La sanidad privada aboga por desarrollar una cultura corporativa de ciberseguridad reforzada para mayor protección del usuario

La protección de datos en el ámbito sanitario es fundamental para garantizar la confidencialidad, integridad y disponibilidad de la información médica de los pacientes. Salvaguardar estos datos no solo protege la privacidad individual, sino que también preserva la confianza en el sistema de salud en su conjunto. En un mundo cada vez más digitalizado, donde la tecnología desempeña un papel central en la atención médica, la seguridad de los datos se convierte así en un pilar esencial para las empresas del sector sanitario. Sobre los desafíos y retos con los que se encuentran los responsables de la ciberseguridad en el sector han reflexionado diversos expertos, tanto de la sanidad privada como de organismos públicos, en la Jornada sobre “Protección de Datos y Ciberseguridad en la Sanidad Privada: Avances y Estrategias” organizada ayer por ASPE en colaboración con Alaro Avant.

La primera ponencia de la jornada ha corrido a cargo de Iñigo de Miguel Beriain, vocal de la Asociación Española de Derecho Sanitario e investigador en la Universidad del País Vasco, quien ha expuesto las recomendaciones de la Asociación en el marco del Espacio Europeo de Datos de Salud, el ecosistema específico para la salud diseñado por la Unión Europea para, por un lado, promover que las personas puedan tener un mayor control y acceso digital a sus datos sanitarios y, por otro, que estos puedan circular libremente  fomentando un auténtico mercado único para los sistemas de historiales médicos electrónicos, los productos sanitarios pertinentes y los sistemas de IA de alto riesgo.

De Miguel confía en que en los próximos meses las instituciones de la Unión Europea “culminen la regulaciónde un verdadero Espacio Europeo de Datos Sanitarios, cuya aprobación resulta tan necesaria como impostergable”. Asimismo, el experto ha instado a que, desde las instituciones de la Unión Europea y de los Estados miembros, se desarrollen políticas de formación e información, “que promuevan entre los ciudadanos las ventajas de compartir los datos, despejen falsos temores y permitan construir una verdadera cultura basada en que los datos salvan vidas”. En este sentido, de Miguel considera que “la participación a estos efectos de los pacientes y sus asociaciones será indispensable”.

La segunda mesa de debate ha tenido como tema central el papel destacado del delegado de Protección de Datos (DPO) dentro de las empresas del sector sanitario, con la moderación de Josep Bardallo, CISO y DPO en Grupo Hospitalario Recoletas. En ella, han participado José Manuel Beltrán, CISO en Hermanas Hospitalarias; María de la Rica, DPO en Viamed Salud; y Juan Díez González, responsable de Ciberseguridad para sectores Sanitario, Alimentario y de Investigación en INCIBE.

Todos ellos han coincidido en destacar el rol fundamental de este especialista que “debe estar muy cerca de la Dirección y ser un profesional muy visible para todos los empleados, entre los que se debe potenciar una gran confianza hacia el DPO”.  Asimismo, han destacado la “necesidad de que exista una comunicación muy fluida y mucha coordinación entre el DPO y todas las áreas de la empresa, ya que al final se trata de crear una cultura corporativa y una concienciación sólida sobre la importancia de la ciberseguridad”.

Posteriormente, ha sido el turno de Christophe Rua, arquitecto de Soluciones en SecurityScorecard, quien ha puesto el acento sobre la importancia para las empresas de gestionar adecuadamente el riesgo de los proveedores en el contexto de la protección de datos. En este sentido, el experto insta a establecer un proceso de gestión de proveedores, alineado a la estrategia del negocio y hacer inventario, al menos dos veces al año, de los proveedores, definiendo su criticidad e impacto. Asimismo, Rua resalta la importancia de monitorear en detalle a los proveedores críticos y establecer procesos de gestión de la superficie de ataque, esto es de la suma de vulnerabilidades, vías o métodos que los hackers pueden utilizar para obtener acceso no autorizado a la red o a datos confidenciales.

El experto ha señalado también que 2023 ha sido el año con mayor número de ciberataques en la industria, suponiendo pérdidas de más de 10 millones de euros, además de perjuicio para los pacientes y pérdida de confianza y reputación para las empresas afectadas.

La última mesa de la Jornada ha estado dedicada al uso de la Inteligencia Artificial y el uso de datos biométricos en el ámbito sanitaria, en la que han participado Sarai Nieto, responsable del Área de Cumplimiento en Alaro Avant; Andrea Camps, miembro del Comité de DPO del Consejo General de Colegios Oficiales de Médicos de España; Patricia Muleiro, DPO y Compliance Officer en Clínica Universidad de Navarra; Ricardo de Lorenzo, DPO en HM Hospitales; y Manuel del Palacio, DPO en Eurofins Megalab.

Los especialistas estuvieron de acuerdo en el exceso de celo que está mostrando la Agencia Española de Protección de Datos en cuanto a la prohibición de la utilización de datos biométricos por parte de las empresas, yendo más allá de las limitaciones que pone Europa y retirando la validez del consentimiento explícito. Los expertos han coincidido en el importante perjuicio que ha ocasionado a las empresas el cambio de criterio y la obligación de retirar los sistemas de biometría que ya tenían instalados.

No obstante, Andrea Camps llamaba la atención sobre la necesidad de evaluar también si se estaban adoptando sistemas “demasiado invasivos por moda sin existir una verdadera necesidad, pudiendo lograr el mismo objetivo por otros métodos teniendo en cuenta el principio de proporcionalidad”.

En lo referente al uso de Inteligencia Artificial, todos los ponentes coincidieron en su llamada a la prudencia, en la necesidad de definir bien qué es la IA y en el imperativo de regular exhaustivamente los riesgos que comporta su utilización en el ámbito sanitario, donde se trabaja con datos especialmente sensibles.

El evento ha sido clausurado por Luis Mendicuti, secretario general de ASPE, quien ha puesto en valor la labor de la patronal de provisión sanitaria en la creación de foros que impulsen el debate y la reflexión sobre asuntos que afectan de manera profunda al ámbito sanitario, como es el de la ciberseguridad y el tratamiento de los datos, y que permitan avanzar en el desarrollo de vías y herramientas que permitan dar respuesta a los desafíos que enfrenta el sector.