HOSPITAL ITALIANO

de Buenos Aires

U13 U12 U11 U10 U9

U14 U1

U2 U3 U4 U5 U6

U8 U7

SISTEMAS DE INFORMACION EN LOS SISTEMAS DE BIOMEDICA SALUD INTRODUCCION A LA INFORMATICA

Privacidad, Confidencialidad y Seguridad de los datos

UNIDAD 3

HOSPITAL ITALIANO
de Buenos Aires

Contenido
Introduccin ........................................................................................................................................................................3 Seguridad, Privacidad y Confidencialidad ........................................................................................................................3 Dimensin del Problema................................................................................................................................................4 Opinin Pblica ...............................................................................................................................................................5 Riesgos ............................................................................................................................................................................6 Definiciones .....................................................................................................................................................................7 Estrategias de Proteccin de Seguridad ..........................................................................................................................7 Tecnologas para asegurar la informacin...................................................................................................................8 Validacin de identidad mediante usuario y contrasea ...................................................................................8 Obstculos que protegen la privacidad ........................................................................................................................9 Balance entre seguridad total y afectacin del trabajo diario ...................................................................................9 Gestin de Usuarios y Control de Accesos.....................................................................................................................10 Recomendaciones del reporte del IOM sobre privacidad y seguridad ....................................................................10 Log-in nico ..................................................................................................................................................................11 Caso de Uso - Gestin de Usuarios y Control de Accesos ........................................................................................11 Firma Digital ......................................................................................................................................................................12 Criptografa ....................................................................................................................................................................12 Firma ..............................................................................................................................................................................13 Necesidad de una Firma Digital ..................................................................................................................................14 El proceso de la Firma Digital ......................................................................................................................................14 Proceso de Firma .....................................................................................................................................................15 Proceso de Comprobacin .......................................................................................................................................15 Normativas de Implementacin .................................................................................................................................15 Time Stamping ..............................................................................................................................................................16 Firma Digital e Historia Clnica Electrnica ................................................................................................................16 Legislaciones para la Privacidad y Seguridad de la informacin en salud .................................................................17 Comunidad Europea .....................................................................................................................................................17 Estados Unidos de Norteamrica ...............................................................................................................................18 Informacin Protegida por HIPPA ..........................................................................................................................18 Reglas de Privacidad de HIPPA...............................................................................................................................19 Reglas de Seguridad de HIPPA ...............................................................................................................................19 Latinoamrica ...............................................................................................................................................................20 Argentina...................................................................................................................................................................20 Uruguay .....................................................................................................................................................................22

Sistemas de Informacin en los Sistemas de Salud . Introduccin a la Informtica Biomdica

Unidad 3 / Privacidad, Confidencialidad y Seguridad de los datos

HOSPITAL ITALIANO
de Buenos Aires

UNIDAD 3

Comentario Final sobre Privacidad y Seguridad .......................................................................................................22 Conclusiones .....................................................................................................................................................................22 Referencias Bibliogrficas ...............................................................................................................................................24

Sistemas de Informacin en los Sistemas de Salud . Introduccin a la Informtica Biomdica

Unidad 3 / Privacidad, Confidencialidad y Seguridad de los datos

UNIDAD 3

HOSPITAL ITALIANO
de Buenos Aires

Introduccin
Al hablar de los Sistemas de Informacin en Salud y sus componentes, explicamos que estos componentes no slo estn conformados por aplicativos, sino tambin por recursos humanos, tecnolgicos y normativas, adquiriendo el grado de Subsistemas dentro del sistema de informacin de una organizacin. Esta seccin estar dedicada al Componente de Seguridad. Este componente est destinado a aplicar los mecanismos que brinden garantas a la informacin en salud, que no slo est conformado por la seguridad, sino que tambin se encarga de administrar los usuarios que tienen acceso al sistema y los permisos necesarios para el acceso a la informacin clnica, as como el denominado audit trial o registro de accesos (tanto de escritura como de lectura). Entonces dentro de este componente podemos destacar:

Privacidad. Confidencialidad. Seguridad. Gestin de Usuarios. Acceso a Aplicativos.

Comenzaremos primero definiendo los conceptos de privacidad, confidencialidad y seguridad de la informacin en salud. Para garantizar cierta comprensin integral del problema, ejemplificaremos con varios casos reportados en la literatura mundial, haciendo hincapi tambin en las medidas regulatorias que fueron implementadas a lo largo del planeta, que intentan proteger esta informacin. Daremos lugar a una breve revisin de las diferentes estrategias para la proteccin de la informacin electrnica en salud, como ser la gestin de usuarios y accesos a los diferentes aplicativos del sistema; para luego concluir con una introduccin y puesta al da de la herramienta que actualmente permite garantizar la autora y la integridad de los registros electrnicos: la Firma Electrnica/Digital en Salud.

Seguridad, Privacidad y Confidencialidad

Algunos de los desafos ms significativos con los que se enfrentan los sistemas de informacin en salud estn relacionados con la conservacin de ciertos pilares fundamentales de la medicina tradicional luego de la informatizacin. Uno de estos desafos requiere un lgico y minucioso balance entre dos conceptos que suelen tener relaciones inversas:

Garantizar el acceso a la informacin. Proteccin de la privacidad y confidencialidad.

La seguridad tiene una estrecha relacin con estos dos conceptos, por lo que resulta indispensable definirlos, ya que en este escenario tienen significados muy especficos. La siguiente caricatura resume irnicamente la problemtica de la proteccin de la informacin, jugando con los extremos en los que demasiada proteccin de la privacidad puede interferir en la tarea de los profesionales.

Sistemas de Informacin en los Sistemas de Salud . Introduccin a la Informtica Biomdica

Unidad 3 / Privacidad, Confidencialidad y Seguridad de los datos

HOSPITAL ITALIANO
de Buenos Aires

UNIDAD 3

Es un bebe. Las leyes para proteger su privacidad no nos permiten mencionar su raza, gnero o edad

Dimensin del Problema

Tan slo las computadoras son capaces de manejar la inmensa cantidad de informacin clnica generada en una institucin, pero son los profesionales de la salud quienes necesitan acceso a esta informacin a la hora de tomar decisiones. El problema surge a la hora de hacerla disponible: se crean oportunidades para que individuos ajenos al cuidado de la salud de un paciente, tengan acceso a su informacin mdica. En el mejor de los casos, se trata de empleados curiosos de la misma institucin. Pero podran existir personas que (dentro y fuera de la institucin) buscan sacar algn beneficio con la informacin obtenida, o usarla de alguna forma en contra del paciente cuya privacidad fue violada, o la misma institucin. Los responsables de esta informacin clnica se encuentran en una encrucijada, en la que deben decidir entre mejorar la calidad de atencin con sistemas informticos (permitiendo acceder a esta infrormacin), o proteger la privacidad y la confidencialidad de sus pacientes, restringiendo el uso de los sistemas. Por suerte, estos dos objetivos no son incompatibles. Esta problemtica fue ampliamente descripta en la literatura, y a continuacin vamos a repasar algunos casos representativos. Los problemas que acarrea la difusin de informacin relacionada con los problemas de salud fueron el foco de un trabajo de Rindfleisch en 1997 (1). Bsicamente, pueden agruparse en problemas:

De discriminacin. De marketing.

El paciente puede ser objeto de discriminacin por conocerse que sufre una enfermedad determinada, como el HIV; o por tener una predisposicin para desarrollar cierta patologa, como factores de riesgo genticos para
Sistemas de Informacin en los Sistemas de Salud . Introduccin a la Informtica Biomdica

Unidad 3 / Privacidad, Confidencialidad y Seguridad de los datos

UNIDAD 3
cncer de mama.

HOSPITAL ITALIANO
de Buenos Aires

El otro problema importante es que el paciente sea el blanco de estrategias de marketing orientadas a su enfermedad o riesgo. Tambin se han reportado algunos ejemplos de difusin no intencional de informacin en salud. En un estudio de Chin en 2003 se report que, utilizando Google, se poda acceder a informacin de pacientes y que se podan detectar puntos de acceso a bases de datos no seguras (2). En otro artculo, el mismo autor report que en 2003 un hacker entr en una base de datos de 7,000 pacientes de una clnica de desrdenes del sueo en Indiana (3). Antes, en el ao 2001, en la Universidad de Washington, un hacker entr en la base de datos de cardiologa y obtuvo acceso a informacin de ms de 5,000 pacientes (4).

Opinin Pblica
Ante estos eventos, parte del pblico est preocupada por los riesgos del almacenamiento electrnico de informacin sensible. La privacidad y la confidencialidad son derechos de las personas, y no es necesario dar una razn para que la informacin sensible sea un dato protegido. Un encuesta reciente en los Estados Unidos (2005), conducida por Harris Interactive, encontr que la opinin pblica est dividida sobre si el beneficio supera los riesgos o no para la utilizacin de un registro mdico electrnico. (47% a favor contra 48% en contra) (5) Tambin se encontr que el 82% de los encuestados querran disponer de herramientas para rastrear su propia informacin en salud y asegurar su derecho a la privacidad. En el siguiente cuadro podemos ver cmo respondieron los encuestados en estos aspectos de la seguridad y privacidad de la informacin mdica:

Muy Preocupado (%)

Informacin personal sensible relacionada con la salud puede difundirse por una seguridad dbil Se puede compartir informacin mdica sin su consentimiento La seguridad del nuevo sistema no va a ser suficiente Algunas personas no van a revelar informacin sensible por miedo a que se almacenen en el sistema informtico La informatizacin puede aumentar en lugar de disminuir los errores mdicos

Algo Preocupado (%)

32

No muy Preocupado (%)

16

Nada Preocupado (%)

13

38

42 34 29

27 35 36

18 18 20

13 12 13

29

36

22

13

Cuadro: 1: Encuesta de Harris Interactive sobre el uso de registros mdicos electrnicos

Podramos decir entonces que garantizar la privacidad y la confidencialidad beneficia tambin al sistema de salud, ya que un paciente que sabe que su informacin clnica no ser accedida de forma inapropiada, se sentir

Sistemas de Informacin en los Sistemas de Salud . Introduccin a la Informtica Biomdica

Unidad 3 / Privacidad, Confidencialidad y Seguridad de los datos

HOSPITAL ITALIANO
de Buenos Aires

UNIDAD 3

ms cmodo a la hora de revelarla; y lograr esta confianza es vital para mantener la relacin mdico-paciente o enfermero-paciente.

Riesgos
Una estrategia muy utilizada para intercambiar informacin es compartir los datos mdicos con fines estadsticos y de gestin, pero sin brindar los datos completos de las personas. Esta forma no-identificada por ejemplo, ofrecera los diagnsticos con:

El cdigo postal. El sexo. La fecha de nacimiento.

Sweeney revis esta estrategia en 2002, y concluy que el 87% de la poblacin de EE.UU. se puede identificar con el cdigo postal, el sexo y la fecha de nacimiento. Identificaron, como ejemplo, al gobernador de Massachusetts, al cruzar los datos no-identificados del seguro de salud pblico con un padrn electoral (6). La informacin mdica tiene muchos usos ms all del asistencial. Rindfleisch en 1997 agrup estos usos en (1):

Actividades de soporte a la atencin mdica. Usos sociales. Usos comerciales.

Esto provoca que, aunque una institucin cuide con mucho detalle la informacin que recolecta, la misma viaja por muchos canales y a diferentes destinatarios donde se corre el riesgo de que comprometa la privacidad de los pacientes.
ATENCION DIRECTA DEL PACIENTE *Mdicos *Clnicas *Hospitales ACTIVIDADES DE SOPORTE *Financiadores *Calidad *Administracin

USOS SOCIALES *Seguros *Salud Pblica *Investigacin Mdica

ATENCION DIRECTA DEL PACIENTE *Marketing *Gestin *Uso de Medicamentos

Fig. 1: Flujo de Datos de Rindfleisch (Adaptado, 1997)

El riesgo para la privacidad de la informacin no es algo relacionado con los registros electrnicos; ya el registro en papel tiene muchas debilidades en este aspecto.
Sistemas de Informacin en los Sistemas de Salud . Introduccin a la Informtica Biomdica

Unidad 3 / Privacidad, Confidencialidad y Seguridad de los datos

UNIDAD 3

HOSPITAL ITALIANO
de Buenos Aires

Es muy difcil rastrear quin vio un registro en papel o en qu sectores de la institucin fue utilizado. Con una simple fotocopiadora, cmara de fotos o mquina de fax es posible llevarse informacin privada. Esto permite que la copia de registros en papel sea una prctica comn, siendo requisito ante mudanzas, cambios de equipo de atencin, cambios de cobertura de salud, plizas de seguro, etc. Podemos concluir que, aunque los registros informticos tengan algunos riesgos, con el papel se corren an mayores riesgos. La posibilidad de los registros informticos de registrar todos los accesos y las copias de resguardo le dan a una seguridad mayor que el papel. La falta de seguridad en los registros de salud puede traer diversas consecuencias:

Los pacientes reaccionan evitando consultar en determinados casos, o mienten durante las consultas con los riesgos que esto acarrea para su tratamiento. Los mdicos no registran informacin sensible, aunque pueda ser de valor clnico en el futuro para ellos mismos o sus colegas. Los mdicos inventan formas de registrar informacin adicional fuera del registro oficial, quitndole su funcin de herramienta de comunicacin entre el equipo de salud. Mientras tanto, la falta de seguridad hace que eventualmente aparezcan nuevos casos de difusin de informacin privada.

Definiciones
Cuando se tocan estos temas es difcil diferenciar los trminos privacidad, confidencialidad y seguridad. Distintos autores pueden usarlos de diferentes maneras, acordemos las siguientes definiciones para este curso: Privacidad es el derecho a quedarse con informacin para uno mismo. Confidencialidad es el derecho de que la informacin comunicada a alguien (en confidencia) no sea transmitida a terceros. Seguridad consiste en los medios utilizados para garantizar la confidencialidad y evitar la vulneracin de la privacidad y la prdida de informacin.

Estrategias de Proteccin de Seguridad

Pese a la gran cantidad de evidencia existente sobre esta problemtica, existen an varios temas relacionados con los registros mdicos que todava permiten cierta discusin, o por lo menos, llaman a la reflexin: Quin es el propietario de la informacin mdica? Clsicamente el propietario era la institucin o el mdico que registraba la informacin. Actualmente hay una tendencia internacional a proponer que el propietario de la informacin sea el paciente y, por lo tanto, ste debera tener libre acceso a la misma y a restringir su uso de acuerdo con sus necesidades. Cabe preguntarse: Cules son los lmites del derecho a la privacidad? Entre otros:

Motivos de salud pblica. El derecho a investigar. La evidencia de delitos contenida en el registro mdico.

Por ltimo, es necesario explorar los posibles conflictos comerciales que puede presentar la utilizacin de la

Sistemas de Informacin en los Sistemas de Salud . Introduccin a la Informtica Biomdica

Unidad 3 / Privacidad, Confidencialidad y Seguridad de los datos

HOSPITAL ITALIANO
de Buenos Aires

UNIDAD 3

informacin registrada. Uno de los primeros trabajos orientados a responder esta pregunta fue el reporte del Institute of Medicine (IOM), llamado The computer based patient record, editado en 1997. Este informe fue comisionado por la Biblioteca Nacional de Medicina de EE.UU., y revis la forma de trabajo de seis instituciones. El reporte recomienda diferentes estrategias para proteger la informacin en salud en sistemas informticos (7). Aunque algunos puntos pueden estar desactualizados, la estructura general est completamente vigente. El reporte define los lugares desde donde pueden surgir las amenazas a la seguridad de la informacin, dividindolas principalmente en internas y externas. Las ms importantes son las internas, que incluyen:

La revelacin accidental de datos. La curiosidad del personal. La posibilidad de sobornos para la entrega de informacin personal.

Cuando se enva informacin para uso secundario, como facturacin, epidemiologa, etc., puede haber tambin exposiciones de informacin personal. Las causas externas, como el ingreso de hackers o piratas informticos, ha sido muy publicitada pero, en la realidad, hay muy pocos ejemplos de ellas.

Tecnologas para asegurar la informacin

Para afianzar la seguridad de la informacin se implementan diferentes estrategias.

Algunas apuntan a vigilar el manejo de informacin, haciendo que los usuarios se cuiden del uso que hacen de ella. Ejemplos de eso son las alertas en el momento de visualizar informacin sensible y el registro detallado de todo contacto de los usuarios con la informacin, las llamadas Auditorias de recorrido o Trail audits. Otras apuntan a mejorar la administracin de sistemas, contar con normas para el manejo el software y la asignacin y el control de accesos, o la realizacin de anlisis de vulnerabilidad de los sistemas. La estrategia ms utilizada para asegurar la informacin es la utilizacin del clsico par usuario y contrasea. Esta herramienta puede incluir diferentes niveles de complejidad como veremos a continuacin.

Validacin de identidad mediante usuario y contrasea

Un rea importante en la seguridad de la informacin es la autenticacin de usuarios y contraseas para ingresar a los sistemas. Los factores humanos de autenticacin se clasifican en:

Algo que el usuario posea (por ejemplo: tarjeta, token de seguridad, telfono). Algo que el usuario sepa (por ejemplo: nombre de usuario, contrasea, frase clave, PIN). Algo que sea caracterstico del usuario (por ejemplo: huella digital, lectura retina, secuencia ADN, reconocimiento firma o de la voz).

Comencemos definiendo algunos conceptos: Autenticacin: es el acto de establecer o confirmar que una cosa (o persona) es autntica, es decir que lo que se
Sistemas de Informacin en los Sistemas de Salud . Introduccin a la Informtica Biomdica

Unidad 3 / Privacidad, Confidencialidad y Seguridad de los datos

UNIDAD 3

HOSPITAL ITALIANO
de Buenos Aires

desea aseverar es verdad. La autenticacin de una persona consiste en verificar su identidad. Autorizacin: proceso de verificar que una persona conocida tiene la autorizacin para realizar una tarea u operacin. Por lo tanto, la autenticacin precede la autorizacin. Identificacin Uni-Factor: es la modalidad de identificacin ms utilizada en internet y en Salud, para la cual un usuario se identifica en el sistema ingresando nombre de usuario y contrasea (utiliza slo el factor: Algo que el usuario sabe). La identificacin Uni-Factor se basa en el concepto algo que uno sabe. No obstante esta forma de identificacin es la ms vulnerable dentro de los sistemas dado que cualquier persona que sepa nombre de usuario y contrasea puede ingresar. Adems la gestin de las contraseas en el entorno de la Salud suele ser un problema. Para aumentar an ms la seguridad de un Sistema es necesario sumar a la contrasea algn dispositivo fsico (algo que el usuario posea) o algo que sea caracterstico del usuario (como la huella digital). Este tipo de estrategias combinadas se conoce como autenticacin multi-factor y est actualmente en amplio desarrollo en muchos sistemas que requieren alta seguridad (bancos, tiendas comerciales...). El uso de dispositivos biomtricos tal vez sea til, pero en organizaciones a gran escala el costo de implementacin puede ser muy alto. Tambin se podra utilizar algn otro dispositivo como una tarjeta inteligente o llavero USB. La Identificacin Multi-Factor es un fuerte refuerzo a la autenticacin. Se basa en utilizar 2 o ms factores para la autenticacin. Las formas ms utilizadas de autenticacin multi-factor son: Tarjeta + PIN, es el ejemplo del cajero automtico (2 factores: algo que el usuario posea ms algo que el usuario sepa). Contrasea + huella digital (2 factores: algo que el usuario sabe ms algo que es caracterstico del usuario). Adems de las estrategias para aumentar la seguridad, existen los obstculos que tambin la resguardan.

Obstculos que protegen la privacidad

Se trata de barreras implementadas para garantizar el correcto uso de la informacin. Un ejemplo de estos obstculos es el requerimiento de autenticacin para interactuar con el sistema: los usuarios se identifican con clave y contrasea para el acceso. Algunos centros requieren autorizacin explcita a cada mdico para acceder a cada registro mdico. Las firmas digitales son una forma de identificacin del responsable de las acciones en el sistema en una manera ms segura y, en algunos casos, tiene hasta validez legal, como vamos a ver ms adelante. La encriptacin de los datos, requiriendo claves privadas de desencriptacin, asegura que, aunque se pierdan datos, stos no puedan ser utilizados. La correcta configuracin de todas las herramientas de proteccin de redes, como los Firewalls, mejora la seguridad a las amenazas externas separando las redes institucionales de Internet. La encriptacin es una de las tecnologas ms utilizadas para la seguridad de la informacin. Implementar la encriptacin por s sola no alcanza como medida de seguridad, pero su uso est altamente recomendado cuando se transmiten datos por redes pblicas, como Internet. El proceso de encriptacin consiste en transformar la informacin en un texto incomprensible, que luego puede volver a su forma original. Para los dos procesos se requiere una clave. Un tipo de encriptacin, la asimtrica de clave pblica, es la base de la firma digital, un tema del que hablaremos ms adelante.

Balance entre seguridad total y afectacin del trabajo diario

Sigue siendo difcil definir qu nivel de seguridad vamos a necesitar para la informacin en salud. En ambos extremos del espectro estn desde simples sitios Web completamente inseguros hasta organizaciones gubernamentales, militares o de inteligencia en las que la proteccin de la informacin es algo vital. Los sitios

10

Sistemas de Informacin en los Sistemas de Salud . Introduccin a la Informtica Biomdica

Unidad 3 / Privacidad, Confidencialidad y Seguridad de los datos

HOSPITAL ITALIANO
de Buenos Aires

UNIDAD 3

altamente seguros implementan una gran cantidad de medidas, como:

Controles en el acceso. Prohibicin de la utilizacin de medios porttiles como diskettes, discos pticos (CD, DVD), pendrives o computadoras porttiles. Control con cmaras de seguridad. Cambios obligatorios de contrasea peridicos.

Todas estas medidas son efectivas pero producen muchas molestias para los trabajadores y visitantes de estos centros, y su implementacin en una institucin de salud es muy discutible. El secreto es encontrar el punto ideal entre el costo y el beneficio de las medidas de control de seguridad de informacin electrnica en el mbito de la salud.

Gestin de Usuarios y Control de Accesos

Como fuimos describiendo en los prrafos precedentes, podemos decir que se trata de una estrategia, una tecnologa, un obstculo y una recomendacin. Cuando introdujimos el concepto de Tablas Maestras, al describir la anatoma del acto mdico, mencionamos como actor principal del mismo al prestador fsico. Si tomamos la Tabla Maestra de Personas (Master Patient Index) como repositorio nico de las personas que van a actuar en el Sistema de Informacin en salud, el prestador existe en ella. La diferencia entre el prestador y el paciente, a nivel del sistema, va a radicar en la inclusin del primero en una estructura intermedia que defina que papel va a desempear. Esto lo definimos en lecturas previas como rol. Esta estructura intermedia tambin va vincular informacin de otras Tablas Maestras, como ser la profesin, especialidad, rea en la que se desempea (departamento, servicio, seccin, etc.) y funcin que cumple en esta dependencia jerrquica. Podemos entonces definir esta estructura como el nexo Persona-Rol-Funcin, a partir de la cual una persona del MPI, pasa a cumplir un rol determinado en la organizacin de salud, y realizar ciertas funciones en un rea especfica segn su profesin. Implementar medidas de gestin de usuarios implica representar dentro de estas estructuras a todas las personas que van a cumplir algn papel en la organizacin de salud. A partir de estas definiciones, podemos constituir la piedra fundamental del control de accesos a las aplicaciones: segn la funcin que cumpla una persona dentro de la institucin, va a requerir un determinado nivel de acceso a una determinada aplicacin. De esta forma el control de accesos queda estrechamente vinculado con las posibles funciones que existan en una institucin y no con un usuario en particular. Siempre van a existir excepciones, claro, pero sern en el menor de los casos, si toda la estructura est debidamente representada.

Recomendaciones del reporte del IOM sobre privacidad y seguridad

El reporte de 1997 llevado a cabo por el Institute of Medicine (IOM) propone adoptar algunas de las siguientes medidas de seguridad, relacionadas con la organizacin estructural de la institucin (8):

Establecer polticas claras y comits sobre seguridad y confidencialidad. Implementar Programas de Educacin y Entrenamiento. Aplicar sanciones claras al personal que viola las normas de seguridad y confidencialidad Facilitar el acceso de los pacientes a las auditoras de recorrido.

El mismo reporte delinea algunas:

Sistemas de Informacin en los Sistemas de Salud . Introduccin a la Informtica Biomdica

Unidad 3 / Privacidad, Confidencialidad y Seguridad de los datos

11

UNIDAD 3

HOSPITAL ITALIANO
de Buenos Aires

Autenticacin de los usuarios. Registro detallado de accesos. Seguridad fsica de los datos. Proteccin en los puntos de acceso remoto y comunicaciones externas. Mtodo estricto de desarrollo del Software. Control permanente de vulnerabilidades.

Log-in nico
Al hablar de estndares, ms especficamente, estndares de aplicaciones, mencionamos la necesidad de cierta interoperabilidad en las aplicaciones. Dentro de estos estndares, se incluyen algunos ejemplos que determinan cierta uniformidad en la visualizacin de la informacin y la interaccin de los usuarios con las distintas aplicaciones, incluyendo la validacin de identidad. El log-in nico es un proceso que permite a los usuarios de mltiples aplicaciones dentro del mismo sistema o entorno, utilizar un mismo nombre de usuario y contrasea, o en el caso de sistemas ms avanzados, una nica forma de validar su identidad (en el caso de la identificacin multifactor). De esta forma, todos los datos necesarios para autenticar e identificar a un usuario se administran de forma independiente a las aplicaciones, y estas se alimentan de este repositorio nico de usuarios. Una iniciativa que ya mencionamos, dentro de la familia de estndares de HL7, es el Clinical Context Object Workgroup (CCOW), que intenta aplicar el single sign-on y la gestin contextual, combinndolos. Otra iniciativa de log-in nico que est comenzando a tomar fuerza a nivel mundial es OpenID, un sistema de identificacin digital descentralizado, en el que los usuarios puede identificarse en una pgina web que utilice el sistema. En este caso, los usuarios no tienen que crearse una nueva cuenta (nombre de usuario y contrasea) para obtener acceso, sino que necesitan disponer de un identificador creado por OpenID, mediante sitios llamados proveedores de identidad. La seguridad de una conexin OpenID depende de la confianza que tenga el cliente OpenID en el proveedor de identidad.

Caso de Uso - Gestin de Usuarios y Control de Accesos

Siguiendo las recomendaciones del IOM, y las experiencias recopiladas de la literatura, el Hospital Italiano de Buenos Aires, cre un rea de Gestin y Auditora de Tablas Maestras. Como su nombre lo indica, mantienen actualizadas las tablas maestras, encargndose tambin de la gestin de usuarios y los accesos. De esta forma cada vez que una persona pasa a formar parte de la institucin, le asignan los atributos necesarios (Profesin, rea, Especialidad, etc.), adquiriendo en ese mismo momento el acceso a los diferentes aplicativos (en algunos casos, se trata de accesos limitados hasta que cumplan cierta capacitacin en el uso de los aplicativos) y el nivel de acceso que tendr en los mismos. Por ejemplo:

Un mdico ingresa para desempearse como Mdico Interno de Clnica Mdica en la Internacin. Su funcin dentro del ROL asistencial, ser la de mdico de guardia. Adquiere acceso completo a la historia clnica de todos los pacientes internados, en la sala general. No podr consultar informacin de pacientes peditricos ni pacientes dentro del MPI que no estn internados. Un enfermero que ingresa para desempearse como enfermero de un determinado sector de la internacin. Su funcin dentro del ROL asistencial ser la de enfermero. Esto le permite acceso restringido a los pacientes que tenga a su cargo en su sector de internacin, o aquellos que le sern derivados de forma inmediata. No podr ver informacin de pacientes internados
Sistemas de Informacin en los Sistemas de Salud . Introduccin a la Informtica Biomdica

12

Unidad 3 / Privacidad, Confidencialidad y Seguridad de los datos

HOSPITAL ITALIANO
de Buenos Aires

UNIDAD 3

fuera de su sector, ni pacientes no internados. Pero tambin tendr acceso al sistema de ADT (admisin y egreso de pacientes). Una mujer que ingresa para desempearse como mucama de la internacin. No tendr ROL asistencial, pero si ROL institucional. Su funcin ser mucama. No adquiere acceso a la historia clnica, ni ningn dato de ningn paciente del hospital. Si accede al sistema de ADT para indicar el momento en el que una cama est preparada para recibir otro paciente.

Firma Digital
La firma electrnica, electrnica avanzada, o digital (dependiendo el pas puede adquirir diferentes nombres) es una de las estrategias porpuestas para permitir verficar que un documento electrnico no fue alterado, y que el autor (o la ltima persona que lo modific) es quien dice ser. Mas adelante profundizaremos en los tecnicismos que definen una y otra (sobre todo lo que establece la Ley Argentina). Sin embargo, creemos necesario comenzar harciendo una introduccin a un concepto muy relacionado con los procesos matemticos y complejos algoritmos relacionados con la firma digital: la criptografa.

Criptografa
La criptografa es la ciencia de mantener en secreto los mensajes. El texto original, o texto puro es convertido en un equivalente en cdigo, llamado criptotexto (ciphertext) va un algoritmo de encriptacin. El criptotexto es decodificado (desencriptado) al momento de su recepcin y vuelve a su forma de texto original. La criptografa tiene su origen en la Grecia Antigua cuando los ejrcitos utilizaban un mtodo para esconder un mensaje (encriptarlo). Utilizaban un pequeo bculo de madera al cual le enredaban un listn delgado, de tal manera que quedara forrado. Finalmente, sobre el bculo forrado por el listn, escriban el mensaje a ser enviado al ejrcito aliado. Posteriormente, el listn era desenrollado y en l quedaba escrito un mensaje indescifrable a simple vista que era enviado a otro ejrcito de manera segura.

Fig. 2: Criptografa de la Grecia Antigua

Para poder leer el mensaje encriptado, era necesario que el ejrcito aliado tenga un bculo idntico para desencriptar el mensaje. Esto es conocido como criptografa simtrica o tradicional, dnde si el destinatario tiene la clave puede leer el mensaje. Podemos transpolar este ejemplo tradicional a las contraseas actuales. La criptografa tradicional evolucion hacia la criptografa asimtrica (PKI - Public Key Infrastructure) que usa un par de claves (pblica y privada) para el envo de mensajes. Las dos claves pertenecen a la misma persona a la que se ha enviado el mensaje. Una clave es pblica y se puede entregar a cualquier persona (o directamente estar disponible en cualquier lugar), la otra clave es privada y el propietario debe guardarla de modo que nadie tenga acceso a ella. Es importante no confundir el par de claves pblica y privada con una contrasea, las claves estn compuestas por cientos (o miles) de caracteres, dependiendo de la tecnologa criptogrfica utilizada, y en general se almacenan electrnicamente (pendrives, disco rigido, tarjetas chip, etc).
Sistemas de Informacin en los Sistemas de Salud . Introduccin a la Informtica Biomdica

Unidad 3 / Privacidad, Confidencialidad y Seguridad de los datos

13

UNIDAD 3

HOSPITAL ITALIANO
de Buenos Aires

Firma
Cuando una persona firma un documento en papel con una pluma, realiza trazos con caractersticas tales que slo esa persona puede realizarlos. De esa manera se deja constancia de que slo ese individuo es el responsable de lo que dice el documento. Adems, se firma al final del contenido para dejar constancia de que lo que se refrenda no ha sido modificado, firmando posteriormente cada modificacin o escritura posterior que haya sido realizada en el mismo. De esta manera, se garantiza la autora o acuerdo con el contenido e integridad de la informacin. Esto es lo que denominamos Firma Manuscrita. Lo que se conoce como Firma Digital, Firma Electrnica Avanzada o Firma Electrnica Reconocida es una herramienta tecnolgica que permite garantizar la autora y la integridad de los documentos digitales, utilizando la tecnologa de PKI o de claves asimtricas. Es un conjunto de datos asociados a un documento, tambin conocido como hash o digesto, que no implica asegurar la confidencialidad del mensaje, ya que al igual que cuando se utiliza la firma manuscrita, un documento firmado digitalmente puede ser visualizado por otras personas. La firma digital cuenta con ciertas caractersticas tcnicas y normativas, ya que existen procedimientos tcnicos que permiten la creacin y verificacin de firmas digitales, y existen documentos normativos que respaldan el valor legal que dichas firmas poseen. Tambin existe lo que se denomina cadena de confianza, cada certificado (y par de claves) es firmado digitalmente por el ente que lo otorga, y los certificados digitales de ste a su vez, tambin estn firmados digitalmente por un ente superior, y as sucesivamente. Utilizando la clave privada, el emisor genera un hash (un control, a modo resumido, como un dgito verificador) de un documento digital. Al recibir este documento, el receptor utiliza la clave pblica del emisor y verifica que el documento no fue alterado y lo envi la persona que firma. Este mecanismo es vlido tanto para la firma electrnica como la digital, de hecho, pueden no existir diferencias tecnolgicas entre una y otra, y la diferencia prctica radica en que la firma digital (en argentina por lo menos) cumple con los requisitos regulatorios establecidos en la Ley N 25.506 (9). El Hospital Italiano de Buenos Aires (HIBA) aplic ambas modalidades de firma en el 2008. Contar con certificados vlidos otorgados por entes certificantes oficiales (que mantengan la cadena de confianza) para todos sus profesionales significara una inversin no justificada. Si fuera necesario, podra adquirirse una firma digital (cuando existan entes certificantes para tal fin) y se firmaran digitalmente todos los registros con una nica firma hospitalaria. En cambio, con validez interna (nuestra propia cadena de confianza), pero careciendo de la figura legal de firma digital, los profesionales utilizan un certificado y par de claves generados por los sistemas HIBA, aplicando en este caso la firma electrnica. Desde un punto de vista legal, la diferencia entre firma electrnica y firma digital radica en el valor probatorio atribuido a cada uno de ellos. Concretamente, en el caso de la Firma Digital existe una presuncin iuris tantum en su favor; esto significa que si un documento firmado digitalmente es automticamente verificado como correcta se presume, salvo prueba en contrario por parte del demandante, que proviene del suscriptor del certificado asociado y que no fue modificado. Es decir, adquiere caractersticas de documento pblico, a pesar de ser privado. La Firma Electrnica, se invierte la carga probatoria, y en caso de ser desconocida la firma, corresponde a quien invoca su autenticidad acreditar su validez. Si bien la firma digital no garantiza la seguridad de la informacin (solo autora e integridad), es posible valerse de esta herramienta para encriptar la informacin, y garantizar que slo un determinado destinatario pueda acceder al contenido de un documento. Esto se conoce como firma invertida, en la que el remitente firma digitalmente con la clave pblica del destinatario, garantizando que solo el poseedor de la clave privada que corresponda a esa clave pblica acceda a dicha informacin. Resumiendo: la firma electrnica-digital es un mecanismo que se vale de la tecnologa de encriptacin asimtrica (PKI) para crear un juego de claves digitales nicas (una pblica y otra privada) y un certificado digital, que en conjunto permiten que la comunicacin electrnica cuente con los siguientes elementos de seguridad: integridad, autora y no repudio y privacidad.

14

Sistemas de Informacin en los Sistemas de Salud . Introduccin a la Informtica Biomdica

Unidad 3 / Privacidad, Confidencialidad y Seguridad de los datos

HOSPITAL ITALIANO
de Buenos Aires

UNIDAD 3

Necesidad de una Firma Digital

La digitalizacin de los documentos y las transacciones han aportado una gran comodidad a la vida actual, mejorando los procesos y logrando que las distancias no impidan la realizacin de trmites y operaciones. Pero esto acarre la prdida de la posibilidad de firmar fsicamente los documentos, como se haca tradicionalmente. La utilizacin de simples firmas electrnicas, como uso de usuario y contrasea, no cumple con todos los requisitos necesarios para reemplazar la firma manuscrita en todos los usos posibles. La firma digital es una herramienta tecnolgica, un conjunto de datos asociados a los documentos digitales que permiten garantizar la autora e integridad de los mismos. O sea que slo se pueden firmar digitalmente documentos digitales. Un documento digital es la representacin digital de actos o hechos, es decir, cualquier archivo digital, de computadora, no importa si es un texto, una foto, una base de datos, un correo electrnico, etc. Cuando hablamos de estndares en las clases previas, hablamos de estndares de documentos clnicos, por ejemplo, CDA (de la familia de estndares HL7). CDA es un ejemplo de un documento clnico que puede ser firmado. De hecho, incluye en su cdigo XML la posibilidad de que varios actores firmen un documento con distintos fines (10). Por ejemplo, si hablamos de un informe de una radiografa de trax, ste puede contener la firma del residente de guardia que gener el preinforme, del mdico especialista que revis y realiz el informe definitivo (y, una nueva versin del documento, claro), una autoridad responsable de la institucin (Director Mdico, Jefe de Servicio), y el responsable de mantener la base documental (Jefe de Tecnologa, Administrador de Bases de Datos, etc.

El proceso de la Firma Digital

Requiere dos elementos bsicos:

Documento digital a firmar Informacin del usuario firmante

Ya definimos que el documento digital puede ser cualquier tipo de archivo de computadora. La informacin del firmante es equivalente a la firma manuscrita, ese trazo personal e irreproducible es reemplazado por un complejo sistema de claves informticas que, al no ser compartido por el usuario, le otorgan la misma funcionalidad de la firma tradicional. La Firma Digital otorga presuncin de autora, es decir, que se presume, salvo prueba en contrario, que toda firma digital pertenece al titular del certificado digital que permite la verificacin de dicha firma. Podemos establecer, entonces, que un documento firmado digitalmente fue firmado por quien dice la firma hasta que se demuestre lo contrario. Tambin otorga presuncin de integridad: si el resultado de un procedimiento de verificacin de una firma digital aplicado a un documento digital es verdadero, se presume que este documento digital no ha sido modificado desde el momento de su firma, nuevamente, salvo que se demuestre lo contrario. El No Repudio implica que la persona que firma un documento no puede decir que no lo ha hecho. Esto, que a simple vista suena poco agradable, se logra gracias a la existencia de certificados digitales que, como veremos ms adelante, son otorgados por entes certificantes, logrando lo que se conoce como cadena de confianza. En la elaboracin de una firma digital y en su correspondiente verificacin se utilizan complejos procedimientos matemticos basados en criptografa asimtrica, tambin llamada criptografa o infraestructura de clave pblica. Las siglas PKI significan Public Key Infraestructure o Infraestructura de Clave Pblica, tambin llamada de clave asimtrica.

Sistemas de Informacin en los Sistemas de Salud . Introduccin a la Informtica Biomdica

Unidad 3 / Privacidad, Confidencialidad y Seguridad de los datos

15

UNIDAD 3

HOSPITAL ITALIANO
de Buenos Aires

En un sistema criptogrfico asimtrico, tambin llamado de clave asimtrica, cada usuario posee un par de claves propio. Estas dos claves, llamadas clave privada y clave pblica, poseen la caracterstica de que, si bien estn fuertemente relacionadas entre s, no es posible calcular la primera a partir de los datos de la segunda, ni tampoco calcular una a partir de los documentos cifrados con la otra. Como su nombre lo indica, la clave pblica est disponible para todo el mundo, y la privada slo la usa el usuario firmante. La utilizacin de la firma digital involucra dos procesos:

Proceso de Firma Proceso de Comprobacin

Proceso de Firma
El proceso de la firma digital comienza con una funcin matemtica al documento digital, que permite obtener el HASH (a veces llamado huella digital). El HASH es una secuencia de caracteres de una longitud fija, que es nica para cada documento y que no puede utilizarse para generar el documento original. La utilidad del HASH es especficamente comparar documentos: si dos documentos tienen el mismo HASH (misma huella digital), son idnticos. Para generar el HASH no se usan las claves privadas o pblicas. El proceso de firma contina con la combinacin del HASH con la clave privada, para obtener la versin cifrada o encriptada del HASH (HASH cifrado). El HASH cifrado es la firma y se distribuye junto con el documento.

Proceso de Comprobacin
Para comprobar la firma se aplica nuevamente la funcin de HASH del documento. Luego, se descifra el HASH cifrado (firma) original utilizando la clave pblica del supuesto autor. Si el HASH obtenido del documento es igual al obtenido al descifrar la firma del documento, la comprobacin es exitosa (es decir, se utiliz el par de claves, pblico y privado de una misma persona), por lo tanto, el documento fue firmado originalmente por el propietario de la clave pblica y la firma es vlida. Hay casos en que la comprobacin no es exitosa, esto puede ser debido a:

Error de Autora: el documento no fue firmado por el propietario de la clave pblica Error de Integridad: el documento fue modificado luego de la firma

Aqu se ve la utilidad extra de la firma digital sobre la firma tradicional, no slo comprueba la autora de la firma, sino que comprueba que el contenido firmado est igual que en el momento de la firma. El cambio de slo un carcter en una evolucin o de un solo pxel en una radiografa digital desencadenara en un HASH (o huella digital) diferente, por lo que la firma perdera validez.

Normativas de Implementacin
Queda claro, segn lo que vimos hasta ahora, que si un documento est firmado con una clave privada podemos comprobar la autora e integridad de la firma. De este concepto surgen algunas preguntas lgicas:

Cmo s que la clave pblica y, por ende, su par privado pertenecen a una persona determinada?
Sistemas de Informacin en los Sistemas de Salud . Introduccin a la Informtica Biomdica

16

Unidad 3 / Privacidad, Confidencialidad y Seguridad de los datos

HOSPITAL ITALIANO
de Buenos Aires

UNIDAD 3

Cmo s que el certificado que me muestra esa persona es vlido? Quin otorga las claves? Quin administra las claves pblicas?

Todo esto est contemplado en las normativas de implementacin de estos procesos. Los componentes de los procesos son los siguientes:

Certificados Digitales Autoridades Certificantes Ente Licenciante Cadena de Confianza

Para vincular una clave pblica con un individuo (o entidad) existen pequeos documentos digitales llamados certificados digitales. Estos dan fe de este vnculo y permiten verificar que una clave pblica especfica pertenece, efectivamente, a un individuo determinado. Los certificados ayudan a prevenir que alguien utilice una clave para hacerse pasar por otra persona. El certificado digital, en su forma ms simple, contiene una clave pblica y un nombre. Para garantizar que este certificado pueda ser ledo o escrito por cualquier aplicacin, su formato est definido por un estndar internacional. Los certificados digitales son emitidos por una Autoridad Certificante y cuentan con una fecha de expiracin, un nmero de serie y alguna otra informacin. Pero lo ms importante es que el certificado propiamente dicho est firmado digitalmente por el emisor del mismo. Para poder emitir certificados esta entidad tiene que ser un certificador licenciado, esto quiere decir que tiene que contar con la aprobacin del Ente Licenciante o de una Autoridad Certificante Superior. El Ente Licenciante es una organizacin que se encarga de licenciar a las Autoridades Certificantes, se lo llama tambin Autoridad Certificante Raz. Como vemos, existe una cadena de certificados, sta comienza con el certificado de clave pblica del autor del documento digital, y se denomina Cadena de Confianza. En la cspide de esta jerarqua de certificados, se tiene a una Autoridad Certificante de ms alto nivel, que es el Ente Licenciante, en la que se confa sin necesidad de ninguna otra certificacin probatoria. La cadena sigue con las autoridades certificantes involucradas, hasta la que otorg la clave pblica del autor. La comprobacin de la firma requiere la validacin de toda la cadena de certificados. Este sistema permite una administracin descentralizada de los certificados digitales.

Time Stamping
Un punto no cubierto hasta ahora es el control de la cronologa, es decir, podemos verificar quin firmo algo, y si mantuvo su integridad, pero no podemos saber cundo fue firmado. Para esto se usa la tcnica de Time Stamping certificado. Un servidor de Time Stamping certificado firma digitalmente un documento al que incluye la hora y fecha actual. La validez de esta hora y fecha estn respaldadas por la cadena de confianza de los certificados de la entidad que provee el servicio. Disponer de la fecha y hora confiable de la utilizacin de la firma, y por lo tanto del documento, provee una gran ventaja, ya que la validez de una firma puede estar determinada por el momento en que fue utilizada.

Firma Digital e Historia Clnica Electrnica

La aplicacin de la firma digital al registro mdico electrnico permite el cumplimiento de los requisitos bsicos para su legalidad:

Sistemas de Informacin en los Sistemas de Salud . Introduccin a la Informtica Biomdica

Unidad 3 / Privacidad, Confidencialidad y Seguridad de los datos

17

UNIDAD 3

HOSPITAL ITALIANO
de Buenos Aires

Que permita verificar la autora de su contenido Que permita verificar la secuencia cronolgica de sus entradas Que permita asegurar que no se modific el contenido con posterioridad al ingreso

En un registro electrnico se usa la firma digital para firmar, entre otros:

Evoluciones Indicaciones Frmacos Estudios Reportes de estudios complementarios Imgenes DICOM

Legislaciones para la Privacidad y Seguridad de la informacin en salud

La privacidad y seguridad de la informacin estn en las agendas legislativas de muchos pases. Las regulaciones legales surgen en forma de leyes, actas, artculos constitucionales, etc., e imponen responsabilidades a las instituciones que almacenan informacin personal y otorgan derechos a los individuos. En algunos pases hay regulaciones especficas para la informacin en salud, y en otros pases hay regulaciones generales donde la salud est incluida. Los datos sobre la salud de los individuos estn considerados dentro de los ms sensibles, o los de mayor impacto si se vulnera su privacidad. A continuacin veremos los casos de la Comunidad Europea, Estados Unidos de Norteamrica y los pases latinoamericanos.

Comunidad Europea
Varios pases miembros de la Unin Europea comenzaron la creacin de regulaciones propias sobre privacidad de la informacin. La posible incompatibilidad entre estas regulaciones podra generar que no se pueda enviar informacin de un pas a otro, ya que no se respetaran los mismos principios de privacidad. En 1995 la Unin Europea cre la Directiva 95/46/EC sobre la proteccin de datos personales para homogeneizar las legislaciones entre los pases miembros. La directiva es general, para cualquier tipo de dato personal, pero es ms estricta para datos sensibles, como los referentes al origen racial o tnico, ideologa, creencias religiosas o filosficas, afiliacin sindical, salud o vida sexual; y los registros mdicos suelen incluir todo el espectro de datos sensibles (11). La directiva cubre la informacin sobre cualquier persona identificable, es decir, que la informacin es personal cuando puede ser relacionada con una persona, de alguna manera. Por ejemplo:

El nmero de tarjeta de crdito es informacin personal. Una estadstica de incidencia de enfermedades, sin datos de pacientes, no es informacin personal. Un resumen de internacin o una historia clnica asignada a un paciente o a un nmero de afiliado son datos personales.
Sistemas de Informacin en los Sistemas de Salud . Introduccin a la Informtica Biomdica

18

Unidad 3 / Privacidad, Confidencialidad y Seguridad de los datos

HOSPITAL ITALIANO
de Buenos Aires

UNIDAD 3

La aplicacin y monitoreo de esta directiva se realiza en cada pas, a cargo de un controlador designado, y la directiva se aplica cada vez que la informacin se procesa (incluye su captura, almacenamiento, bsqueda, transferencia, comparacin, etc.) El procesamiento de estos datos se restringe de acuerdo con tres principios bsicos de esta directiva (12):
Requiere que el individuo tenga derecho a ser informado cuando sus datos van a ser procesados, que el controlador se identifique correctamente ante el individuo y que el individuo pueda acceder a sus datos, modificarlos o borrarlos. Requiere que los datos sean procesados slo para el propsito para el que fueron recogidos y que ste sea especfico, explcito y legtimo. Requiere que los datos sean procesados y mantenidos en una manera proporcional a los fines para los que fueron recolectados.

Transparencia Legtimo Propsito Proporcionalidad

Principios bsicos de la directiva europea

La directiva prohbe expresamente la exportacin de datos a pases donde no se cuente con leyes de proteccin de datos similares.

Estados Unidos de Norteamrica

En EE.UU. se cuenta con una regulacin especfica para el mbito de la salud, la Health Insurance Portability and Accountability Act o HIPPA. Esta regulacin es de cumplimiento obligatorio para mdicos, centros de salud y financiadores. Adems de contener normas sobre cobertura de desempleo o cambios de trabajo y normas sobre la transferencia de informacin, contiene reglas sobre la privacidad y la seguridad de la informacin en salud (13). Sus recomendaciones son muy detalladas y explcitas, lo que las hace muy tiles como ejemplos y guas de buena prctica en este tpico.

Informacin Protegida por HIPPA

La reglamentacin protege la siguiente informacin personal, ya que cualquiera de estos datos asociados a cualquier informacin permite su asignacin unvoca a una persona:
*Nombre *Direccin *Nombres de Familiares *Nombres de Empleadores *Correo Electrnico *Fax *Telfono *Fecha de Nacimiento *Huellas Digitales o de Voz *Fotos *Nmero de Seguro Social *Direccin IP *Nmero Identificador de Vehculo o Dispositivo *Nmero de Registro Mdico *Nmero de Afiliado a Financiador *Nmero de Cuenta Bancaria *Pgina Web *Cualquier otra caracterstica que permita una identificacin nica

Sistemas de Informacin en los Sistemas de Salud . Introduccin a la Informtica Biomdica

Unidad 3 / Privacidad, Confidencialidad y Seguridad de los datos

19

UNIDAD 3
Reglas de Privacidad de HIPPA

HOSPITAL ITALIANO
de Buenos Aires

Las siguientes reglas apuntan a delimitar las posibles acciones sobre la informacin de las personas (14):

Los individuos pueden acceder a sus registros y pedir modificaciones. Los individuos deben ser informados del uso que se le va a dar a su informacin. La informacin protegida no debe ser compartida ni utilizada para otros fines sin consentimiento del individuo. Los responsables deben documentar sus normas de privacidad y entrenar a su personal. La informacin protegida puede ser compartida sin requerir consentimiento para el tratamiento del paciente, para cobrar los servicios o para algunas tareas operativas.

Reglas de Seguridad de HIPPA

Estas reglas detallan las funciones de los responsables de bases de datos personales:

Asegurar la confidencialidad, integridad y disponibilidad de la informacin protegida ingresada o mantenida en el sistema. Proteger ante amenazas y riesgos razonablemente predecibles. Asegurar el cumplimiento por los empleados o sub-contratistas. Se organizan en tres reas Seguridad Administrativa. Seguridad Fsica. Seguridad Tcnica.

Con respecto a las medidas de Seguridad Administrativa los responsables de los datos deben proveer (15):

Entrenamiento de los empleados, incluyendo la designacin de un jefe de seguridad. Certificacin de cumplimiento de estndares. Establecimiento de una cadena de confianza con asociados. Establecimiento de polticas de auditora y documentacin. Establecimiento de procedimientos para cuando un empleado deja la institucin. Establecimiento de planes de contingencias.

Con respecto a las medidas de Seguridad Fsica los responsables deben asegurar (16):

Control de acceso fsico para el personal y visitantes. Normas para el uso de las estaciones de trabajo y seguridad fsica para las mismas. Normas para el uso de dispositivos porttiles y medios de almacenamiento, incluyendo: Desecho. Reutilizacin. Backup.

Con respecto a las medidas de Seguridad Tcnica los responsables deben establecer (17):

Polticas para el control del acceso a la informacin, incluso en emergencias.

Sistemas de Informacin en los Sistemas de Salud . Introduccin a la Informtica Biomdica

20

Unidad 3 / Privacidad, Confidencialidad y Seguridad de los datos

HOSPITAL ITALIANO
de Buenos Aires

UNIDAD 3

Polticas de control de integridad para evitar alteraciones o borrados de la informacin protegida. Uso de encriptacin en redes pblicas. Finalizacin automtica de sesin de usuario. Autenticacin por biometra, token, dispositivo, contrasea, etc. (se describe ms adelante) Alarmas y registros para auditoras de recorrido (Tracking).

Latinoamrica
En la regin latinoamericana los mecanismos de proteccin de datos se inspiran en la legislacin europea, incluso de la Directiva 95/46/EC. Un concepto comn en casi todos los pases de la regin es que las regulaciones se basen en el Habeas Data. La frase Habeas Data se traduce literalmente del latn como tienes derecho a tus datos: Es el principio por el cual todo individuo tiene derecho a conocer qu datos personales propios estn siendo almacenados por terceros, y a actualizarlos, modificarlos, o incluso borrarlos. La implementacin de este derecho implica la necesidad de registrar las bases de datos que contengan datos personales y designar responsables de cada una. Veamos en el siguiente cuadro el tratamiento que tuvo este tema en algunos de los pases de la regin, alcanzando en algunos el nivel de derecho constitucional, y en otros otorgado por leyes especficas:
*Constitucin Nacional 1994 (Art. 43) *Ley N 25.326 y de su Decreto Reglamentario 1.558/01 *Ley N 26.529 de 2009 *Constitucin Nacional 1998 (Art. LXXII y ms) *Ley N 9.507 *Ley N 19.628 sobre proteccin de la vida privada o proteccin de datos de carcter personal. *Constitucin Nacional (Art. 15) *Constitucin Nacional (Art. 2 y 97) *Ley N. 23.061 *Constitucin Nacional (Art. 135) *Ley N 1682 *Proyectada su inclusin en la prxima revisin de la constitucin nacional. *Ley N 17.838 sobre Proteccin de Datos Personales para ser utilizados en informes comerciales. *Ley N 18.331 de 2008 sobre Proteccin de Datos Personales y Accin de Habeas Data a la espera de promulgacin ejecutiva.

Argentina Brasil Chile Colombia Per Paraguay Venezuela Uruguay

Argentina
Veamos en ms detalle el ejemplo de la Repblica Argentina. Es el nico pas de la regin que sigue los parmetros establecidos por la Directiva Europea 95/46/CE. El concepto de proteccin de los datos personales se incluy en la ltima reforma de la Constitucin Nacional, en
Sistemas de Informacin en los Sistemas de Salud . Introduccin a la Informtica Biomdica

Unidad 3 / Privacidad, Confidencialidad y Seguridad de los datos

21

UNIDAD 3
1994. El articulo 43, tercer prrafo indica:

HOSPITAL ITALIANO
de Buenos Aires

Toda persona podr interponer esta accin para tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en registros o bancos de datos pblicos, o los privados destinados a proveer informes, y en caso de falsedad o discriminacin, para exigir la supresin, rectificacin, confidencialidad o actualizacin de aquellos. No podr afectarse el secreto de las fuentes de informacin periodstica. En el ao 2000 se promulg la ley N 25.326, posteriormente reglamentada en 2001 por el decreto 1558/2001. No haremos un anlisis exhaustivo de esta ley, pero remarcaremos los puntos que ms impactan en el sistema de salud. El Artculo 2 define el concepto de Datos Sensibles: Datos personales que revelan origen racial y tnico, opiniones polticas, convicciones religiosas, filosficas o morales, afiliacin sindical e informacin referente a la salud o a la vida sexual. El Artculo 7 define que:

Ninguna persona puede ser obligada a proporcionar datos sensibles. Los datos sensibles slo pueden ser recolectados y objeto de tratamiento cuando medien razones de inters general autorizadas por ley. Tambin podrn ser tratados con finalidades estadsticas o cientficas cuando no puedan ser identificados sus titulares.

El Artculo 8 se refiere especficamente a la salud, definiendo que los establecimientos sanitarios pblicos o privados y los profesionales vinculados a las ciencias de la salud pueden recolectar y tratar los datos personales relativos a la salud fsica o mental de los pacientes que acudan a los mismos o que estn o hubieren estado bajo tratamiento de aquellos, respetando los principios del secreto profesional. El Artculo 9 se refiere a los requerimientos de seguridad e integridad de los datos para los responsables de bases de datos personales. Establece la obligacin del responsable de contar con medidas tcnicas que garanticen la seguridad y la confidencialidad de los datos. Tambin establece la prohibicin de registrar datos personales en archivos, registros o bancos que no renan condiciones tcnicas de integridad y seguridad. Por otro lado en una disposicin de noviembre de 2003 se dispuso la habilitacin del Registro Nacional de Bases de Datos y se aprobaron sus bases tcnico-jurdicas. Este registro, incluido en la ley 25.326, fue implementado en febrero de 2005. Este registro es actualmente la nica forma lcita de mantener una base de datos personales en la Repblica Argentina. Mas Recientemente, a finales de 2009, se sancion la Ley 26.529: Derechos del Paciente, Historia Clnica y Consentimiento Informado, que si bien no ha sido sancionada an, reglamenta algunos aspectos fundamentales relacionados con la historia clnica y el acceso a la informacin, ya que consagra el derecho del paciente al acceso irrestricto a su historia clnica y a toda la informacin relacionada con su salud y posibles tratamientos teraputicos. Los puntos fundamentales de la misma son:

Derechos del Paciente: Asistencia, Trato Digno y Respetuoso, Intimidad, Confidencialidad,

Sistemas de Informacin en los Sistemas de Salud . Introduccin a la Informtica Biomdica

22

Unidad 3 / Privacidad, Confidencialidad y Seguridad de los datos

HOSPITAL ITALIANO
de Buenos Aires

UNIDAD 3

Autonoma de la Voluntad, Informacin Sanitaria e Interconsulta Mdica Consentimiento Informado: Definiendo al mismo como una declaracin de voluntad efectuada por el paciente, o sus representantes legales, emitida luego de recibir la correspondiente informacin clara, precisa y adecuada con respecto a: su estado de salud; el procedimiento propuesto, etc. Historia Clnica: la definie en su artculo 12 como el documento obligatorio cronolgico, foliado y completo en el que conste toda actuacin realizada al paciente por profesionales y auxiliares de la salud. Historia Clnica Electrnica: el artculo 13 habla sobre la Historia Clnica Informatizada, pero de forma muy poco especfica (que esperemos, ser enmendada en la reglamentacin, pendiente al momento de cerrar el presente material): El contenido de la historia clnica, puede confeccionarse en soporte magntico siempre que se arbitren todos los medios que aseguren la preservacin de su integridad, autenticidad, inalterabilidad, perdurabilidad y recuperabilidad de los datos contenidos en la misma en tiempo y forma. A tal fin, debe adoptarse el uso de accesos restringidos con claves de identificacin, medios no reescribibles de almacenamiento, control de modificacin de campos o cualquier otra tcnica idnea para asegurar su integridad. Y agrega: La reglamentacin establece la documentacin respaldatoria que deber conservarse y designa a los responsables que tendrn a su cargo la guarda de la misma. Otros artculos de esta ley hablan de soluciones para problemticas conocidas: Integridad, Unicidad e Inviolabilidad.

Uruguay
Existe reglamentada una Ley Nacional, la N 17.838, sobre Proteccin de Datos Personales y Habeas Data, con la salvedad que su finalidad es la utilizacin en informes comerciales, y en sus artculos habla de informacin puramente comercial. La misma fue promulgada en 2004. El 16 de Julio de 2008, la Cmara de Representantes de la Repblica Oriental del Uruguay aprob el proyecto de ley sobre Proteccin de Datos Personales y Accin de Habeas Data, previamente aprobada por el Senado, que el mismo ao fue promulgada por el Poder Ejecutivo.

Comentario Final sobre Privacidad y Seguridad

Siguiendo la tendencia mundial, es esperable que en el futuro aparezcan ms regulaciones internacionales, que permitan un intercambio seguro entre diferentes pases. La opinin pblica las percibe como algo positivo, pero en el momento de implementar sistemas de informacin en salud o implementar transferencias electrnicas de informacin pueden percibirse como obstculos burocrticos. Es necesario encontrar el balance que incluya la mejor seguridad y privacidad posible y un funcionamiento fluido de las organizaciones.

Conclusiones
Esta lectura de privacidad, confidencialidad y seguridad de la informacin en salud intenta resumir de cierto modo esta problemtica con algunos ejemplos documentados. Luego de definir los conceptos y dimensionar la situacin actual, revisamos qu medidas se estn tomando a nivel mundial para minimizar los riesgos. Incluimos tambin ejemplos de estrategias regionales para acercarnos ms a nuestra realidad. Seguimos con una serie de estrategias para proteger la seguridad, comenzando con las herramientas tecnolgicas
Sistemas de Informacin en los Sistemas de Salud . Introduccin a la Informtica Biomdica

Unidad 3 / Privacidad, Confidencialidad y Seguridad de los datos

23

UNIDAD 3

HOSPITAL ITALIANO
de Buenos Aires

que se utilizan a modo de proteccin, y ciertos obstculos y medidas ampliamente difundidos. Incluyendo algunas estrategias de optimizacin de los procesos asistenciales y no asistenciales de las instituciones de salud, hablando de gestin de usuarios, control de accesos, log-in nico, que estn logrando convertirse en estndares de seguridad en los sistemas de informacin. Luego, presentamos una herramienta que comienza a surgir para dar ciertas garantas de identidad y autenticidad de la informacin, y que posiblemente en un futuro sea parte de muchos sistemas de comunicacin y aplicaciones electrnicas: la firma digital. El marco legal sobre la proteccin de la informacin de las personas comienza a tomar forma en nuestra regin, razn por la cual decidimos incluir un breve resumen de lo que sucede principalmente en Argentina y en otros pases latinoamericanos.

24

Sistemas de Informacin en los Sistemas de Salud . Introduccin a la Informtica Biomdica

Unidad 3 / Privacidad, Confidencialidad y Seguridad de los datos

HOSPITAL ITALIANO
de Buenos Aires

UNIDAD 3

Referencias Bibliogrficas
1. 2. 3. 4. 5. Rindfleisch TC. Privacy, information technology, and health care. Commun ACM. 1997;40(8):92-100. Chin T. Searchers may Google your patient records. American Medical News. 2003 April 7, 2003. Chin T. Computer hackers access 7,000 patient files. American Medical News. 2003 March 24/31, 2003. Chin T. Security breach: Hacker gets medical records. American Medical News. 2001 Jan. 29, 2001. Harris Interactive. Health Information Privacy (HIPAA) Notices Have Improved Publics Confidence That Their Medical information Is Being Handled Properly. 2005 [Marzo 2009]; Available from: http://www.harrisinteractive.com/news/allnewsbydate.asp?NewsID=894. Sweeney L. k-anonymity: a model for protecting privacy. Int J Uncertain Fuzziness Knowl-Based Syst. 2002;10(5):557-70. Institute of Medicine. Committee on Improving the Patient Record., Dick RS, Steen EB. The computerbased patient record : an essential technology for health care. Washington, D.C.: National Academy Press; 1991. Annimo. For the Record: Protecting Electronic Health Information. Washington, DC: National Academy Press; 1997. Subsecretara de Gestion Pblica. Proyecto Firma Digital de la Repblica Argentina2001 Marzo 2008. Gonzlez Bernaldo de Quiros F, editor. Interoperability and Security: Design and Development of a Clinical Documents Repository Digitally Signed using CDA Standard. Medinfo 2007; 2007; Brisbane, Australia: IOS Press. Beyleveld D, Townend DM. When is personal data rendered anonymous? Interpreting Recital 26 of Directive 95/46/EC. Med Law Int. 2004;6(2):73-86. Dierks C. Legal and social implications of health telematics in the EU. Stud Health Technol Inform. 2003;96:143-8. HIPAA and Its Legal Implications for Health Care Information Technology, (2004). Lo B, Dornbrand L, Dubler NN. HIPAA and patient care: the role for professional judgment. JAMA. 2005 Apr 13;293(14):1766-71. Centers for Medicare & Medicaid Services (CMS) HHS. HIPAA administrative simplification: National Plan and Provider Enumeration System Data Dissemination. Notice. Fed Regist. 2007 May 30;72(103):30011-4. Physical security and HIPAA compliance: what two leading health systems are doing. Hosp Secur Saf Manage. 2002 Mar;22(11):1-3. Fodor J. HIPAA and the EHR: making technical safeguard changes. J AHIMA. 2004 Jan;75(1):54-5; quiz 61-2.

6. 7.

8. 9. 10.

11. 12. 13. 14. 15. 16. 17.

Sistemas de Informacin en los Sistemas de Salud . Introduccin a la Informtica Biomdica

Unidad 3 / Privacidad, Confidencialidad y Seguridad de los datos

25