La eSalud. Oportunidades y amenazas. La necesidad de transmitir confianza desde las acreditaciones sectoriales

1
643

Resumen

A lo largo de este artículo veremos qué entendemos o deberíamos entender por el concepto de eSalud, cómo afrontamos la denominada transformación digital, cuáles son algunas de las innovaciones que están presentes ya hoy en día, a través de nuevos conceptos y herramientas como el Big Data, la Inteligencia Artificial, la sensórica, la monitorización remota, y cuáles son los riesgos y retos a los que se enfrenta la eSalud, desde los organizacionales a los tecnológicos incluso éticos. Así mimso, veremos también el entorno regulatorio, y cambiante, en que están inmersos tanto la Salud como la eSalud o la mSalud a través de las apps, con las más nuevas regulaciones como puedan ser la Directiva NIS, los Reglamentos de productos sanitarios, el nuevo Reglamento de Protección de Datos de la Unión Europea y el Anteproyecto de Ley Orgánica de Protección de Datos nacional.

Jose Mª Veganzones Alonso Cortes

Responsable Laboratorio. Big Data & Geo & Analitics

Jose Mª Veganzones Alonso Cortes es Ingeniero Técnico en Telecomunicaciones e Industriales, Ingeniero en Electrónica y Médico. Vocal de la Asociación de Investigadores en eSalud (AIES). Actualmente es el Responsable del Laboratorio de Big Data y Geo Analítica en Informática El Corte Inglés. Tiene experiencia desarrollando Proyectos de eSalud, Big Data, Machine Learning, Analítica Avanzada y Geo Analítica en diferentes sectores. Una de sus principales motivaciones es aplicar tecnología para mejorar la sanidad.

Fernando Campo Guardiola

Consultor. Privacidad y Cumplimiento Normativo, Ciberseguridad.

Fernando Campo Guardiola es consultor, ponente y formador habitual sobre privacidad y cumplimiento normativo, procesos empresariales seguros, Ciberseguridad,   eCommerce o eSalud. Compagina estudios jurídicos y empresariales en la Universidad de Oviedo en los años 70. Desde entonces, permanentemente “curioso” e interesado en la evolución de la tecnología y sus aplicaciones, su visión y gestión desde la empresa, los problemas que plantea su velocidad y adaptación y la necesidad de innovación en los sistemas y procesos. A principios de los 90 crea axonConsultores desde donde se diseñan, desarrollan e implantan proyectos tecnológicos y se asesora en el ámbito de la privacidad y en la adaptación y cumplimiento normativo. Obtiene la primera certificación en Privacidad y Protección de Datos en España, el CDPP (Certified Data Privacy Profesional), en su edición en 2010. Ha sido miembro del DPI (Data Privacy Institute) y del  CSA Spain (Cloud Security Alliance Spain), participando en diversos proyectos y estudios, siendo co-autor de “Estudio de Impacto y comparativa con la normativa española de la Propuesta de Reglamento General de Protección de datos de la Unión Europea” (2012), “Reflexiones sobre el futuro de la Privacidad en Europa” (2013) y “Traducción y adaptación del Esquema de Privacy Level Agreement (PLA) para la Venta de Servicios en la Nube en la Unión Europea” (2013).

1. Salud y eSalud ¿de qué hablamos?

Cuando hoy en día hablamos de Salud, casi automáticamente, nos viene a la mente tres conceptos, la Salud Digital (eSalud), la Transformación Digital y la Brecha Digital.

El término de Salud Digital, eSalud o eHealth en inglés, se ha intentado definir en los últimos años desde diversas ópticas por diferentes autores y profesionales. A principios del siglo XXI, Gunther Eysenbach (investigador de la salud, la salud electrónica y la información en salud) se planteaba en su artículo “What is e-health?” [23], cuál podría ser la definición del término y los conceptos que englobaba, llegando a la conclusión de que la e del término eSalud no debía entenderse solamente como electrónica  sino que implica una serie de otras es que en su conjunto caracterizaban lo que es (o debería ser)  la eSalud.

“As such, the ‘e’ in e-health does not only stand for ‘electronic’, but implies a number of other ‘e’s’, which together perhaps best characterize what e-health is all about (or what it should be).”

Así mismo definía en su artículo cuáles eran las 10 principales e de la eSalud:

  • Efficiency: Una de las promesas de la eSalud es aumentar la eficiencia en la atención de la salud, lo que disminuiría los costos.
  • Enhancing quality of care: El aumento de la eficiencia no sólo implica reducir costes, también al mismo tiempo mejorar la calidad.
  • Evidence based: Las intervenciones en eSalud deben contar con una rigurosa evaluación científica basada en la evidencia.
  • Empowerment of consumers and patients: El empoderamiento de los consumidores y pacientes abre nuevas vías para la medicina centrada en el paciente.
  • Encouragement: Estimular una nueva relación entre el paciente y el profesional de la salud, hacia una verdadera asociación, donde se toman las decisiones de manera compartida. 
  • Education through online sources : Educación de los médicos a través de fuentes en línea (educación médica continua) y consumidores (educación para la salud, información preventiva a medida para los consumidores).
  • Enabling information Exchange: Estableciendo el intercambio de información y la comunicación de una manera estandarizada entre los establecimientos de salud.
  • Extending the scope:  Extendiendo el ámbito de atención de la salud más allá de sus límites convencionales, tanto en un sentido geográfico, así como en un sentido conceptual.
  • Ethics:  eSalud implica nuevas formas de interacción médico-paciente y plantea nuevos retos y amenazas a cuestiones éticas como la práctica profesional en línea, el consentimiento informado, privacidad y cuestiones de equidad.
  • Equity: Evitar profundizar la brecha entre los ricos y pobres, por falta de dinero, habilidades o medios.

Respecto del concepto de Transformación Digital, se suele relacionar con el ámbito del consumidor digital, es decir, el cada vez mayor uso de las tecnologías de la información y la comunicación en nuestro día a día, en la forma en que nos relacionamos, como consumimos productos y servicios, como nos comunicamos, con nuestro entorno, con nuestros proveedores o nuestros clientes.

Y gran parte de la población (por no decir prácticamente toda) está relacionada, inmersa en dicho concepto. La presencia constante de la tecnología en nuestras vidas, con sus ventajas e inconvenientes, es notoria y en una curva, (¿exponencial?), en su uso y en aparición de nuevas mejoras y adelantos.

Y entre las distintas tecnologías, a finales del siglo XX e inicios del XXI nos encontramos con la tecnología móvil, la de mayor penetración, tanto en volumen como en velocidad de adopción, tanto por parte de la población como de las organizaciones e instituciones.

Y decimos adopción de la tecnología con la problemática que esto puede plantear, ya que el uso (adopción) de la tecnología, de lo digital, no implica por sí el concepto de transformación. Posiblemente en el concepto de transformación digital, es donde nos encontramos algunos de los problemas, bien en su comprensión, bien en las distintas velocidades de implantación, ya que, en nuestra opinión, el concepto primordial no es digital, sino transformación, que implica una adaptación en la cultura, en los procesos, en la forma de pensar y actuar, no la simple adopción, como simple uso, de una o varias tecnologías, que en los procesos y tiempos de la transformación digital no dejan de ser meras herramientas para los que, por qué, para qué y cómo afrontamos en nuestras organizaciones los cambios que implican.

Y esta situación nos lleva al último de los conceptos citados, el de la brecha digital, indicándonos las diferencias y separaciones que la mencionada transformación digital ha producido y está produciendo entre distintos estamentos, tanto de la población, como de profesionales y organizaciones en el uso, conocimiento, adopción y adaptación de las tecnologías.

Ante la velocidad de aparición de, no nuevas tecnologías, que ya llevamos más de 40 años haciendo referencia a ellas, sino de nuevas formas de entender las tecnologías, sus usos y formas de aplicarlas, se producen brechas en su conocimiento, en su forma de entenderlas o en el uso que hacemos de ellas, bien por motivos económicos, de edad, de educación y conocimiento, demográficos, etc., produciéndose la paradoja que en algunos, o muchos casos, el teórico objetivo de reducir separaciones, de acercar al consumidor o usuario la información, los productos o servicios, se produce el efecto contrario, aumentando el concepto y tamaño de la denominada brecha digital.

En algunos de los casos, porque no se tiene acceso a dichas tecnologías, como por ejemplo el acceso a Internet (las estadísticas nos dicen que aproximadamente tienen acceso algo más de 3.000 millones de personas, lo cual implica que alrededor de 4.000 millones de la población mundial no tienen acceso), en otros de los casos porque por cuestiones de edad y cultura, determinadas tecnologías no reúnen los requisitos de facilidad, accesibilidad o usabilidad necesarias para poder ser utilizadas por ese segmento de la población, o también porque en muchos de los casos en la concepción, desarrollo y puesta a disposición de determinada tecnología no se han tenido en cuenta las necesidades y requerimientos de gran parte del público al que va destinada, y por último, porque en algunos de los casos nos encontramos con el rechazo, cuando no enfrentamiento, en el seno de las organizaciones frente a los cambios que se producirían, (quién no se ha encontrado alguna vez como se rechaza una idea porque nunca se ha hecho o siempre se ha hecho así, no hay nada que cambiar).

2. La eSalud ¿Innovación? ¿Revolución? Oportunidades y amenazas.

Obviamente el entorno de la Salud no podía ser un mundo aparte, aislado ante estos avances tecnológicos, teniendo en cuenta por descontado que los sistemas sanitarios están continuamente en su día a día implantando avances tecnológicos, tanto en sistemas de información, como en equipamiento médico, de diagnóstico, de imagen, de vigilancia y monitorización, incluso sistemas de ayuda en la cirugía, etc.

Pero cuando hablamos de eSalud no nos referimos a la adopción y adaptación de las mencionadas tecnologías, sino sobre todo de una forma distinta de entender la manera de acceder a la información, de la relación profesional-paciente, del mencionado empoderamiento del paciente, de la comunicación entre los propios pacientes, de la aparición e implantación de los conceptos 2.0, 3.0, 4.0, etc., desde la Web, las Redes Sociales, la mensajería instantánea, VoIP (comunicación de voz a través de Internet), el almacenamiento en la nube, o la aparición, ahora sí, de nuevas tecnologías, como la impresión 3D, la Internet de las Cosas (IoT), avances en robótica y nanorobótica, inteligencia artificial (IA) o el análisis de la información con el Big Data.

Figura 1. Definición de innovación de COTEC (Fundación COTEC para la Innovación)

Es decir, hablamos de cambios transversales no basados exclusivamente en la tecnología sino basados en cambios de la cultura en el entorno de la Salud, de cambios en el acceso a la información tanto por parte de los profesionales como de los pacientes, cambios en los procesos de tratamiento y seguimiento de los pacientes y sus enfermedades, cambios en la deslocalización y ubicuidad de la relación profesional-paciente, y en muchos casos promovidos, no por el flujo profesional-paciente, sino a la inversa desde el paciente hacia los profesionales. Y no debemos olvidar el efecto tractor no ya solo de las industrias tradicionales en el sector de la Salud, sino contando con nuevos actores representados por industrias hasta el momento ajenas al sector encabezadas por las GAFAM (Google, Apple, Facebook, Amazon, Microsoft).

Así pues estamos inmersos desde la eSalud en una revolución digital (algunos autores lo han denominado como tsunami digital), con los objetivos de lograr una atención sostenible, menos intrusiva y personalizada que nos plantea numerosas oportunidades y también importantes riesgos y amenazas. La consecución de los objetivos indicados la obtendremos del balance de cómo afrontemos el diseño, el desarrollo y la correcta implantación de las distintas soluciones a las oportunidades emergentes y de cómo abordemos las amenazas, bien sean de procesos internos y externos, de sistemas, de liderazgo, de formación, o en el caso de las tecnologías, cómo afrontemos la defensa y protección frente a las vulnerabilidades, brechas o ataques, mediante la implantación de las necesarias medidas de seguridad, basadas en el análisis de riesgos, la formación del personal, los protocolos de actuación y las revisiones y auditorías.

Así pues estamos inmersos desde la eSalud en una revolución digital (algunos autores lo han denominado como tsunami digital), con los objetivos de lograr una atención sostenible, menos intrusiva y personalizada que nos plantea numerosas oportunidades y también importantes riesgos y amenazas.

Entre las oportunidades podemos encontrar proyectos, desarrollos, productos y servicios relacionados con la Inteligencia Artificial (gestión de la información, ayuda a la decisión, optimización de recursos), con la sensórica y la Internet de las Cosas (obtención de datos, monitorización, gestión de alarmas, localización de pacientes), Big Data (análisis de datos propios en confluencia con datos externos no estructurados, descubrimiento de patrones no visibles en procesos de enfermedad), impresión 3D (prótesis, modelos de simulación, piel), Medical Devices (marcapasos electrónicos, DIAs (Desfibriladores Automáticos Implantables), sensores), etc.

Las tecnologías Big Data, la Inteligencia Artificial, el Machine Learning (aprendizaje automático) y dentro de ésta el subgrupo Deep Learning (aprendizaje profundo) suponen una gran oportunidad para mejorar la eficiencia en el diagnóstico, tratamiento y seguimiento del estado de los pacientes porque permiten la automatización de procesos. Sin embargo dado que la Salud es un campo donde está en juego la vida y el bienestar de las personas, siempre deberán estar supervisadas por personal sanitario experto.

En la última década los avances en el campo de la medicina y la tecnología han supuesto un crecimiento exponencial en cuanto al volumen de los datos (entre las que destacan la secuenciación del genoma con una espectacular reducción en tiempos y coste).

Así un estudio de la revista PLOS Biology titulado “Big Data: Astronomical or Genomical?” [28] pronostica para el año 2025, que los datos genómicos serán uno de los campos, junto con la astrofísica, con mayor volumen de datos en cuanto a su adquisición, almacenamiento, distribución y análisis. La tabla 1 muestra los 4 dominios que generarán mayor volumen de datos en 2025.

Tabla 1. Dominios que generan mayor volumen de datos en 2025.

Así en el campo de la genómica se pronostica la adquisición de 1 zettabyte (1021) anual por secuenciación, bastante menor comparado con el dominio de la astrofísica, un almacenamiento de entre 2 a 40 exabytes (1018) anuales, muy superior al resto de los dominios, con tipos de análisis de datos heterogéneos; sólo en variant calling se pronostica del orden de 2 billones de horas de procesamiento de CPU; en el alineamiento de pares de genomas del orden de 10.000 billones de horas de procesamiento de CPU; y en cuanto a la distribución se prevén muchos movimientos de volúmenes pequeños de datos del orden de 10 MB/segundo y pocos movimientos de datos masivos del orden de  10TB/segundo.

En la figura 2 se muestra el crecimiento previsto en cuanto a la secuenciación del ADN tanto en el número total de genomas humanos secuenciados (eje izquierdo) como en la capacidad de secuenciación anual mundial en base pairs (en genética un par de bases (en ingles bp) es una unidad que consta de dos nucleobases unidas entre sí por enlaces de hidrógeno. Forman los bloques de construcción de la doble hélice de ADN, y contribuyen a la estructura plegada de ADN y ARN) (eje derecho: Tera-basepairs (1012) (Tbp), Peta-basepairs (1012) (Pbp), Exa-basepairs (1018) (Ebp), Zetta-basepairs (1021) (Zbps)). Los valores hasta 2015 se basan en el registro histórico de la publicación, con hitos seleccionados en la secuenciación (primero Sanger a través del primer genoma humano de PacBio publicado), así como los de tres proyectos con secuenciación a gran escala: el 1000 Genomes Project [16], agregando cientos de genomas humanos en 2012; The Cancer Genome Atlas (TCGA) [19], la agregación de varios miles de tumores / pares normales de genoma; y el Exome Aggregation Consortium (ExAC), que agrupa más de 60.000 exomas humano. Muchos de los genomas secuenciados hasta la fecha han sido de exomas completos en lugar de genoma completo, pero se espera que la proporción sea cada vez más favorable hacia la secuenciación de genoma completo en el futuro. Los valores más allá de 2015 representan la predicción bajo tres posibles curvas de crecimiento (según las estimaciones históricas de doblar tamaño cada 7 meses, la estimación de la empresa Illumina de doblar cada año y la estimación de la Ley de Moore de doblar cada 18 meses).

Figura 2. Crecimiento de la secuenciación del ADN.

 

Así el Library of Integrated Network-Based Cellular Signatures (LINCS) Program tiene como objetivo crear una red basada en la comprensión de la biología catalogando los cambios en la expresión génica y otros procesos celulares que ocurren cuando las células están expuestas a una variedad de agentes perturbadores. Para ello, dispone de un equipo experto de científicos de datos que realizan investigación, desarrollan herramientas para trabajar con sus conjuntos de datos y utilizan técnicas de Machine Learning entre las que se encuentran clusterización de datos, análisis de enriquecimiento, Mmtodos lineales de regresión, métodos lineales de clasificación, redes neuronales, Support Vector Machines (SVM), además de organizar simposios para científicos de datos en el campo de la biología.

En el campo de Machine Learning, por ejemplo los investigadores de la Universidad de Stanford han desarrollado un algoritmo que ha sido entrenado con muestras de tejidos de cáncer de pulmón que es capaz de identificar miles de características objetivas de imágenes patológicas siendo capaz de predecir de forma precisa la prognosis de pacientes con cáncer a partir de una muestra de tejido de forma automatizada que los investigadores creen que puede ayudar a predecir de forma rápida y objetiva a muchos pacientes [18].

GE Healthcare y UC San Francisco (UCSF) tienen previsto desarrollar una librería con algoritmos en Deep Learning para acelerar y facilitar el diagnóstico diferencial y mejorar los flujos de trabajo clínicos, acortando los tiempos y mejorando los tratamientos.

Otros campos de aplicación clara son en el procesamiento de imágenes médicas, la medicina personalizada, la investigación de nuevos fármacos, la monitorización remota de pacientes, los asistentes virtuales que utilizan sistemas cognitivos con diferentes capacidades como la traducción de voz a texto, detección del tono de la voz, procesamiento del lenguaje natural para detectar las intenciones en las conversaciones, etc. Estos sistemas podrían apoyar la labor de los profesionales sanitarios educando y mejorando los hábitos de vida saludables, respondiendo a dudas y recomendado acciones validadas médicamente en función de mediciones de parámetros y conociendo las características y estado de cada paciente, el procesamiento del lenguaje natural aplicado sobre las historias clínicas electrónicas generando conocimiento, reduciendo errores y mejorando la asistencia del médico en consulta, reconocimiento de voz y traducción a texto para introducir información estructurada en la historia clínica, proporcionando al médico un mayor tiempo centrado en el paciente, mejorando por tanto la calidad del servicio y la relación médico-paciente.

La medicina personalizada va a requerir el procesamiento de grandes volúmenes de datos y la participación de científicos de datos expertos en el dominio de técnicas de Machine Learning aplicadas a datos clínicos y genómicos. Para avanzar va a ser necesario el análisis combinado de diferentes fuentes de datos como pueden ser la procedente de la investigación genómica, bases de datos sobre salud poblacional, sensores, wearables e historias clínicas electrónicas entre otras. Un ejemplo en este aspecto lo podemos observar en el apoyo de la empresa Cloudera [12] líder en soluciones Big Data a la Iniciativa de Medicina de Precisión del expresidente Obama [24] donde proponía suministrar el entrenamiento a 1.000 investigadores en medicina de precisión en las últimas tecnologías Big Data y en Ciencia  de los Datos.

La medicina personalizada va a requerir el procesamiento de grandes volúmenes de datos y la participación de científicos de datos expertos en el dominio de técnicas de Machine Learning aplicadas a datos clínicos y genómicos.

En cuanto a la utilización de Inteligencia Artificial aplicada a la salud, en los últimos años han aparecido un número considerable de empresas que utilizan dichas tecnologías aplicadas a diferentes campos de la sanidad. La empresa CB insights [11] publicó un artículo donde resume el grupo de las mismas con mayor inversión económica. La figura 3 muestra dicho ecosistema, grupadas en función de su especialización.

Figura 3. Empresas con Inteligencia Artificial en Salud.

A continuación se detallan brevemente algunas de estas empresas que utilizan Inteligencia Artificial en diferentes áreas de la salud:

En el campo de la mejora a la adherencia en los tratamientos algunas empresas como AiCure disponen de una aplicación móvil que utiliza inteligencia artificial para supervisar la toma de la medicación, detectando la imagen de cada medicamento, su introducción en la boca, el cierre de la misma y el movimiento de los músculos durante el proceso de deglución, asegurando la toma del medicamento utilizando para ello la cámara del móvil.

En cuanto a asistentes virtuales, existen varios en producción en sistemas sanitarios. Uno de los casos más significativos es Babylon Health en Inglaterra que utiliza un aplicativo móvil que dispone de un sistema chatbot que interacciona con el usuario en modo texto y voz. El sistema utiliza Inteligencia Artificial que es entrenada de forma supervisada por personal sanitario. Expertos en inteligencia Artificial analizan el comportamiento de los pacientes y mejoran la interacción con los usuarios utilizando técnicas de Machine Learning.

Sense.ly dispone de una aplicación móvil basada en un avatar cuyo objetivo es ayudar a los médicos a mejorar la gestión de los pacientes crónicos. El médico introduce en el protocolo clínico los objetivos y el asistente médico virtual sigue a los pacientes, recopila datos clínicos de dispositivos médicos y las evaluaciones, realiza un seguimiento del progreso y ayuda a los pacientes a seguir el tratamiento mediante motivaciones y recordatorios.

La empresa Arterys dispone de una Plataforma en Cloud y utiliza técnicas de Deep Learning en el procesamiento de imágenes procedentes de Resonancia Magnética Nuclear convirtiéndose en la primera solución en Salud que utilizaba Deep Learning en Cloud que recibió la aprobación por parte de la FDA. En estos momentos ya está disponible en Europa cumpliendo normativa europea.

Respecto a la utilización de Cloud en Salud, la Healthcare Information and Management Systems Society (HIMSS) recientemente publicó un estudio titulado “The Cloud Evolution in Healthcare” [20] procedente de una encuesta que realizó a diferentes empresas del sector teniendo en cuenta varios aspectos como la adopción o planes de utilizar Cloud a futuro, la evolución entre 2014 y 2016 triplicando su uso en algunos países, la previsión a futuro, las competencias principales de los diferentes proveedores de la tecnología, la infraestructura de red capaz de soportar el cloud computing, la selección del proveedor de soluciones que pueda proporcionar servicios seguros y conectividad para asegurar un rendimiento óptimo, así como la existencia de un Plan de adaptación de Cloud estratégico. De la encuesta se desprende que las tecnologías Cloud se están introduciendo poco a poco en el ámbito de la salud, si bien es cierto que la penetración es diferente en cada país.

El envejecimiento de la población va a suponer todo un reto para los sistemas sanitarios, dado que va a llevar consigo un aumento muy significativo en la demanda de servicios, con la limitación en cuanto a recursos tanto humanos como materiales, pero donde se espera que mantengan e incluso mejoren su calidad. Por ello, la utilización de tecnología Big Data, Inteligencia Artificial y Machine Learning van a resultar necesarias en el apoyo en la prestación de servicios sanitarios.

Entre los retos que deben afrontar estas tecnologías, por ejemplo la Inteligencia Artificial y el Big Data en el entorno sanitario, podríamos citar el procesamiento del lenguaje natural, las problemáticas en la calidad del dato y la complejidad en la interoperabilidad entre diferentes sistemas.

Si nos referimos a los Medical Devices, los retos más importantes en el momento actual son la adaptación regulatoria, tanto de la FDA estadounidense (U.S. Food and Drug Administration) incluyendo nuevas Guías y Memorandos, o los recientemente promulgados Reglamentos de la Unión Europea:

  • Memorandum of Understanding (MOU) between National Health Information Sharing and Analysis Center (NH-ISAC) [25].
  • Mobile Medical Applications: Guidance for Food and Drug Administration Staff [26].
  • Guidance to Industry: Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software [17].
  • Postmarket Management of Cybersecurity in Medical Devices Draft Guidance [27].
  • Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo, de 5 de abril de 2017, sobre los productos sanitarios [1].
  • Reglamento (UE) 2017/746 del Parlamento Europeo y del Consejo, de 5 de abril de 2017, sobre los productos sanitarios para diagnóstico in vitro [2].
Figura 4. Nuevas normas de la UE para garantizar la seguridad de los dispositivos médicos. Fuente: Comisión Europea.

Tal como observamos en la figura 4, se producen variaciones en las normas emanadas de la Unión Europea que van a obligar a las empresas desarrolladoras y/o comercializadoras de productos sanitarios a una reevaluación de sus productos y sistemas de producción.

Y a la vista de las últimas investigaciones e informes, uno de los riegos y retos más importantes es el correspondiente a la seguridad de los dispositivos que en algunos de los casos descritos nos presentan un panorama cuando menos preocupante. Así podemos comprobar a través del estudio realizado por WhiteScope “Security Evaluation of the Implantable Cardiac Device Ecosystem Architecture and Implementation Interdependencies” [10] sobre 4 marcas de marcapasos electrónicos implantables, descubrían que contenían más de 8.600 agujeros de seguridad (vulnerabilidades) que podrían causar un mal funcionamiento de los dispositivos médicos, agotar sus baterías e incluso podrían poner a los pacientes dependientes del dispositivo en riesgo de fallo del equipo o en algunos casos podrían permitir un ataque a distancia del dispositivo (tabla 2).

Tabla 2. Componentes de terceros vulnerables (Fuente: WhiteScope Blog)

También a raíz del ataque en mayo mediante el ramsonware WannaCry,  que afectó gravemente al Sistema Sanitario de Gran Bretaña (NHS), se han publicado sendos comunicados de Bayer y Siemens que habían sido infectados en dispositivos (MedRad y Healthineers respectivamente) que operaban bajo Windows embebido [14] (figura 5).

Figura 5. Medical Device infectado por WaanaCry (Fuente: Forbes).

Vemos por lo tanto, como en el ecosistema de la eSalud nos encontramos con la aparición constante de equipamiento (wearables, implantables, smartwatches, sensórica), de servicios (adherencia, monitorización, gestión de medicación, gestión de alertas), medical devices (marcapasos, bombas de perfusión de insulina),  y de aplicaciones (apps) para ordenadores, tablets y smartphones que al igual que suponen avances e innovaciones en el entorno de la Salud, pueden representar un peligro para el mismo sistema y sus usuarios, profesionales y pacientes, si no mantenemos los adecuados parámetros de vigilancia y seguridad, y de cumplimiento de la regulación existente.

Y a la vista de las últimas investigaciones e informes, uno de los riegos y retos más importantes es el correspondiente a la seguridad de los dispositivos que en algunos de los casos descritos nos presentan un panorama cuando menos preocupante

De estas últimas, las apps, y dependiendo de la fuente de información (universidades, estudios varios, FDA, UE, etc.) el número existente en los grandes proveedores, Google y Apple, se encuentra entre 190.000 y 250.000 apps en el entorno de la Salud. Y obviamente, ante tal volumen de apps alrededor de la Salud, nos encontramos con importantes cuestiones: ¿son todas válidas?, ¿son fiables?, ¿tienen veracidad científica?, ¿son acordes con el objetivo descrito?, ¿son seguras?, ¿son entendibles y manejables por la población objetivo? Lamentablemente los análisis y estudios publicados en los últimos 18 meses por organizaciones tecnológicas, la FDA americana, ENISA o universidades, nos presentan un panorama cuando menos preocupante; los índices de respuesta positiva a las preguntas anteriores se mueven en magnitudes del 0,00x al 0,000x; como decíamos, preocupante, dado que el entorno al que van destinadas es la Salud, en el cual la población objetivo necesita fiabilidad y seguridad y al que los organismos reguladores dotan de los más altos niveles de seguridad y cumplimiento dada la importancia de datos e información que manejan.

Como ejemplo de dichos análisis podríamos citar uno de los últimos artículos de investigación [22], sobre compartición de datos de las apps analizadas (diabetes), que deja claro los riesgos y desinformación del uso que se da de los datos de los usuarios. En el estudio se identificaron 271 aplicaciones para diabetes y se eligió una muestra aleatoria de 75 para el análisis sobre transmisión de datos. En el período de 6 meses, 60 aplicaciones ya no estaban disponibles, dejando 211 aplicaciones en la muestra y 65 en el subconjunto. La mayor parte de las aplicaciones (81%) no tenían políticas de privacidad. De las 41 aplicaciones con políticas de privacidad (19%), no todas las disposiciones de privacidad en realidad protegían la transmisión de datos (por ejemplo, 80.5% de datos de usuario recogidos y 48.8% compartido de datos) [22]. Sólo 4 de las aplicaciones indicaban en sus políticas que solicitaban permiso a los usuarios para compartir datos.

En referencia a los permisos, que los usuarios deben aceptar en la descarga de una aplicación, la recogida y modificación de la información sensible autorizada, incluía el seguimiento de la ubicación (17.5%), la activación de la cámara (11.4%), activar el micrófono (3.8%), y la modificación o eliminación de la información (64.0 %) [22].

En el análisis de la transmisión de información de salud sensible, recogida a partir de mediciones de la diabetes (niveles por ejemplo de insulina y glucosa en sangre), era compartida con terceros en 56 de 65 aplicaciones (86.2%), con inserción de cookies de rastreo de rutina en 31 de las 41 aplicaciones (76%),  sin políticas de privacidad en 19 de 24 aplicaciones (79%), y con la información de usuario compartida. De las 19 aplicaciones con políticas de privacidad de datos y que compartían datos con terceros, 11 aplicaciones daban a conocer este hecho, mientras que 8 aplicaciones no lo hicieron.

Y por último, y no por ello menos importante, sino más bien al contrario, el reto que tienen tanto las propias apps como el sistema sanitario, tanto público como privado, es, la interoperabilidad, entre las distintas plataformas sanitarias, entre las distintas CCAA, entre las plataformas públicas y privadas, evolucionando así mismo hacia la interoperabilidad con los distintos sistemas sanitarios de los estados miembros de la Unión Europea, y entre la multitud de aplicaciones y las diversas plataformas y su integración con los datos de cada paciente en el sistema sanitario, con su historia clínica digital o más bien sus distintas historias clínicas.

Y no es un reto baladí, del que se lleva escrito ampliamente desde hace años y sigue figurando en primera línea en cualquier jornada, reunión, congreso, hackathon, del entorno de la salud, la eSalud, innovación sanitaria, etc. Aunque hay intentos de aproximación al tema en cuestión, tanto desde el ámbito privado (Sanitas, DKV, IDIS), como desde el público (eSaude, carpeta ciudadana, EC3, Osakidetza), con distintos niveles de desarrollo, implementación e integración, la realidad con la que nos encontramos es que a día de hoy no parece todavía cercana una solución globalizada.

Por un lado, no debemos olvidar, respecto del sistema público de Salud, que ya la Ley 14/1986 General de Sanidad [6], así como la Ley 16/2003 de cohesión y calidad del Sistema Nacional de Salud [7], promulgaban el derecho de los ciudadanos, pacientes y usuarios, a recibir una atención sanitaria de calidad en condiciones de igualdad. Y junto con la Ley 41/2002 de autonomía del paciente [8], entablaban al entonces Ministerio de Sanidad y Consumo, actual Ministerio de Sanidad, Servicios Sociales e Igualdad, a que desarrollaran y establecieran los necesarios sistemas para que de cada paciente se pudiera obtener la distinta información existente en los distintos servicios de salud.

Es así como en el primer semestre de 2006 se aborda por parte del Ministerio la designación de los distintos comités y grupos de trabajo, y definiendo en Octubre de 2006 el documento “Utilización de las tecnologías de la información para mejorar la atención a los ciudadanos” [15] dentro del Plan de Calidad para el Sistema Nacional de Salud, englobando la definición y abordaje de 4 proyectos:

  • Tarjeta Sanitaria del SNS.
  • Historia Clínica Digital del SNS.
  • Receta electrónica del SNS.
  • Nodo de Intercambio SNS.

Y que dieron lugar a principios de 2008 a la publicación de los documentos del grupo de trabajo de la HCDSNS:

  • ARS: Análisis de Requerimientos del Sistema.
  • CMDIC:  Conjunto Mínimo de Datos de Informes Clínicos.
  • HCDSNS_MP: Manual de procedimiento.
  • POL_EST: Política de estándares y normalización de Datos (Grupo de estándares y requerimientos técnicos (GERT)).
  • PT: Propuesta técnica para la puesta en marcha de un Piloto para el Intercambio de datos de Historia Clínica Digital del SNS (HCDSNS) basado en los servicios Web del SNS.

A lo largo de las 449 páginas de dichos documentos se definen los objetivos, el alcance funcional y territorial, los requerimientos básicos, los distintos perfiles de usuarios (administradores, técnicos, profesionales, usuarios y pacientes), los estándares base de los desarrollos e implementación, los sistemas de autenticación y de seguridad, las propuestas profesionales, los nodos de la intranet para el intercambio de información y la planificación del proyecto.

En el documento de estándares se determinan los códigos de identificación de los profesionales, de los pacientes de forma unívoca, los certificados de seguridad permitidos, y centrándonos en los formatos de intercambio de información, se indica:

  • XML como formato de intercambio de datos.

Conforme a la definición del W3C (World Wide Web Consortium), el eXtensible Markup Language es un formato de texto simple, muy flexible derivado de ISO 8879. Originalmente diseñado para cumplir con los retos de la publicación electrónica a gran escala, XML también está desempeñando un papel cada vez más importante en el intercambio de una amplia variedad de datos.

  • HL7 CDA nivel 1 para el intercambio de documentos.

HL7 (Health Level Seven) es un conjunto de estándares para facilitar el intercambio electrónico de información clínica; que utiliza una notación formal del lenguaje unificado de modelado (Unified Modeling LanguageUML) y un metalenguaje extensible de marcado con etiquetas (Extensible Markup Language, XML).

Como se indica en el propio documento de estándares, los modelos de referencia de información clínica HL7 v3 RIM y la norma EN13606 serían objeto de estudio y seguimiento.

En la actualidad en muchos sistemas sanitarios se trabaja ya tanto con la versión HL7 v.3 RIM y la norma EN13606 (también aprobada como norma ISO), diseñada para lograr la interoperabilidad semántica en la comunicación de la Historia Clínica Electrónica. Respecto de HL7 la industria en este momento propugna el estándar FHIR (Fast Healthcare Interoperability Resources) como aglutinador de lo mejor de los distintos estándares uniéndolo a estándares web (W3C) facilitando así la implementación de forma más ágil de estándares de interoperabilidad.

  • PDF como formato de documentos a intercambiar.

PDF (Portable Document Format) es un formato de almacenamiento e intercambio de documentos independiente del software y hardware con el que se procesen dichos documentos. Admitiéndose en la primera fase formatos de imagen o texto.

  • DICOM, incluyendo atributos, como estándar para el intercambio de imagen.

DICOM (Digital Imaging and Communication in Medicine). HL7 v3, incluye un dominio (Imaging Integration Domain), para la integración con DICOM. También se aceptará el formato JPG cuando DICOM no sea posible.

A pesar del tiempo transcurrido, desde la creación de los grupos de trabajo (2006) y la publicación de los documentos resultantes (2008), a día de hoy la interoperabilidad a lo largo del territorio nacional no está totalmente conseguida, con distintos niveles de desarrollo e implementación en las distintas CCAA, tanto en el proyecto HCDSNS (figura 6) como en el de Receta electrónica (figura 7), añadiéndose a ello que tras los pilotos realizados del proyecto Epsos de la Unión Europea para la validación de una Historia Clínica Resumida de uso en el ámbito EEE nos encontramos en la misma situación. Y debemos tener en cuenta que hablamos de los datos existentes en los sistemas públicos de Salud, y que los planteamientos de interoperabilidad con sistemas privados de Salud o como indicábamos anteriormente con las aplicaciones existentes en el mercado en la mayoría de los casos, son por el momento solo proyectos.

Figura 6. Estado HCDSNS.
Figura 7. Situación Receta Electrónica.

3. La seguridad en la eSalud

En todo el entorno de la eSalud es por lo tanto, necesario implantar una política clara y exhaustiva de seguridad, para los sistemas de información, para los equipamientos, para el personal, para los procesos, para las apps, para los medical devices, en definitiva para todo el entorno de personas, productos y servicios alrededor del sistema de atención sanitaria.

Tenemos que recordar que de acuerdo a los informes de las empresas e instituciones de seguridad desde el año 2015 el entorno de la Salud y los sistemas sanitarios es uno de los sectores más atacados por los cibercriminales.

Figura 8. Seguridad de la información (fuente: AxonConsultores / eTICa grupo).

Y no debemos olvidar, dentro de nuestras políticas y procedimientos de seguridad, el entorno interior de la organización, los errores, casuales o negligentes, del personal, el estado de infraestructuras y equipamiento, ya que no todo se debe a los ataques externos de cibercriminales. Hay una parte importante de pérdidas de datos en los sistemas de información, de paralización de procesos e intervenciones que son debidas a fallos humanos del personal de las instituciones o a fallos de sistemas y equipos deficientemente diseñados e instalados o con ausencia del correspondiente mantenimiento y supervisión (figura 8).

En este aspecto, recordemos por ejemplo la caída del CPD (prácticamente recién inaugurado) del reformado Hospital de Valdecillas en Cantabria en agosto de 2014, dejando durante 4 días sin varios servicios al hospital y afectando al mismo tiempo a los hospitales de Laredo y Sierrallana (integrados en el mismo CPD de Valdecillas) e incluso la imposibilidad de dispensar medicamentos mediante receta electrónica en todas las farmacias de la región, para descubrir que la incidencia se había producido por ¡un fallo eléctrico de un fluorescente en la entrada  del hospital! que hacía caer los diferenciales y tiraba el sistema informático. Recordemos así mismo, como en enero de 2016 el SACYL reconocía la pérdida de 15.000 imágenes radiológicas (correspondientes a los meses de julio a octubre de 2015) en el Hospital de Ávila por culpa de un equipamiento informático obsoleto y la rescisión del contrato con la empresa encargada de realizar el mantenimiento del mismo. O como algunos de los sistemas atacados y bloqueados por ramsonware en hospitales de California y Texas en 2016 fue debido al uso por el propio personal de los hospitales de pendrives que habían sido tirados aleatoriamente por las dependencias del propio hospital. Y los ataques mediante ramsonware, continúan, como ha ocurrido en Enero de 2018 con el Hospital Regional de Hancock Health en Greenfield y el Hospital Adams Memorial en Decatur, ambos de Indiana, atacados por el ramosonware SamSam, los días 10 y 11 de Enero. En el segundo de los casos no se han realizado comentarios por parte de Adams Health Network, ni cómo se produjo ni si finalmente pagaron el rescate exigido. En el primer caso indicaban que el vector de ataque fue la utilización del usuario y contraseña de un proveedor externo para entrar en el portal de acceso remoto del hospital, que pone de manifiesto como los conceptos de ciberseguridad se deben aplicar End to End, atendiendo toda la cadena de atención del servicio, y en este caso la organización tomó la decisión de abonar l rescate exigido de 4 Bitcoins (55.000 $ al cambio del momento), para acelerar el proceso de recuperación de los sistemas de la manera más rápida posible.

[…] la política de seguridad de la información (figura 9), debe ser completa, transversal, implantando las medidas necesarias, basadas en un análisis de riesgos 360°, con la formación adecuada a todo el personal […]

Y respecto a la incorporación de otras tecnologías, inteligencia artificial, chatbots e incluso algunos equipamientos pueden llegar a plantear determinados riesgos (denominados como de caja negra), cuando los procesos, código o algoritmos son de terceras partes y desconocemos lo que hacen, cómo lo hacen, su acceso a datos o comunicaciones.

Es decir, que la política de seguridad de la información (figura 9), debe ser completa, transversal, implantando las medidas necesarias, basadas en un análisis de riesgos 360°, con la formación adecuada a todo el personal en los procedimientos de uso y en los protocolos de actuación ante las incidencias y documentando adecuadamente éstas en caso de producirse para permitir analizar las causas y efectos que hagan posible revisar y retroalimentar las políticas establecidas.

Figura 9. Ciberseguridad (fuente: AxonConsultores / eTICa grupo).

Y en el caso de los desarrolladores y comercializadores de apps para la Salud deben ser conscientes desde el inicio de la ineludible necesidad de análisis profundos, de la realización de evaluaciones y el establecimiento en sus organizaciones de protocolos y procedimientos […]

Y en el caso de los desarrolladores y comercializadores de apps para la Salud deben ser conscientes desde el inicio de la ineludible necesidad de análisis profundos, de la realización de evaluaciones y el establecimiento en sus organizaciones de protocolos y procedimientos que respondan de forma positiva y fehaciente a las preguntas anteriormente indicadas, manteniendo a lo largo del tiempo la vigilancia y los controles oportunos para garantizar dichos resultados. Y teniendo en cuenta que dichas evaluaciones no son sólo de su aplicación, de su código, de sus algoritmos, sino que debe contemplar la seguridad del medio para el que se desarrollan (smartphone o tablet), las vulnerabilidades de los  Sistemas Operativos correspondientes, documentadas o no (figura 10), sus infraestructuras de desarrollo y de producción, sus comunicaciones, los canales y plataformas de distribución y los procesos de comunicación de la app con el almacenamiento en la nube en caso de existir.

Figura 10. Análisis y controles de app móvil (Fuente: OWASP).

4. Acreditación en eSalud

De acuerdo con estos planteamientos desde la Asociación de Investigadores en eSalud (AIES), se ha impulsado la creación del Sistema de Acreditación en eSalud (SAeS), representando el aval y reconocimiento, mediante las distintas acreditaciones, a la correcta adaptación y el compromiso de los distintos procesos, servicios o aplicaciones acreditadas, tanto a los criterios científicos y clínicos necesarios, como al cumplimiento normativo, el establecimiento de criterios de seguridad así como la confidencialidad y salvaguarda de los datos de los usuarios, dotando a los servicios puestos a disposición tanto de los profesionales de la eSalud y mSalud y de sus destinatarios, usuarios y pacientes, de la imagen de confianza necesaria en los conceptos de veracidad, cumplimiento normativo, tratamiento de datos,  comunicaciones y seguridad (figura 11).

Figura 11. Ecosistema de eSalud y Acreditación (fuente: AxonConsultores / eTICa grupo).

El Sistema (SAeS) de acreditación se incardina en el concepto de la autorregulación, promovido desde instituciones europeas en los ámbitos del mercado y estrategias digitales, afirmándose incluso que puede ofrecer ventajas sobre la regulación establecida por las propias normas que emanen del poder legislativo, al fomentar el sentido de participación en la elaboración de los conceptos reglamentarios, facilitando una cultura significativamente arraigada por el cumplimiento voluntario, dada la participación en su desarrollo, y en la libertad de voluntaria adscripción a las mismas de una forma más flexible al encontrarse mejor adecuada a la realidad del contexto en que se realiza su desarrollo, su uso y/o la interacción con la actividad profesional.

De acuerdo con estos planteamientos desde la Asociación de Investigadores en eSalud (AIES), se ha impulsado la creación del Sistema de Acreditación en eSalud (SAeS) […]

Mediante la adscripción voluntaria a este sistema de acreditación, los desarrolladores de las apps transmitirán su voluntad de cumplimiento con unas reglas establecidas y comunicadas públicamente y que generarán en los usuarios la confianza necesaria en la contratación de sus productos y servicios.

Podríamos estar hablando de los códigos de conducta, como compendio de normas, procedimientos y procesos que marcan y regulan el qué y cómo hacer en áreas determinadas. La mención a dichos códigos de conducta se encuentra en el ordenamiento jurídico actual, tanto a nivel nacional como de la Unión Europea.

En el recientemente promulgado Reglamento General de Protección de Datos de la Unión Europea [3] la encontramos en sus considerandos 98, 99 y 100:

  • “(98) Se debe incitar a las asociaciones u otros organismos que representen a categorías de responsables o encargados a que elaboren códigos de conducta, dentro de los límites fijados por el presente Reglamento, con el fin de facilitar su aplicación efectiva, teniendo en cuenta las características específicas del tratamiento llevado a cabo en determinados sectores ….” 
  • “(99) Al elaborar un código de conducta, o al modificar o ampliar dicho código, las asociaciones y otros organismos que representan a categorías de responsables o encargados deben …..” 
  • “(100) A fin de aumentar la transparencia y el cumplimiento del presente Reglamento, debe fomentarse el establecimiento de mecanismos de certificación y sellos y marcas de protección de datos, que permitan a los interesados evaluar con mayor rapidez el nivel de protección de datos de los productos y servicios correspondientes.” 

A nivel de ordenamiento jurídico nacional, la Ley de Servicios de la Sociedad de la Información y el Comercio Electrónico [9] indica en el artículo 18:

“1. Las Administraciones públicas impulsarán, a través de la coordinación y el asesoramiento, la elaboración y aplicación de códigos de conducta voluntarios, por parte de las corporaciones, asociaciones u organizaciones comerciales, profesionales y de consumidores, en las materias reguladas en esta Ley. ……” 

Así mismo, las Autoridades de Control Europeas, a través del Grupo de Trabajo del artículo 29 (GT29), han presentado recientemente el borrador del “Código de Conducta de privacidad en las aplicaciones móviles de salud” [13], que a través de sus 2 secciones y sus 2 anexos, nos orienta en las pautas a seguir para el correcto desarrollo de nuestras aplicaciones, dándonos las siguientes indicaciones:

  • ¿Cómo debo obtener el consentimiento de los usuarios de mi aplicación?
  • ¿Cuáles son los principales principios que debo respetar antes de distribuir una aplicación mHealth?

– Limitación del propósito

– Minimización de datos

– Transparencia: información a los usuarios

– Derechos de los sujetos de los datos

  • ¿Qué información debo proporcionar a los usuarios antes de que puedan utilizar mi aplicación?
  • ¿Cuánto tiempo puedo conservar los datos?
  • ¿Qué medida de seguridad tengo que implementar?
  • ¿Puedo mostrar anuncios en una aplicación mHealth?
  • ¿Puedo usar los datos personales recopilados a través de la aplicación para propósitos secundarios?
  • ¿Qué debo hacer antes de revelar los datos a terceros para el tratamiento?
  • ¿Dónde puedo transferir los datos recopilados?
  • ¿Qué debo hacer si hay una violación de datos personales?
  • ¿Cómo trataré los datos recopilados de los niños?

Así mismo, las Autoridades de Control Europeas, a través del Grupo de Trabajo del artículo 29 (GT29), han presentado recientemente el borrador del ‘Código de Conducta de privacidad en las aplicaciones móviles de salud’ […]

Y así mismo, estaremos a lo dispuesto en la Directiva (UE) [4], “relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión” (conocida como Directiva NIS), en lo concerniente a las entidades de Salud, la cual nos define en su artículo 4, punto 4, el concepto de operadores esenciales que afecta al entorno de la Salud:

Artículo 4

Definiciones

A los efectos de la presente Directiva, se entenderá por:

………………

4) «operador de servicios esenciales»: una entidad pública o privada de uno de los tipos que figuran en el anexo II, que reúna los criterios establecidos en el artículo 5, apartado 2;

…………”

Artículo 5

Identificación de operadores de servicios esenciales

………………

2. Los criterios para la identificación de operadores de servicios esenciales a que se refiere el artículo 4, punto 4, son los siguientes:

a) una entidad presta un servicio esencial para el mantenimiento de actividades sociales o económicas cruciales;

b) la prestación de dicho servicio depende de las redes y sistemas de información, y

c) un incidente tendría efectos perturbadores significativos en la prestación de dicho servicio. 

………………”

“ANEXO II. Tipos de entidades a efectos del artículo 4, punto 4.

Sector Subsector Tipo de entidad
5. Sector sanitario Entornos de asistencia sanitaria (entre ellos hospitales y clínicas privadas) Prestadores de asistencia sanitaria, tal como se definen en el artículo 3, letra g), de la Directiva 2011/24/UE del Parlamento Europeo y del Consejo [5].

“Directiva 2011/24/UE del Parlamento Europeo y del Consejo, de 9 de marzo de 2011, relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza

Artículo 3

Definiciones

A los efectos de la presente Directiva, se entenderá por:

………….

g) «prestador de asistencia sanitaria»: toda persona física o jurídica que dispense legalmente asistencia sanitaria en el territorio de un Estado miembro;

……………”

Es decir, mediante el Sistema de Acreditación para eSalud se busca que la entidad que desee acreditarse en alguno de sus apartados o en todos ellos, demuestre por un lado su voluntad de adscripción a unas reglas y controles estandarizados, públicos, y que le doten de la imagen de cumplimiento y seguridad, en sus productos, servicios, aplicaciones y/o plataformas, mediante el análisis profundo (figura 12) de la necesaria veracidad científica, sus procesos de trabajo, sus protocolos de seguridad y de privacidad y cumplimiento normativo, desde los distintos escalones de la organización.

Figura 12. Marco conceptual. Seguridad y cumplimiento normativo (fuente: AxonConsultores / eTICa grupo).

Aunque obviamente tanto las legislaciones nacionales, los Reglamentos de la Unión Europea, como las Directivas Europeas (que a su vez deben ser traspuestas a la reglamentación de los estados miembros) son las referencias de obligado cumplimiento, no es menos importante la existencia de estos denominados códigos de conducta, que son la forma de una mejor adaptación, además de las normas de referencia,  de un sector, aplicadas a la luz de la Reglamentación, y a su vez de una forma más ágil al entorno tecnológico y de desarrollo, más rápidamente cambiante que la velocidad de desarrollo de la normativa legal.

Y por último, deberemos tener en cuenta que por parte del Gobierno de España en el Consejo de Ministros del 10 de Noviembre, acaba de aprobar Proyecto de Ley Orgánica de Protección de Datos y remitido a las Cortes Generales para su tramitación parlamentaria en el Congreso de los Diputados [21], adaptando su estructura al Reglamento General de Protección de Datos de la Unión Europea, a través de la exposición de motivos, setenta y ocho artículos distribuidos en nueve títulos, así como de diecisiete disposiciones adicionales, seis disposiciones transitorias, una disposición derogatoria y cinco disposiciones finales.

Además de la obvia necesidad de reforma de la norma existente dado su rango de Ley Orgánica el Proyecto de Ley clarifica en varios aspectos la regulación del RGPD-UE, como por ejemplo en lo que afecta a los temas de Salud, determina en su artículo 34, apartado Ll, la clasificación de aquellas entidades que “ …. deberán designar un delegado de protección de datos, en los supuestos previstos en el artículo 37.1 del Reglamento (UE) 2016/67 y, en todo caso, cuando se trate de las siguientes entidades…”.

Artículo 34 apartado l)

“Los centros sanitarios legalmente obligados al mantenimiento de las historias clínicas de los pacientes con arreglo a lo dispuesto en la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.”

Así pues, vemos como en su regulación establece la obligación de la designación de un delegado de protección de datos, que podrá ser persona física o jurídica, empleado interno o personal externo, dotándole de los medios materiales y personales necesarios para el desempeño de sus funciones y su designación debe ser comunicada a la Autoridad de Control correspondiente, en nuestro caso la Agencia Española de Protección de Datos.

Y aunque por parte de la Autoridad de Control Española (AEPD) se pretendía que el Proyecto de Ley estuviese tramitado y aprobado para su entrada en vigor conjuntamente con el RGPD-UE en la misma fecha del 25 de Mayo de 2018, en palabras del Sr. Diputado D. Artemi Rallo Lombarte, Director de la AEPD entre 2007 y 2011, estima que la tramitación en Cortes y aprobación  del Proyecto de Ley se retrasará con respecto a esta fecha, hasta el tercer o cuarto trimestre de 2018.

Así mismo, con la situación producida por el denominado Brexit de Reino Unido, se plantean diversas incertidumbres en el ámbito de la protección de datos, ya que de acuerdo al comunicado de la Dirección General de Justicia y Consumidores de la Unión Europea de 9 de enero de 2018, a partir del 30 de Marzo de 2019 a las 00:00 horas, Reino Unido pasará a ser considerado un tercer país, en particular en materia de protección de datos y transferencias internacionales con la salvedad de los posibles acuerdos transitorios que pudieran llegar a regularse en los acuerdos de retirada.

La adaptación, tanto al RGPD (UE) como a la futura Ley Orgánica de Protección de Datos, no será una tarea sencilla dadas las importantes novedades que introducen, implicando a la entidad, como hemos mencionado varias veces a lo largo del artículo, a una revisión profunda de sus procesos y protocolos relacionados con los datos personales que se traten, teniendo que enfrentarse a nuevos conceptos, como el indicado del Delegado de Protección de Datos o como son la Privacidad desde el diseño, es decir, que antes de efectuar cualquier proceso de tratamiento de datos personales se debe diseñar el proceso con cumplimiento de la salvaguarda de dichos datos personales, o la Seguridad por Defecto, lo que significa que desde el primer momento, antes de comenzar el tratamiento, deben establecerse las correspondientes medidas de seguridad que protejan adecuadamente los datos personales de los titulares, o las Evaluaciones de Impacto en Privacidad, es decir, evaluar cuáles son los impactos y por lo tanto, los riesgos que pueden afectar los tratamientos de datos, o el nuevo Registro de las Actividades de Tratamiento, documentado por escrito, a disposición de la Autoridad de Control, o la Ventanilla Única de las distintas Autoridades de Control de los Estados miembros de la Unión Europea.

Y deberíamos haber afrontado nuestros procesos de adaptación cuanto antes, ya que estamos a menos de cien días del plazo que teníamos para ello, desde la entrada en vigor del Reglamento, en Mayo de 2016, hasta su aplicabilidad, el 25 de Mayo de 2018. Pero las últimas encuestas parecen indicar que no ha sido así, sino que al contrario parecen coincidir en que solo entre un 10% y 30% podrían llegar a tiempo en las fechas indicadas e incluso más de un 25% de las empresas en dicha fecha no habrán realizado ninguna acción encaminada a su adaptación al RGPD-UE.

5. Conclusiones

Como conclusión final, en el entorno de la eSalud, vivimos en unos momentos trepidantes, en los cuales nos parece que lo único continuo es el cambio, cambio en las estrategias, cambio en algunos de los actores del entorno, cambio en las regulaciones, cambio en las tecnologías, cambio en las relaciones profesional-paciente, en definitiva, cambio. Y tenemos que ser conscientes de que en medio de este cambio continuo, los usuarios de la eSalud, profesionales y pacientes, lo que nos piden es confianza, que les daremos a través de la veracidad científica, la seguridad, la privacidad, la accesibilidad y la usabilidad.

Y tenemos que ser conscientes de que en medio de este cambio continuo, los usuarios de la eSalud, profesionales y pacientes, lo que nos piden es confianza, que les daremos a través de la veracidad científica, la seguridad, la privacidad, la accesibilidad y la usabilidad

Como colofón, podríamos decir que conforme a las innovaciones que vemos en el ámbito de la eSalud, junto con los riesgos, diríamos,

Sí a la innovación.

Sí al Big Data, la Inteligencia Artificial, la nube, el Internet de las Cosas, los wearables, las apps, la telemedicina, …..

Sí a la eSalud y la mSalud, Sí a la medicina personalizada.

Desarrollándolo desde la responsabilidad, la transparencia, la privacidad y la seguridad.

Porque… Normalmente no hay segunda oportunidad ante el ataque, el mal uso o la pérdida de datos.

Figura 13. Frase de Stefano Rodota

Referencias

[1] Agencia Estatal. “Reglamento (UE) 2017/745 del Parlamento Europeo y del Consejo de 5 de abril de 2017 sobre los productos sanitarios, por el que se modifican la Directiva 2001/83/CE, el Reglamento (CE) n.o 178/2002 y el Reglamento (CE) n.o 1223/2009 y por el que se derogan las Directivas 90/385/CEE y 93/42/CEE del Consejo”. Boletín Oficial de la Unión Europea, L. 117, pp. 1-175, 2017. < https://www.boe.es/doue/2017/117/L00001-00175.pdf>. Último acceso: 9 de febrero de 2018.

[2] Agencia Estatal. “Reglamento (UE) 2017/746 del Parlamento Europeo y del Consejo de 5 de abril de 2017 sobre los productos sanitarios para diagnóstico in vitro y por el que se derogan la Directiva 98/79/CE y la Decisión 2010/227/UE de la Comisión”. Boletín Oficial del Estado, L.117,  pp. 176-332, 2017. < https://www.boe.es/doue/2017/117/L00176-00332.pdf>. Último acceso: 9 de febrero de 2018. 

[3] Agencia Estatal. “Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016, relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos)”. Boletín Oficial del Estado, n. 119, pp. 1-88, 2016. < http://www.boe.es/buscar/doc.php?id=DOUE-L-2016-80807>. Último acceso: 9 de febrero de 2018.

[4] Agencia Estatal. “Directiva (UE) 2016/1148 del Parlamento Europeo y del Consejo de 6 de julio de 2016 relativa a las medidas destinadas a garantizar un elevado nivel común de seguridad de las redes y sistemas de información en la Unión”. Boletín Oficial del Estado, L.194, pp. 1-30, 2016. < https://www.boe.es/doue/2016/194/L00001-00030.pdf>. Último acceso: 9 de febrero de 2018.

[5] Agencia Estatal. “Directivas. Directiva 2011/24/UE del Parlamento Europeo y del Consejo de 9 de marzo de 2011 relativa a la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza”. Boletín Oficial del Estado, L.88, pp. 45-65,  2011. <https://www.boe.es/doue/2011/088/L00045-00065.pdf>. Último acceso: 9 de febrero de 2018.

[6] Agencia Estatal. “Ley 14/1986, de 25 de abril, General de Sanidad”. <http://boe.es/buscar/pdf/1986/BOE-A-1986-10499-consolidado.pdf>. Último acceso: 9 de febrero de 2018.

[7] Agencia Estatal. “Ley 16/2003, de 28 de mayo, de cohesión y calidad del Sistema Nacional de Salud”. Boletín Oficial del Estado, n. 128, 2003.  <https://www.boe.es/buscar/pdf/2003/BOE-A-2003-10715-consolidado.pdf>. Último acceso: 9 de febrero de 2018.

[8] Agencia Estatal. “Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica”. Boletín Oficial del Estado, n. 274, 2002. <https://www.boe.es/buscar/pdf/2002/BOE-A-2002-22188-consolidado.pdf>. Último acceso: 9 de febrero de 2018.

[9] Agencia Estatal. “Ley 34/2002, de 11 de julio, de servicios de la sociedad de la información y de comercio electrónico”. Boletín Oficial del Estado, n. 166, 2002. < https://www.boe.es/buscar/act.php?id=BOE-A-2002-13758>. Último acceso: 9 de febrero de 2018.

[10] B. Rios y J. Butts. “Security Evaluation of the Implantable Cardiac Device Ecosystem Architecture and Implementation Interdependencies”. WhiteScope, 2017.

[11] CB Insights. “From Virtual Nurses To Drug Discovery: 106 Artificial Intelligence Startups In Healthcare”. 3 de febrero de 2017. <https://www.cbinsights.com/blog/artificial-intelligence-startups-healthcare/>. Último acceso: 9 de febrero de 2018.

[12] Cloudera. “Cloudera joins President Barack Obama’s Precision Medicine Initiative  (PMI)”. <https://www.cloudera.com/more/about/precision-medicine-initiative.html>. Último acceso: 9 de febrero de 2018.

[13] European Commission. “Privacy Code of Conduct on mobile health apps”. 2016. <https://ec.europa.eu/digital-single-market/en/privacy-code-conduct-mobile-health-apps>. Último acceso: 9 de febrero de 2018.

[14] G. Eysenbach. “What is e-health?”. J Med Internet Res, 3(2), 2001. <http://www.jmir.org/2001/2/e20/>. Último acceso: 9 de febrero de 2018. 

[15] Gobierno de España. Ministerio de Sanidad, Servicios Sociales e Igualdad. “Utilización de las tecnologías de la información para mejorar la atención a los ciudadanos”. Octubre de 2006. <http://www.msssi.gob.es/organizacion/sns/planCalidadSNS/pdf/tic/sanidad_en_linea_WEB_final.pdf>. Último acceso: 9 de febrero de 2018.

[16] G. R. Abecasis et al. “An integrated map of genetic variation from 1,092 human genomes”. Nature, 491(7422), pp. 56-65, 2012.

[17] J. F. Murray. “Guidance for Industry – Cybersecurity for Networked Medical Devices Containing Off-the-Shelf (OTS) Software. U.S. Department of Health and Human Services Food and Drug Administration”. 2015. <https://www.fda.gov/medicaldevices/deviceregulationandguidance/guidancedocuments/ucm077812.htm>. Último acceso: 9 de febrero de 2018.

[18] K. Yu, C. Zhang, G. J. Berry, R. B. Altman, C. Ré, D. L. Rubin y M. Snyder. “Predicting non-small cell lung cancer prognosis by fully automated microscopic pathology image features”. Nature Communications, n.12474, 2016. <https://www.nature.com/articles/ncomms12474>. Último acceso: 9 de febrero de 2018.

[19] L. Chin, J. N. Andersen y P. A. Futreal. “Cancer genomics: from discovery science to personalized medicine”. Nature medicine, 17(3), pp. 297-303, 2011.

[20] Level 3 Communications. “The Cloud Evolution in Healthcare”.  <http://www.level3.com/-/media/files/ebooks/en_cloud_eb_healthcare.pdf>. Último acceso: 9 de febrero de 2018.

[21] Cortes Generales de España. Congreso de los Diputados. “Proyecto de Ley Orgánica de Protección de Datos de carácter personal”.  < http://www.congreso.es/public_oficiales/L12/CONG/BOCG/A/BOCG-12-A-13-1.PDF>. Último acceso: 9 de febrero de 2018.

[22] S.R. Blenner, M. Köllmer, A.J. Rouse, N. Daneshvar, C. Willians y L.B. Andrews. “Privacy Policies of Android Diabetes Apps and Sharing of Health Information”. The JAMA Network, 2016, 315(10), pp. 1051-1052.

[23] T. Fox-Brewster. “Medical Devices Hit By Ransomware For The First Time In US Hospitals”. Forbes. 17 de mayo de 2017.

[24] The White House President Barack Obama. “The precision medicine initiative”. <https://obamawhitehouse.archives.gov/node/333101>. Último acceso: 9 de febrero de 2018.

[25] U.S. Food and Drug Administration Center. “Memorandum of understanding between the National Health Information Sharing & Analysis Center, inc. (nh-isac), Medical Device Innovation, Safety and Security Consortium (MDISS) and the U.S. Food and Drug Administration Center for devices and radiological health”. 2016. <https://www.fda.gov/aboutfda/partnershipscollaborations/[…]>. Último acceso: 9 de febrero de 2018.

[26] U.S. Department of Health and Human Services Food and Drug Administration. “Mobile Medical Applications. Guidance for Industry and Food and Drug Administration Staff”. 2015. <https://www.fda.gov/downloads/MedicalDevices/DeviceRegulationandGuidance/[…]>. Último acceso: 9 de febrero de 2018.

[27] U.S. Department of Health and Human Services Food and Drug Administration. “Postmarket Management of Cybersecurity in Medical Divices. Guidance for Industry and Food and Drug Administration Staff”. 2016. <https://www.fda.gov/downloads/medicaldevices/deviceregulationandguidance/[…]>. Último acceso: 9 de febrero de 2018.

[28] Z. D. Stephens, S. Y. Lee, F. Faghri, R. H. Campbell, C. Zhai, M. J. Efron, R. Iyer, M. C. Schatz , S. Sinha y G. E. Robinson. “Big Data: Astronomical or Genomical?”. Plos Biology. 7 de julio de 2015. <https://doi.org/10.1371/journal.pbio.1002195>. Último acceso: 9 de febrero de 2018.