El 17 de junio, asistí a una jornada en Barcelona sobre eficiencia y confidencialidad organizadas por el Departament de Salut de la Generalitat de Catalunya, la Agència Catalana de Protecció de Dades, y el Institut d'Auditoria i IT-Governance (IAITG).
En esta jornada hubo un momento en que, comentando con varios de los organizadores, hablábamos sobre las medidas de seguridad que se tenían que implantar para garantizar la confidencialidad de los datos de los pacientes.
Uno de los participantes en la conversación reclamaba el nivel máximo de protección... y otro organizador y yo hablábamos de un nivel de protección razonable.
Al final, es el vil metal quien manda, y por precios razonables se puede disponer de un sistema de seguridad (o un conjunto de medidas), que sin tener las especificaciones de seguridad de un sistema militar o de un servicio de inteligencia, pueda ofrecer un nivel de seguridad adecuado, compatible con los requerimientos de la legislación española, que es de las más restrictivas del mundo.
El problema es que en general, en cualquier sistema de protección, puede haber situaciones en las cuales se produzca una "fuga".
De entrada, cualquier sistema de protección fabricado por mano humana, puede ser desprotegido por otra mano humana; en cualquier caso, siempre es un problema de tiempo y recursos el que se consiga "penetrar" en un sistema seguro.
La clave pasa por ponerlo difícil al “intruso”: políticas de cambio periódico de password, monitorización de accesos desde Internet, seguimiento estricto de perfiles de acceso a datos y otras medidas que ya se ponen en práctica habitualmente en los centros.
Hay otras situaciones, como por ejemplo la pérdida o sustracción de claves de acceso, la suplantación de identidad...
Pero también las hay de desconocimiento de la legislación, de incorrecto manejo y/o salvaguarda de material sensible y también, porque no decirlo, de negligencia.
Explicaré una historia imaginaria como ejemplo:
Al salir de trabajar, tomé un tren de Cercanías para volver a mi lugar de residencia...
Justo en el asiento de delante, de cara a mí, se sentó una mujer con una serie de carpetas abiertas en las que estaba haciendo anotaciones.
Normalmente miro sin mirar... de hecho, siempre que tomo el tren, "duermo" el viaje ;-).
Pero ví algo que me hizo prestar atención, pues todas las carpetas estaban marcadas con el logotipo de un hospital cercano a la ciudad.
Estas carpetas correspondían a un servicio de dicho hospital, con las etiquetas con los datos identificativos de los pacientes bien visibles, y dentro, hojas que a todas luces correspondían con componentes de historia clínica.
La mujer, al darse cuenta de que la miraba, varió su posición, porque pensaba que quería leer lo que anotaba... con el resultado que podía leer perfectamente datos relevantes de la historia clínica.
Dos estaciones más allá, la mujer se levantó y se marchó.
De entrada, el profesional de la historia no conocía la legislación actual, ni las obligaciones de custodia y salvaguarda, por no hablar de la salida de estos documentos del centro sanitario.
Tampoco conocía el reglamento interno del centro y es de suponer que las historias salieron del centro sin conocimiento del servicio de Archivo…
La legislación española no tan sólo cubre los sistemas de información digitales, sino que también cubre los soportados en papel.
Los datos sensibles lo son independientemente del soporte en el que estén registrados y como tales deben ser manejados y protegidos.