e3-02: Confidencialidad del paciente y tecnología de la información

La antigua obligación ética de proteger la privacidad de los pacientes adquiere una nueva importancia en el contexto de la información digital para la salud. La misma capacidad para hacer que la información para la salud esté disponible en todo momento es la base para el compromiso que implica la tecnología de la información para la salud en relación con la privacidad del paciente en formas más novedosas y urgentes. En términos legales, en Estados Unidos las reglas de seguridad y privacidad de la portabilidad del Health Insurance Portability and Accountability Act (HIPAA) y la Health Information Technology for Economic and Clinical Health Act (HITECH) formulan requerimientos sobre los médicos como individuos y para los grupos médicos a fin de asegurar la información electrónica protegida relacionada con la atención a la salud y varios estados de la Unión Americana han promulgado medidas más restrictivas.

Los correos electrónicos transmitidos a través de la Internet por muchos proveedores comerciales son por completo inseguros y la intercepción de un correo electrónico inseguro por un tercero con fines maliciosos puede llevarse a cabo con facilidad con software disponible sin costo. Los médicos asumen a menudo de manera implícita que si un paciente inicia un intercambio de correos electrónicos con información confidencial relacionada con la salud ha emitido su consentimiento para esta comunicación insegura. Sin embargo, la HIPAA y sus regulaciones relacionadas no contienen provisiones de “consentimiento” para comunicaciones que violan las reglas de seguridad y el paciente no tiene el poder para evitar que el médico cumpla con sus obligaciones bajo estas regulaciones federales. Además, el uso de servicios de correo electrónico comercial para comunicación con el paciente constituye la divulgación de dicha información a través del proveedor de servicios de correo electrónico, que por sí mismo representa ya una violación a la privacidad.

Además, la HIPAA exige no solo la transmisión segura de información protegida relacionada con la salud, sino también su almacenamiento seguro. El almacenamiento de información para la salud en una computadora, en especial en una PC portátil o una tableta electrónica, son vulnerables ya sea de forma física o a distancia a través de las redes informáticas. También son significativas las sanciones potenciales y los costos de la corrección, como la notificación de pacientes afectados. No han dejado de informarse incidentes graves de transmisión electrónica de información relacionada con la salud, a pesar del amplio conocimiento de estos riesgos. Algunas autoridades (sobre todo la Veterans' Health Administration y el estado de California) han impuesto requerimientos más estrictos y multas más elevadas de las que señala la ley federal. Las regulaciones federales establecen que el médico es el responsable directo de faltas civiles y criminales, incluso si actúa como empleado de un sistema de salud.

Los médicos deben adoptar varias medidas para reducir al mínimo estos riesgos. En primer lugar, el médico nunca debe utilizar correos electrónicos no encriptados, con bajo nivel de seguridad para transmitir información relacionada con la salud, incluso si el intercambio lo inicia el paciente. La solución preferida es mantener el intercambio electrónico con pacientes dentro de un expediente que proporcione un medio para que el paciente envíe y reciba información. En ausencia de un expediente clínico electrónico, se han desarrollado numerosos servicios comerciales para el intercambio privado de información de salud, por un medio seguro a través de correos electrónicos.

En segundo lugar, cualquier información clínica almacenada fuera del sistema de la institución médica, como computadoras individuales, computadoras portátiles o dispositivos móviles, deben tener seguridad física y electrónica. La seguridad electrónica incluye el uso correcto de contraseñas sólidas, de preferencia con autenticación en múltiples pasos, como medidas biométricas, redes de Internet con firewalls, protección contra virus y spyware y encriptación de datos del disco duro. La seguridad inherente a los equipos de cómputo orientados al consumidor y el sistema operativo no son suficientes y la seguridad apropiada requiere depuración técnica considerable. Casi todos los médicos deben depender de servicios profesionales para asegurar su equipo de cómputo y los datos contenidos en él.

La seguridad física incluye evitar el acceso directo a computadoras o dispositivos móviles que contienen información de salud a individuos no autorizados. Las computadoras portátiles constituyen un riesgo especial en este sentido y la pérdida o robo de una computadora portátil que contiene información clínica, incluso en la forma de correos electrónicos incidentales, puede tener consecuencias legales y económicas graves para un médico individual y su empleador. Muchas computadoras portátiles tienen la capacidad de incrementar toda la información contenida en el disco duro, que requiere autenticación biométrica, como una huella digital, para lograr el acceso a la información. Esto puede posibilitar una mitigación valiosa del riesgo si las computadoras portátiles se utilizan para el trabajo clínico.

En tercer lugar, debe remarcarse la importancia de la seguridad de la red local por la existencia de phishing y ransomware y otros medios de ataque contra la infraestructura de información de las organizaciones, incluidos ataques de alto perfil a instituciones de salud de todo tamaño. Los médicos deben depender de servicios profesionales para asegurar la red de cómputo de la cual tienen la responsabilidad.

Por último, las redes inalámbricas en el hogar o en sitios públicos son con frecuencia inseguras y la intercepción maliciosa del tráfico a través de redes inalámbricas es fácil desde el punto de vista tecnológico y se encuentra ampliamente disponible. Los médicos nunca deben realizar actividad clínica mediante redes inalámbricas públicas, como en aeropuertos, hoteles o cafés sin una protección adicional de seguridad de red, por ejemplo una red privada virtual (VPN). En el hogar, los médicos deben tomar las medidas apropiadas para asegurar las redes inalámbricas domésticas antes de su uso en el trabajo clínico, lo cual puede requerir la participación de profesionales con proveedores de servicios de Internet.