Capítulo 3. Seguridad en Servicios de Salud
3.5 Privacidad de la Información
La privacidad es un término multifacético que tiene diversos significados dependiendo de cómo y dónde se usa. Para algunos, la privacidad puede ser vista como un atributo de los datos: algunos datos son privados y otros pueden ser considerados como públicos. Para otras personas, la privacidad no es una propiedad particular de los datos, sino un derecho de cuándo y en qué condiciones los datos personales pueden ser divulgados. (Landwehr, 2006)
El tema de privacidad de la información abarca más que solo la seguridad de los datos. La privacidad de la información se refiere a la colección, procesamiento, uso y protección de la información personal. (Robbins & Sabo, 2006)
La globalización de los negocios ha hecho inevitable la aparición de riesgos relacionados con la privacidad y protección de información personal. Por ello, las organizaciones se han visto obligadas a implementar prácticas de Seguridad de la Información cada vez más complejas para mitigar estos riesgos. El robo de información en medios removibles, la extorsión y la divulgación de información personal, son solo algunos de los riesgos a los que las organizaciones se han enfrentado en los últimos años, debido a la falta de prácticas de Seguridad de la Información relacionadas con privacidad y protección de los datos. (9na. Encuesta Global de Seguridad de la Informacion, 2007)
La privacidad y protección de la información personal se ha convertido en una de las mayores preocupaciones de las organizaciones en el mundo, debido a los riesgos que conlleva. Algunos puntos a considerar por los ejecutivos mexicanos son (9na. Encuesta Global de Seguridad de la Informacion, 2007):
• Implementar programas de entrenamiento y concientización relacionados
con privacidad y protección de la información a personal de todos los niveles en la organización
• Reforzar las prácticas de seguridad rutinarias con el personal de todos los
Capítulo 3. Seguridad en Servicios de Salud
52
• Establecer requerimientos formales respecto al manejo de información
confidencial con terceros, incluyendo monitoreo continuo de su cumplimiento
• Incluir el tema de privacidad y protección de información en el proceso
corporativo de administración de riesgos para identificar oportunamente amenazas relacionadas con este tema.
Siguiendo con el esfuerzo de formalizar las practicas de la Seguridad de la Información, en 1980, la Oficina Europea de Desarrollo y Cooperación económica (OECD) desarrollo la "OECD - Guía para la protección de la privacidad y Flujos de transacción de los datos personales", el cual es uno de los conjuntos de principios con más influencia en el área de privacidad de la información. La guía identifica 8 requerimientos principales (Robbins & Sabo, 2006):
• Apertura: las políticas y prácticas deben ser transparentes
• Participación del Individuo: los individuos tienen el derecho a escoger si
proveen información personal en el contexto de todo el conjunto de principios.
• Recolección limitada: los colectores de información solo deben obtener los
datos necesarios para el propósito definido.
• Fin Determinado: Los colectores deben de explicar el propósito de porque
se están recolectando los datos.
• Uso Limitado: los colectores deben usar los datos solo para el propósito
especificado.
• Calidad de los datos: los colectores deben mantener la credibilidad y la
calidad de la información.
• Seguridad: los colectores deben de tomar medidas para proteger la
información, y que aseguren la confidencialidad, disponibilidad e integridad de la información.
• Auditabilidad (Rendición de Cuentas): los colectores deben implementar
Figura 19 - OECD-Protección de la Privacidad Fuente: Construcción Propia
La formalización e implementación de prácticas de Seguridad de la Información relacionadas con privacidad y protección de la información y el robustecimiento continuo de los controles relacionados, será cada vez más un diferenciador en el mercado, en términos de competitividad de las organizaciones. (9na. Encuesta Global de Seguridad de la Informacion, 2007)
3.5.1 Confidencialidad de la Historia Clínica
El instrumento fundamental en la atención a un paciente es la historia clínica, que integra la información registrada por el médico y los profesionales sanitarios implicados en la asistencia al paciente, la de las exploraciones, pruebas complementarias y procedimientos médicos y quirúrgicos, con la identificación del paciente y sus datos administrativos. (Mazón Ramos & Giménez de Azcárate, 2004)
La gran cantidad de información que genera la práctica médica y su carácter sensible hace que esta se constituya como un conjunto de archivos que
Capítulo 3. Seguridad en Servicios de Salud
54
debe ser particularmente protegido, ya que el uso de datos pertenecientes a áreas tan comerciales como las que afectan a la salud para fines distintos de aquellos para los que se suministraron es particularmente rechazable. (Conde Olasagasti, 2003)
Para los médicos el deber de secreto de la información relacionada con los pacientes es tan antiguo como su profesión. En la actualidad el deber de guardar secreto profesional incluye no solo a los médicos sino al resto del personal, tanto sanitario como no sanitario, que se relaciona con los pacientes o que accede a la información relacionada con ellos. (Garbayo Sánchez, Sanz Ureta, Giménez de Azcárate, & Sánchez García, 2003)
La relación médico – paciente debe estar basada en la confianza y en el secreto profesional. Uno de los más importantes derechos del paciente es la confidencialidad de la información que ha facilitado a su médico. Una de las obligaciones más importantes del médico y del resto de los profesionales de salud, es garantizar ese secreto. Los servicios de salud deben arbitrar procedimientos que garanticen la seguridad y la confidencialidad de la información clínica. (Mazón Ramos & Giménez de Azcárate, 2004)
Con la finalidad de garantizar esta seguridad y confidencialidad, las organizaciones de salud tienen entre sus cometidos el preservar la información clínica integra y disponible para cuando sea necesaria, y accesible solo a las personas autorizadas para ello. (Garbayo Sánchez, Sanz Ureta, Giménez de Azcárate, & Sánchez García, 2003)
El secreto del médico, inherente al ejercicio de la profesión es un derecho del paciente que obliga a cualquier médico en su ejercicio y que no se extingue por el fallecimiento del paciente. Todo código de ética del Sector Salud refleja el derecho del paciente a su intimidad y el deber del médico al secreto profesional y a exigirlo a los que le rodean. (Mazón Ramos & Giménez de Azcárate, 2004)
La seguridad, confidencialidad y disponibilidad de la información clínica requieren, en primer lugar medidas organizativas, que afectan a todos los miembros de la institución, entre los que se encuentran la alta dirección, el personal sanitario y el personal de sistemas de información. La primera de esas medidas organizativas es conseguir que todos los implicados en el problema lo conozcan y sean sensibles a la importancia que tiene para las personas que atienden (Garbayo Sánchez, Sanz Ureta, Giménez de Azcárate, & Sánchez García, 2003).
La seguridad y confidencialidad de la información exige garantizar los siguientes aspectos de la información (Garbayo Sánchez, Sanz Ureta, Giménez de Azcárate, & Sánchez García, 2003):
• Que a la información solo acceda quien está autorizado para ello y para el
autorizado.
• Que la información se mantiene integra, que no se ha transformado durante
su almacenamiento o transporte.
• Que quien participe en una transacción no pueda negar haberlo hecho.
Característica del no repudio.
• Que la organización pueda comprobar quien ha accedido a la información y
en que transacciones ha participado. Proceso de Auditoria.