#Telegram: uso clínico, seguridad y legislación aplicable.

Tras la publicación del post de ayer, recibí un curioso comentario de Rosa Taberner en el que me pedía si podía reescribir "Whatsapp: uso clínico, seguridad y legislación aplicable.", pero cambiando Whatsapp por Telegram.

No hace falta que explique qué es Telegram, en cualquier caso existen muchas fuentes sobre el servicio y no ahondaré en ello, así que pasaré a las 7 áreas de evaluación que establecí en el post de referencia.

No repetiré los preliminares que justificaron el post sobre Whatsapp, así que empezaremos inmediatamente el análisis.

Recordemos: de entrada, el espíritu de la legislación española es que "el desconocimiento de la ley no exime del cumplimiento de la misma"; dicho esto, sin más preámbulo, empecemos. 

En España, la normativa aplicable es la que establece la Ley Orgánica de Protección de Datos (LOPD) y existen diferentes guías para ayudar en su cumplimiento. 

En el caso que nos ocupa, una teleconsulta, hay 7 consideraciones a tener en cuenta: 

1) No se puede realizar un diagnóstico no presencial, pero sí una valoración u orientación diagnósticas, el diagnóstico sólo lo puede hacer un médico que físicamente esté al lado del paciente, de acuerdo con la legislación española. Este punto es de aplicación por parte del clínico o clínicos implicados en la comunicación, y por tanto, desde el punto de vista tecnológico, nada que objetar. Por tanto, iguales Whatsapp y Telegram.

2) Se tiene que identificar de manera unívoca quién está en ambos extremos de la comunicación. En el caso que nos ocupa, el ID de Telegram es el número de móvil, y dado que los números de móvil de los clínicos no son de dominio público y conocen perfectamente quién está al otro lado, hay una seguridad razonable de conocer quién establece una comunicación con ellos, dado que el clínico también tendrá el número de móvil de los pacientes que puedan usar este servicio. La mejor seguridad, no obstante, correspondería al uso de certificados digitales en ambos extremos de la comunicación; iguales Telegram y Whatsapp. 

3) Los datos tienen que viajar cifrados. No hay dudas en este aspecto. Los fabricantes han creado un algoritmo que según ellos mismos definen: "We support two layers of secure encryption (server-client and client-client). Our encryption is based on 256-bit symmetric AES encryption, RSA 2048 encryption and Diffie–Hellman secure key exchange". Los detalles técnicos aquí. Hay incluso una competición abierta para romper el algoritmo con un premio de 200.000$ -en BitCoins- para quien lo consiga. Telegram supera claramente a Whatsapp en esta área.

4) Las conversaciones en Telegram se guardan físicamente en el cloud de servidores de Telegram y en el dispositivo móvil. En cuanto a este dispositivo móvil, deberá tener activada la opción de cifrar el dispositivo. Es una opción a nivel de configuración del smartphone que, al menos en el dispositivo del clínico, deberá estar activada. En cuanto al servidor -o mejor dicho, al cloud de servidores- no hay visibilidad sobre ello. Esto plantea una serie de problemas legales insospechados, pues no tener la certeza de dónde se guarda realmente la información, como veremos más adelante, hace que Telegram no cumpla la Ley de Protección de Datos. Whatsapp, de manera inesperada, gana en este terreno.

5) La ruta que siguen estos datos tiene que ser trazable. Este supuesto no lo cumple  Telegram pues la comunicación se enruta hacia un cloud propio en el que, según su propia descripción: "Telegram servers are spread worldwide for security and speed". ¿Qué criterios se usan? ¿Dónde están estos servidores? Nadie lo sabe. Whatsapp en este aspecto es también superior a Telegram. 

6) Se tiene que conocer dónde físicamente se almacenan estos datos, si aplica. Como hemos visto en los puntos 4 y 5, Telegram plantea muy serias dudas en este aspecto. Nadie sabe dónde están los datos. Whatsapp vuelve a vencer a Telegram.

7) Si el almacén de datos está fuera de la Unión Europea, cabe conocer la legislación aplicable en cada caso y si existe algún tipo de acuerdo de reciprocidad de protección de datos con la Unión Europea.  No sabemos dónde están los datos, no hay condiciones legales de prestación del servicio, y por ende tampoco sabemos si se adhieren a Safe Harbour Agreement o no. Lo único que sabemos es que los propietarios son al mismo tiempo propietarios de la red social rusa VKontakte con lo que presumiblemente, en algún momento, los datos pasan, se almacenan y son tratados en el territorio de la Federación Rusa. Aunque Whatsapp no está adherido a un Safe Harbour Agreement, ofrece mucha más información sobre el particular que Telegram. Ninguno de los dos servicios cumple la legislación de protección de datos.

La conclusión es que Telegram, como Whatsapp, puede ser una herramienta cuya funcionalidad y usabilidad para teleconsulta no ofrece lugar a dudas, pero jurídicamente no se puede usar para dicho menester en territorio de la Unión Europea.

Y pese a quien le pese, es mucho más confiable desde un punto de vista estrictamente jurídico Whatsapp que Telegram.

5 comentarios:

  1. Gracias por compartir este análisis tan interesante sobre las dos aplicaciones de intercambio de mensajes instantáneos más utilizadas en la actualidad. Si bien es cierto que ambas presentan limitaciones en su uso con pacientes, está claro que para el intercambio de información, opiniones, imágenes y vídeos entre profesionales sanitarios siguen teniendo validez. Teniendo en cuenta tu análisis, de esta infografía que realizamos en su día sobre Whatsapp (y cuyos datos también se aplicarían en su mayoría a Telegram), sólo habría que eliminar la comunicación con pacientes para adaptarla completamente a los requerimientos de la LOPD https://www.campussanofi.es/2013/01/18/whatsapp-como-utilizar-mensajeria-movil-instantanea-en-nuestra-practica-profesional/. ¡Un saludo y seguiremos con atención tus nuevas publicaciones!

    ResponderEliminar
    Respuestas
    1. Muchas gracias! De todos modos, sea con pacientes o no, hay que recordar que los datos de salud son de nivel alto y por tanto, tampoco se puede usar en un ámbito de interconsulta profesional... Hay que ser muy cuidadosos al respecto.

      Eliminar
    2. Sin duda, Rafa. Gracias por el matiz!

      Eliminar
  2. http://catai.net/blog/2014/03/el-desconocimiento-de-la-ley-no-exime-de-su-cumplimiento/

    ResponderEliminar
    Respuestas
    1. ¡Muchas gracias! Todo un honor ser mencionado por vosotros. :-)

      Eliminar