Opinión
En el último tiempo hemos sido testigos de diversas noticias asociadas a brechas de seguridad donde han estado involucrados datos personales relacionados con la salud de las personas, debido a bajos estándares para el resguardo de la información. A nivel nacional, nuestra normativa en materia de protección de datos personales (Ley Nº 19.628) se encuentra bastante desactualizada, no pudiendo responder oportunamente a los desafíos del día de hoy. A pesar de que la regulación en cuanto a los datos personales contenidos en ficha clínica (Ley Nº 20.584) ha tenido un nivel de cuidado más alto, esto no se ha traducido necesariamente en su relación con la incorporación de nuevas tecnologías en la prestación de los servicios de salud.
Además, en el contexto del aumento de casos COVID a nivel nacional y a nivel internacional, la discusión de la restauración de ciertas medidas preventivas, el Reglamento sobre acciones vinculadas a la atención de salud a distancia (Decreto Nº6, 2022 del Ministerio de Salud), dictado el 9 de diciembre de 2022, se torna bastante relevante, ya que ofrece otras formas de acceder a ciertas prestaciones de salud mediante el uso de tecnologías, que anteriormente no tenía una regulación tan detallada.
Esta regulación es un tremendo avance a nivel nacional y que formaliza algunos aspectos señalados en la Resolución Nº 204/2020 que habilitaba la telemedicina durante el período de COVID-19, pero, al mismo tiempo, se torna un enorme desafío para los prestadores de salud, especialmente, en cuanto al uso de tecnologías de la información (TICs), desde una perspectiva de ciberseguridad y el resguardo de los datos personales de los pacientes.
Algunas de las medidas señaladas en el Reglamento se centran en garantizar la confidencialidad, disponibilidad y privacidad de los datos, como, por ejemplo, contar con procedimientos para asegurar la confidencialidad; con planes de gestión de privacidad; mantener respaldos seguros y funcionales de la información y contar con medidas que puedan restablecer los sistemas; claridad de los perfiles profesionales; y el registro de los incidentes de seguridad de la información. Un punto interesante es que señala un plazo de 72 horas, al momento que se haya detectado el incidente, para que el proveedor reporte al Comité de Seguridad de la Información (CSI) del Ministerio de Salud. Este plazo es coincidente con la regulación europea, pero puede ser problemático para algunas organizaciones cumplirlo.
En este sentido, la normativa sobre telemedicina se basa en varios elementos del Reglamento de Protección de Datos Personales Europeo (GDPR), regulación que cobra alta relevancia a propósito del Proyecto de Ley en la materia, que actualmente se encuentra finalizando su Segundo Trámite Constitucional en la Cámara de Diputados.
Además, el Reglamento es acorde a lo que se ha avanzado en algunos países de la OCDE en materia de telemedicina, especialmente, en cuanto a la incorporación de tecnologías disruptivas como IoT (Internet de las cosas) e inteligencia artificial; teniendo en consideración la gestión de los riesgos de privacidad como la seguridad a los sistemas que procesan información personal. Este punto es de bastante relevancia al momento de dar seguridad a los pacientes en cuanto al uso de este tipo de tecnologías al instante de acceder a telemedicina.
La disposición también hace referencia a una serie de normas técnicas que serán dictadas por el Ministerio de Salud para detallar algunas de las obligaciones contenidas en el mencionado Reglamento, por ejemplo, respecto de los procedimientos para asegurar la confidencialidad; el deber de información al paciente, y la confidencialidad de los exámenes de laboratorio y receta médica; pero nada se señala sobre los plazos en que el ministerio los dictará, lo que puede provocar algunas inseguridades al momento de implementar esta regulación.
Finalmente, y en esta misma línea, la norma reglamentaria tampoco establece ningún plazo de gradualidad que puede ser relevante para aquellos prestadores de salud que deban realizar cuantiosos montos en inversión para ajustar los requerimientos de la normativa, particularmente en algunas prestaciones que tienen una fuerte demanda a través del uso de TICs, como sería consultas de medicina general. Es por ello que la gestión de los riesgos de ciberseguridad y de la data personal de los pacientes de manera proactiva será un elemento clave para afrontar cualquier fiscalización por parte de la autoridad sanitaria.
