Reflexiones sobre seguridad en la consulta.

Este post, como éste otro, se origina en una de las sesiones de chat del grupo de Whatsapp de Health2.0 BCN.

En esta ocasión, el día 1 de enero, más o menos a las 15:00h de la tarde, se inicia una discusión sobre el uso de Whatsapp y del mail como herramientas de atención a distancia y... bueno, aquí nace este post. 

Ya en este espacio hablé de Whatsapp, de Telegram, y del venerable pero no menos eficaz teléfono

Las conclusiones eran claras. Pero la realidad es tozuda, y si tenemos una app que encontraremos instalada sin excepción en cualquier smartphone de este país esta es Whatsapp. No es la mejor, lo sabemos. Sucede lo mismo que pasó en su momento en la guerra de formatos de video doméstico entre VHS y Betamax. Betamax era superior en todos los aspectos, salvo en uno: el público compraba VHS porque la mayoría de sus amigos tenían VHS y se podían intercambiar las cintas. Ganó el formato VHS.

Así que levante la mano quién teniendo un amigo médico no haya tirado de Whatsapp ni médico que no haya contestado alguna consulta por el mismo canal. Esto da una idea de la utilidad que supone para la población el acceso a servicios sanitarios mediante mensajería instantánea.

Otra cosa es la seguridad: desde que fue comprado por Facebook en febrero de 2014, muchas son las voces que han pedido dejar de usar esta app, por las sospechas de que mensajes de personas de relevancia pública podrían ser filtrados a través de Facebook a la NSA. Después de haber rastreado si había alguna referencia a este asunto -incluso he llegado a consultar WikiLeaks- no he encontrado ninguna mención, ni de pasada. No obstante, grandes compañías alemanas han prohibido el uso de Whatsapp a sus empleados en sus terminales móviles de empresa; para algunas de ellas es falta grave y motivo de despido directo. Me contaban de una de estas empresas, laboratorio farmacéutico, que la prohibición alcanzaba a los visitadores médicos, y que para mantener el contacto con "sus" médicos, en algunos casos hacían uso de sus dispositivos personales... equipados con Whatsapp.

Así que, "con la iglesia hemos topado, amigo Sancho"... ¿Y ahora qué?

A la espera de que alguna administración pública sea consciente de este problema y dé con alguna solución (me consta que en Andalucía ya se está haciendo algo al respecto), os voy a dar un par de consejos -en forma de app- que incrementarán la seguridad de vuestras comunicaciones con vuestros pacientes.

La primera de ellas es PrivateMSG, app gratuita para Android e iOS, de origen español y de funcionamiento muy simple. El receptor y el emisor deben compartir una contraseña, la misma para los dos. Se introduce el texto a cifrar, devuelve un texto cifrado, se copia dicho texto y se pega en Whatsapp. Nuestro receptor deberá hacer lo mismo. Puede parecer tosco, pero es eficaz y mantiene la posibilidad de seguir comunicándose usando Whatsapp. También se pueden cifrar y descifrar mensajes a través de la web. Por supuesto, se puede usar en cualquier otro tipo de mensajería, como pueda ser Facebook Messenger o Skype.

La segunda es quizás la más sorprendente de todas. Se trata de ChatSecure, una app open source, también es gratuita, y es interoperable con protocolos XMPP / Jabber, como los usados por Facebook Messenger y Google Talk / Google Hangouts. Es posible utilizar servidores públicos XMPP, servidores propios -si los tenemos- e incluso puede utilizar Tor, más conocida por ser "el Internet profundo". A todos los efectos se comporta como un cliente de chat normal, con la diferencia de que en cualquier momento podemos cifrar la conversación, e incluso hacer que se borre al abandonarla.

El hecho de que pueda funcionar sobre Hangouts la hace muy interesante; todos los usuarios de Android tienen cuenta Google, así como un buen número de usuarios de iOS, así que desde el punto de vista de capilaridad, puede que esté muy cerca de las cifras de Whatsapp. Recordar que el mercado de smartphones en España está repartido en una proporción 80:20 a favor de Android, aproximadamente.

Personalmente me gusta más ChatSecure; yo lo tengo instalado usando mi cuenta de Google Talk y funciona muy bien.

En cuanto al mail, son legión los que usan Gmail para dar este tipo de soporte. Pero este servicio tiene un problema: al usarlo en su forma gratuita, el contenido de los mails es leído por bots (para el funcionamiento de Google AdSense), con lo que no cumpliría el requisito de secreto de comunicaciones en primer lugar, y secreto médico-paciente en segundo. 

La solución es sencilla: contratad el servicio de pago, Google Apps, que es muy económico -el coste anual no es muy alto- con lo que no tendréis bots. Un dato: el Departament d'Ensenyament de la Generalitat de Catalunya migró ya hace unos años TODO su servicio de correo corporativo (xcat.cat) a Google Apps. Es una muestra de la solidez y seguridad de la versión de pago de Gmail.

Si estáis en una organización, usad una cuenta de correo corporativa. En cuanto al paciente, no podemos evitar que use su dirección actual, con lo que si no ciframos los mensajes poco podremos hacer al respecto. Bueno sería el uso de certificados digitales en ambos extremos.

Resuelto el tema técnico viene el tema legal. Da lo mismo si es mensajería instantánea o email, pero para ambos casos las recomendaciones son muy parecidas:
  1. Si trabajamos en una organización sanitaria, debemos tener la autorización del responsable de seguridad de la misma. Él (o ella) será el encargado de mantener el documento de seguridad de la organización, al que obliga la Ley de Protección de Datos. Si trabajas por tu cuenta en tu consulta privada, tú eres el responsable. En este link encontrarás la Guía de Seguridad que te ayudará a crear y mantener dicho documento.
  2. Deberás hacer firmar un consentimiento informado de protección de datos. Recuerda que estás manejando datos de nivel de protección alto, y en este caso el Reglamento de la LOPD indica explícitamente que el paciente debe firmar dicho consentimiento. No hay excepción. No sirve el cartel informativo para el caso de grabación continua de video en circuito cerrado.
  3. Por tu seguridad y comodidad, deberás dar unas instrucciones de uso del servicio muy claras.
  4. Deberás tener identificado el número de teléfono o dirección de mail desde el que te puedan hacer consultas.
  5. Recuerda las limitaciones legales, colegiales y éticas del servicio que prestas. Usar un servicio en el que TODO queda por escrito en ambos lados requiere que sea gestionado de la manera más escrupulosa posible.
A partir de aquí será más fácil hacer normal lo que ya es normal a nivel de calle.

¿Preguntas?