Es noticia muy reciente que la ASL 1 Avezzano Sulmona L'Aquila, en Italia, ha sido víctima de un ataque por parte de un grupo de hackers que, al parecer, lograron introducir en el sistema informático de la autoridad sanitaria un sofisticado ransomware diseñado para cifrar con el fin de exigir el pago en bitcoin para proporcionar las herramientas de descifrado.
Al parecer, también se produjo una extracción de los datos contenidos en los archivos sanitarios gestionados por la autoridad de salud, ya que se publicaron en la "dark web" más de 389 gigabytes de datos posiblemente atribuibles a ASL 1 Abruzzo (en el momento de redactar este informe, este último dato se está investigando actualmente). La Autoridad Garante, tras recibir la notificación de la violación de datos el 5 de mayo de 2023 (realizada en virtud del artículo 33 del Reglamento por la propia ASL), abrió un procedimiento de investigación y ordenó a ASL 1 que notificara en un plazo de 15 días la violación a cada uno de los sujetos cuyos datos fueron objeto del ciberataque, ya que la violación supone un alto riesgo para los derechos y libertades de las personas físicas debido al potencial compromiso de los datos personales en virtud de los artículos 6, 9 y 10 del Reglamento 679/2016 Italiano.
Medida de 8 de junio de 2023: Es evidente que el procedimiento iniciado no ha concluido. La Autoridad Garante continuará su investigación, al igual que la Autoridad Judicial en colaboración con los órganos policiales implicados, cada uno en su respectivo ámbito de competencias. El Garante, en el caso que nos ocupa, recordó en un comunicado emitido el 18 de mayo que la descarga de datos o bases de datos de la dark web rastreables en conductas ilícitas constituye tanto una infracción administrativa como un delito, previsto, entre otros, en el artículo 167 del Código de Privacidad, es decir, en el Decreto Legislativo 196/2003 modificado por el Decreto Legislativo italiano 101/2018. El hecho ocurrido evidentemente tuvo una alta cobertura mediática. El ataque hacker en realidad es sólo uno de los muchos riesgos de protección de datos en el sector de la salud pública y privada, donde el riesgo de tratamiento ilícito, pérdida y uso compartido no autorizado de datos de salud contenidos en historias clínicas y archivos electrónicos de salud es muy alto sin ni siquiera tener que llamar a hackers fantasmas.
Acudir a un abogado especializado puede ser fundamental para exigir sus derechos y cumplir con sus deberes.
Los dictámenes de la Autoridad Garante de la protección de datos personales
En el pasado reciente, bajo el lente de la Autoridad Garante de la protección de datos personales, varios registros electrónicos de salud gestionados por las autoridades sanitarias han sido objeto de inspección, en los mismos, se ha puesto de manifiesto que la gestión se llevó a cabo sin prever la debida protección de los datos personales, de modo que, de hecho, los datos especiales de los pacientes podrían (y de hecho habían sido) objeto de una intervención indebida por parte de personas no autorizadas, incluidas personas ajenas a la empresa. Al final de la inspección, se puso de manifiesto que las empresas no habían establecido los procedimientos adecuados para la correcta gestión del tratamiento, de modo que los accesos abusivos habían sido realizados por personas que no habían participado en el proceso de tratamiento, o se había activado el fichero de salud para todos los pacientes de la empresa a pesar de que las personas afectadas habían negado expresamente su consentimiento para el uso del fichero o nunca lo habían dado. Los procedimientos analizados concluyeron con requerimientos de cumplimiento, que en un caso afectaron también al proveedor de la arquitectura informática, así como con la imposición de sanciones por importe de varias decenas de miles de euros (de 40.000 a 70.000 euros).
Medida de 26 de mayo de 2022
Como es bien sabido, el Reglamento General de Protección de Datos (más conocido por sus siglas en inglés GDPR o Reglamento UE 2016/679) ha especificado que: "A diferencia del pasado, por tanto, el profesional sanitario, sujeto al secreto profesional, ya no tiene que solicitar el consentimiento del paciente para el tratamiento necesario para la prestación sanitaria solicitada por el interesado, con independencia de que actúe como autónomo (en una consulta médica) o dentro de un centro sanitario público o privado."
Disposición italiana nº 55/2019 - Aclaraciones sobre la aplicación de las normas para el tratamiento de datos relativos a la salud en el sector sanitario.
Por lo tanto, si una persona solicita asistencia médica, no es necesario obtener su consentimiento ya que el tratamiento es instrumental para que el profesional de la salud pueda prestar el servicio médico y brindar el tratamiento adecuado. Por lo general, los datos se introducen en una historia clínica que se estructura de acuerdo con el Decreto Presidencial 128/69 y podemos definirla como un instrumento que describe, de acuerdo con las normas definidas por el Ministerio de Sanidad, un único episodio de hospitalización de la persona en cuestión.
Esto no significa que los datos, una vez que han entrado en la esfera de la organización sanitaria pública o privada, puedan tratarse con liberalidad. En primer lugar, la empresa debe aplicar todas las medidas necesarias para garantizar que los datos se tratan de conformidad con los principios establecidos en el artículo 5 del Reglamento 2016/679 y, con independencia del consentimiento, la empresa y/o el profesional deben proporcionar información adecuada de conformidad con el artículo 13 y, en caso necesario, el artículo 14 del RGPD sobre cómo se van a gestionar los datos personales. Los datos sólo podrán ser gestionados para la única finalidad indicada, es decir, la de diagnóstico y tratamiento en relación con el servicio sanitario solicitado.
Expediente sanitario del paciente
En caso de que la empresa y/o el profesional sanitario decidan crear, por ejemplo, un expediente en el que incluir toda la información sanitaria, el historial médico, las intervenciones y el tratamiento administrado al paciente, los requisitos cambian de forma decisiva. Los fines del tratamiento, de hecho, cambian y ya no entran en el ámbito de aplicación de la disposición antes mencionada con arreglo al artículo 9, apartado 2, letra h), del RGPD. Por tanto, la creación de la historia clínica de un paciente debe ser autorizada por el paciente/interesado, que debe dar su consentimiento expreso, ya que constituye un tratamiento facultativo, en comparación con el que lleva a cabo el profesional sanitario con la información adquirida durante el tratamiento del evento clínico individual. No sólo eso, deben existir instrumentos estrictos para garantizar que sólo el personal autorizado por el paciente tenga acceso al expediente.
Esto significa que si el interesado no consiente el tratamiento de sus datos personales mediante la historia clínica, el profesional que le atienda sólo podrá tener acceso a la información facilitada por el interesado y a la relativa a los servicios anteriores que le haya prestado.
Del mismo modo, en tal circunstancia, deben establecerse procedimientos que permitan el acceso a la información al personal sanitario del departamento o ambulatorio y a la información relativa al episodio por el que el interesado ha acudido a dicho centro y a otra información relativa a los servicios sanitarios prestados en el pasado a esa persona por dicho departamento (el denominado acceso a las aplicaciones verticales departamentales). Y esto también es válido en caso de retirada posterior del consentimiento por parte del interesado. En este caso, la Historia Clínica puede dejar de aplicarse y la información que contiene puede ser consultada por los profesionales que la elaboraron, pero no por otros profesionales de otros departamentos, aunque vayan a atender al interesado.
Lo que se ha resumido anteriormente está bien explicado por la Autoridad Garante, que en el curso de 2015 publicó las Directrices sobre el tema del Dossier de Salud - 4 de junio de 2015, en el que se identificó un marco inicial de precauciones para delinear las garantías y responsabilidades específicas, así como las medidas y expedientes necesarios y apropiados que deben establecerse para garantizar a los ciudadanos, en relación con el tratamiento de los datos de salud que les conciernen aplicables hasta la fecha (Artículo 22, párrafo 4, Decreto Legislativo N ° 101/2018).
Parece evidente cómo la creación de un Dossier de Salud para cada paciente debe seguir reglas muy precisas; por lo tanto, la arquitectura de TI debe ser capaz de cumplir con estos requisitos de privacidad por diseño desde el momento de su creación. Del mismo modo, deben preverse modelos de privacidad organizativos adecuados.
Esto se aplica tanto al sector público como al privado, tanto a las empresas sanitarias como a los consultorios médicos y clínicas privadas, es un cumplimiento necesario para proteger los derechos del interesado a fin de evitar que los datos de los pacientes se traten sin prever las consecuencias, a menudo graves, en perjuicio de sus pacientes.
Artículo original en: https://www.consulcesiandpartners.it/news/dossier-sanitario-attenzione-rischio-data-breach/
Giambrone & Partners es un bufete de abogados internacional con oficinas en Barcelona, Munich, Londres, Milán, Roma, Gran Canaria, Tunez, Palermo, Porto, Napoli y Sassari. Para cualquier información o asesoramiento sobre su caso particular, póngase en contacto con nosotros en los siguientes números de teléfono:
Oficina de Barcelona: +34 932 201 627
Oficina de Madrid: +34 932 201 627
Oficina de Milano: +39 02 9475 4184
Oficina de Roma: +39 06326498
Oficina de Palermo: +39091743 4778
Oficina de Sassari: +39 0799220012
Oficina de Lyon: +33481061385
O bien en el correo electrónico: info@giambronelaw.com