and tools are also being developed is the medicine. Telemedicine has had an interesting potential for years, and more and more health centres and professionals are beginning to invest in this mode of supply of services, with the legal impact thereof.
Keywords: telehealth, privacy, data, security, eHealth.
INTRODUCCIÓN
Las consecuencias económicas de la declaración del estado de alarma en España a mediados de marzo de 2020 y el colapso del sistema sanitario en abril permanecen tangibles: descenso del consumo, ERTE, cierres de negocio (definitivos en los peores casos), etc. Las empresas que aún no contaban con presencia en las redes se han visto abocadas a crearla y a explorar nuevas líneas de negocio en el entorno digital mediante sitios web, e-commerce, y marketplaces. En el sector de la medicina, a diferencia de la concepción tradicional y presencialista de este, también se han desplegado esfuerzos dirigidos a migrar la actividad a un entorno digital con la telemedicina.
¿Qué entendemos por telemedicina? Telemedicina es cualquier servicio de medicina prestado a distancia. Un médico atendiéndonos por teléfono ya es hablar de telemedicina. En un nivel más alto, por decirlo de alguna manera, encontraremos sistemas de telemedicina a través de plataformas web y/o apps con funcionalidades concretas como el telediagnóstico, la teleconsulta (videoconsultas, por ejemplo), el uso de técnicas de reconocimiento y detección precoz, etc. La telemedicina lleva años formando parte de la agenda de objetivos de muchos países y organizaciones como alternativa sólida para poder llevar la prestación de servicios sanitarios a regiones de difícil acceso en las que la distancia física entre profesional y paciente es difícilmente franqueable y, hoy, se presenta como alternativa cercana en nuestras ciudades en la “nueva normalidad”, donde muchas personas optan por la telemedicina para no correr riesgos desplazándose a su centro de salud u hospital más cercano.
Como tal, el origen de la telemedicina se remonta al origen mismo de las telecomunicaciones, con el telégrafo en el siglo XIX y la utilización masiva del teléfono en el siglo XX, Internet, etc. De forma totalmente premonitoria, la revista Radio News[1] publicó en su portada de abril de 1924 una ilustración titulada “El Radio Doctor – ¡Tal vez!”. En la imagen podía apreciarse a una persona encamada manipulando un aparato, entre radio y televisor, mediante el cual un médico atendía al encamado a través de una cámara y un micrófono.
Posteriormente, la telemedicina recibió diversos impulsos en las décadas de 1950 y 1970, especialmente de la mano de organizaciones como la NASA, muy interesada en desarrollar programas de medicina a distancia para sus astronautas[2]. Hoy, con el auge de Internet y las comunicaciones electrónicas podemos decir que la telemedicina se encuentra ya asentada en el sector salud. En 2008, la Comisión Europea definió los sistemas de telemedicina como aquellos “que permiten transferir información médica a distancia por medio de tecnologías de la información y la comunicación”[3]; y la OMS la ha bautizado como “eHealth”, eSalud, la prestación de servicios sanitarios en la que pacientes y profesionales de la salud están separados en la distancia, por medio de las TIC, para el diagnóstico y tratamiento de enfermedades y lesiones, así como para investigación, evaluación y formación continua de los propios profesionales[4].
Aquí se encuentra el quid de la cuestión: la información. El intercambio de datos entre profesionales de la salud, y entre profesionales y pacientes, es la piedra angular de cualquier sistema de telemedicina, y el dato su principal activo. Además, cuanto mayor sea la introducción de tecnología, mayor flujo de datos existirá y, por tanto, mayor será el impacto en aquéllos.
TELEMEDICINA Y PROTECCIÓN DE DATOS
Pensemos en un sistema de telemedicina en el que los servicios se prestan a través de una app o una plataforma. Como decimos, la interacción de usuarios con el sistema (pacientes y facultativos) generará un flujo de datos que tendrá lugar a través de redes de comunicaciones electrónicas y, por ende, existirá una o varias actividades de tratamiento que deberán sustentarse necesariamente en la información a los usuarios, una base de legitimación adecuada y la garantía de los principios del tratamiento de datos del artículo 5 del RGPD.
Un ecosistema de telemedicina que vele por la privacidad del usuario y que goce de medidas de seguridad adecuadas al nivel de riesgo existente para los datos son cuestiones fundamentales de las que dependerá directamente la confianza en esta modalidad de prestación de servicios sanitarios.
El análisis de ese riesgo deberá contemplar inevitablemente el hecho de que en los flujos de datos del sistema de telemedicina encontraremos datos relativos a la salud, es decir, una de las categorías especiales de datos personales del artículo 9 del RGPD. Además, la jurisprudencia europea ha dictaminado que al concepto “dato relativo a la salud” debe dársele una interpretación amplia[5], entendiendo por él como toda la información relacionada con los aspectos físicos y psíquicos de la salud de las personas que revelen información sobre su estado de salud, tal y como lo define el artículo 4 del RGPD.
De este modo, en un sistema de telemedicina moderno que incorpore múltiples funcionalidades que permitan la efectiva prestación de un servicio sanitario a distancia por medios electrónicos (videoconsultas, telediagnóstico o, incluso, la realización de ciertas acciones por parte de robots programados o manipulados por personas en un futuro cercano como algo habitual), la evaluación en términos de salud, el tratamiento de datos altamente confidenciales como los relativos a la salud de los usuarios pacientes del sistema de telemedicina y el uso de soluciones tecnológicas para la prestación del servicio sanitario harán que el tratamiento de datos llevado a cabo en un sistema de telemedicina semejante entrañe, presumiblemente, un alto riesgo para los derechos y libertades de los interesados.
En cuanto a los riesgos en sí, existirán más o menos riesgos en función del tipo de tecnología que se utilice para prestar el servicio de telemedicina. Por ejemplo, imaginemos el uso de alguna clase de bot capaz de procesar lenguaje natural, aprender de él y confeccionar nuevas respuestas no necesariamente programadas previamente, un smart bot, con fines de atención primaria para realizar diagnósticos preliminares o realizar filtrados de pacientes. El uso de este tipo de tecnología es susceptible de entrañar un riesgo específico de generar situaciones discriminatorias entre usuarios: ¿qué ocurre si quien programa el bot puede estar dejando en él una impronta discriminatoria o prejuiciosa? El uso de tecnologías menos intrincadas, como los dumb bots, no generaría riesgos de este tipo, de forma que existirán grandes diferencias en función de las decisiones que se tomen en cuanto a la forma y los medios con que se prestará el servicio de telemedicina, y en todo caso deberá respetarse el principio de minimización de los datos desde una perspectiva reduccionista de la personalidad de los datos[6].
A todo esto debemos sumar el hecho de que el propio uso de Internet como vehículo para la prestación del servicio generará de por sí riesgos comunes como el acceso ilegítimo a los datos por parte de terceros no autorizados o la eliminación y/o sustracción de aquéllos. En este sentido, la aplicación de medidas técnicas y organizativas apropiadas en el marco de una privacidad desde el diseño que acompañe al sistema de telemedicina desde las primeras instancias de su desarrollo, como parte de la debida proactividad del Responsable del tratamiento, permitirá aplicar un enfoque de privacidad específico desde el principio.
A grandes rasgos, a la hora de evaluar un sistema de telemedicina desde el diseño tendrán que evaluarse todos los aspectos relacionados con los datos: acceso al sistema y creación de cuentas, en su caso; las diversas instancias de recogida y uso de datos en el sistema; la supresión y el bloqueo de los mismos; la aplicación de medidas de seudonimización y anonimización; las vías de ejercicio de derechos por parte de los interesados y estructuración y segmentación de los datos a tal fin; el análisis de los eventuales Encargados y/o Destinatarios de los datos que pueda envolver el uso del sistema; etc. Esto permitirá la confección de una política de privacidad sólida que tenga en cuenta todos los aspectos relevantes en materia de privacidad, logrando una protección integral en el ciclo de vida de los datos, la visibilidad, la transparencia y la centralidad del usuario en todo momento.
En relación con los Encargados, recordemos que el Responsable del tratamiento debe elegir sólo a aquellos que garanticen de forma suficiente la aplicación de medidas técnicas y organizativas apropiadas para que el tratamiento de datos que se encargue se adapte a los requisitos del RGPD. En el entorno de la telemedicina, será habitual que el desarrollo de las plataformas y soluciones tecnológicas que permitan la comunicación con los usuarios pacientes y la prestación del servicio se deje en manos de desarrolladores especializados. En este sentido, deberá alentarse a los desarrolladores para que observen el derecho a la protección de datos a la hora de diseñar el producto (la autoridad de control francesa, la CNIL, ha publicado recientemente una guía de cumplimiento del RGPD especialmente dirigida a los desarrolladores tecnológicos, que contempla diversas fases a tener en cuenta desde una perspectiva de privacidad desde el diseño y por defecto: identificación del dato, preparación del desarrollo, aseguramiento del entorno de desarrollo, servidores, gestión del código fuente, etc.[7]).
TELEMEDICINA Y SEGURIDAD
Más allá del dato, pero íntimamente relacionada con él, se encuentra la seguridad de las redes y la información, como la capacidad de un sistema de información de resistir accidentes y acciones malintencionadas que puedan comprometer alguno o algunos de los requisitos indispensables en la valoración de la información: confidencialidad, integridad, autenticidad, trazabilidad y disponibilidad. Es evidente que habida cuenta de la naturaleza sensible y especial de los datos que se recabarán y se tratarán en un sistema de telemedicina, relativos a la salud, la seguridad en su sistema de información será una cuestión de absoluta centralidad, no sólo por las obligaciones impuestas por el marco armonizado del RGPD con respecto de los datos de las personas físicas sino también por el incalculable perjuicio que una fuga de información o una brecha de seguridad en el sistema podría causar en los usuarios interesados.
No obstante, la seguridad absoluta no existe, de forma que debemos entender la seguridad como una función, como un conjunto de actividades dirigidas a identificar riesgos, eliminar vulnerabilidades, prever incidentes, limitar los efectos de estos, reparar los daños y recuperar las funcionalidades del sistema de la forma más rápida y menos dañina posible.
A la hora de identificar los activos del sistema de información de una solución de telemedicina encontraremos, con total seguridad, que la Historia Clínica es uno de ellos, toda vez que se conformará como un elemento necesario y de interés para la organización que presta un servicio de telemedicina. Adicionalmente, deberá tenerse en cuenta que la formación y el uso de una Historia Clínica electrónica expondrá a esta a las amenazas asociadas a la propia naturaleza del entorno digital y conectado, como comentábamos anteriormente.
En relación con las medidas de seguridad concretas a aplicar en el sistema de información, hemos de atender nuevamente al enfoque de riesgo: deberán adoptarse las medidas adecuadas acordes con el nivel de riesgo afrontado. El objetivo será establecer una serie de protocolos partiendo de los cinco requisitos de la información citados. Para ello, en España contamos con el Esquema Nacional de Seguridad[8], un esquema aplicable a las Administraciones Públicas pero que sirve como inspiración en cuanto a los principios y garantías básicas que debe reunir un sistema de información, con el análisis y la gestión de riesgos, la gestión de personal, la autorización y control de accesos, la seguridad por defecto, la protección de la información almacenada y en tránsito, etc.
De esta manera, en un nivel organizativo podremos encontrar medidas de gestión de personal (Responsable de Seguridad, manuales, formación, etc.), gestión de soportes de información (etiquetado, destrucción de soportes y borrado de información, etc.) y gestión de incidencias y violaciones de seguridad que se traducirán en protocolos de actuación documentados adaptados a cada organización, a cada sistema de información y a cada tipo de riesgo identificado. En un nivel técnico, encontraremos medidas transversales como la realización de copias de seguridad y su almacenamiento seguro (INCIBE-CERT recomienda la estrategia ”3-2-1”: 3 copias de la información importante almacenada en 2 soportes distintos con 1 copia almacenada fuera de las instalaciones de la organización[9]); el uso de técnicas de cifrado para garantizar la privacidad y la inviolabilidad de las comunicaciones y la confidencialidad e integridad de la información; y la programación de actualizaciones y bloqueo de dispositivos.
CONCLUSIONES
Vivimos en la era del dato, ya que ahora más que nunca se ha comenzado a adquirir una conciencia colectiva de que los datos son activos a muchos niveles: activos económicos, activos estratégicos, activos de interés público, etc. Como activos, los datos deben ser igualmente objeto de protección. En el Espacio Económico Europeo contamos con un marco armonizado y garantista facilitado por el RGPD dirigido a lograr un alto nivel de protección de datos en España y en nuestros socios europeos. La reciente anulación del Privacy Shield con EE.UU. no deja de poner de manifiesto, de hecho, que la voluntad de las instituciones europeas es que los datos europeos puedan, a corto-medio plazo, “quedarse en casa” en todo su ciclo de vida.
En relación con la telemedicina, la concurrencia de datos y su sensibilidad hará necesario que su tratamiento se amolde a los principios del tratamiento recogidos en el RGPD, limitando adecuadamente las finalidades del tratamiento y minimizando los datos en la medida de lo posible. La privacidad desde el diseño y un control exhaustivo de los medios con que vayan a tratarse los datos permitirá la correcta identificación de los riesgos existentes para aquéllos y, así, aplicar las medidas técnicas y organizativas más adecuadas, cumpliendo asimismo con los estándares de seguridad de la información deseables.
El objetivo será reducir riesgos a un mínimo tolerable, lo que a la postre generará confianza en los interesados y eficiencia en la prestación de una modalidad de servicios sanitarios, la telemedicina, que promete adquirir cada vez un papel más relevante en la sociedad actual.
David Salgado
9 de septiembre de 2020
Bibliografía
NASA. (6 de abril de 2020). NASA and Telemedicine. Recuperado de: https://go.nasa.gov/2zTRL4K.
Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, de 4 de noviembre de 2008, “La telemedicina en beneficio de los pacientes, los sistemas sanitarios y la sociedad” (COM 2008/689). Recuperado de: https://bit.ly/2A3pit3.
Organización Mundial de la Salud. (13 de enero de 2011). Global Observatory for eHealth series – Volume 2. Recuperado de: https://bit.ly/2BrI5yA.
Sentencia del Tribunal General de la Unión Europea (Sala Sexta), de 3 de diciembre de 2015 (asunto T-343/13). Disponible en: https://bit.ly/2zek4dC.
Panel for the Future of Science and Technology of the European Parliament. (2020). The impact of the General Data Protection Regulation (GDPR) on artificial intelligence (PE 641.530). Recuperado de: https://bit.ly/2YyLCnZ.
CNIL. (2020). GDPR Guide for Developers. Recuperado de: https://bit.ly/3flUwup.
Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (BOE núm. 25, de 29 de enero de 2010).
INCIBE-CERT. (2018). Copias de seguridad: una guía de aproximación para el empresario. Recuperado de: https://bit.ly/3fIDWoP.
David Salgado Arce
Jurista, consultor y asesor especializado en protección de datos y nuevas tecnologías en Audens: Abogados de Nuevas Tecnologías. Graduado en Derecho (Universidad de Deusto, Bilbao), Máster de Acceso a la Abogacía (Universidad Complutense de Madrid) y Máster en Derecho de las Telecomunicaciones, Protección de Datos, Sociedad de la Información y Audiovisual (Universidad Carlos III de Madrid).
Perfil digital: https://www.linkedin.com/in/david-salgado-legal-advisor/
[1] Radio News fue una revista mensual estadounidense editada y publicada en Estados Unidos entre 1919 y 1971, inicialmente dirigida a los radioaficionados pero que terminó por ser una revista referente que recopilaba los avances más destacables en el ámbito de la radio y la electrónica.
[2] NASA. (6 de abril de 2020). NASA and Telemedicine. Recuperado de: https://go.nasa.gov/2zTRL4K.
[3] Comunicación de la Comisión al Parlamento Europeo, al Consejo, al Comité Económico y Social Europeo y al Comité de las Regiones, de 4 de noviembre de 2008, “La telemedicina en beneficio de los pacientes, los sistemas sanitarios y la sociedad” (COM 2008/689). Recuperado de: https://bit.ly/2A3pit3.
[4] Organización Mundial de la Salud. (13 de enero de 2011). Global Observatory for eHealth series – Volume 2. Recuperado de: https://bit.ly/2BrI5yA.
[5] Sentencia del Tribunal General de la Unión Europea (Sala Sexta), de 3 de diciembre de 2015 (asunto T-343/13). Disponible en: https://bit.ly/2zek4dC.
[6] Panel for the Future of Science and Technology of the European Parliament. (2020). The impact of the General Data Protection Regulation (GDPR) on artificial intelligence (PE 641.530). Recuperado de: https://bit.ly/2YyLCnZ.
[7] CNIL. (2020). GDPR Guide for Developers. Recuperado de: https://bit.ly/3flUwup.
[8] Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica (BOE núm. 25, de 29 de enero de 2010).
[9] INCIBE-CERT. (2018). Copias de seguridad: una guía de aproximación para el empresario. Recuperado de: https://bit.ly/3fIDWoP.
