Empresas > Sanidad privada

La sanidad privada aboga por una cultura de ciberseguridad reforzada

La figura del delegado de Protección de Datos (DPO) se revela como uno de los profesionales clave para el sector

Luis Mendicuti, secretario general de ASPE, clausura la jornada 'Protección de Datos y Ciberseguridad en la Sanidad Privada: Avances y Estrategias'.

15 mar 2024. 16.50H
SE LEE EN 6 minutos
La protección de datos en el ámbito sanitario es fundamental para garantizar la confidencialidad, integridad y disponibilidad de la información médica de los pacientes. Salvaguardar estos datos no solo protege la privacidad individual, sino que también preserva la confianza en el sistema de salud en su conjunto. En un mundo cada vez más digitalizado, donde la tecnología desempeña un papel central en la atención médica, la seguridad de los datos se convierte así en un pilar esencial para las empresas del sector sanitario. Sobre los desafíos y retos con los que se encuentran los responsables de la ciberseguridad en el sector han reflexionado diversos expertos, tanto de la sanidad privada como de organismos públicos, en la Jornada sobre 'Protección de Datos y Ciberseguridad en la Sanidad Privada: Avances y Estrategias', organizada ayer por ASPE.

La primera ponencia de la jornada ha corrido a cargo de Iñigo de Miguel Beriain, vocal de la Asociación Española de Derecho Sanitario e investigador en la Universidad del País Vasco, quien ha expuesto las recomendaciones de la Asociación en el marco del Espacio Europeo de Datos de Salud, el ecosistema específico para la salud diseñado por la Unión Europea para, por un lado, promover que las personas puedan tener un mayor control y acceso digital a sus datos sanitarios y, por otro, que estos puedan circular libremente  fomentando un auténtico mercado único para los sistemas de historiales médicos electrónicos, los productos sanitarios pertinentes y los sistemas de IA de alto riesgo.

De Miguel confía en que en los próximos meses las instituciones de la Unión Europea "culminen la regulación de un verdadero Espacio Europeo de Datos Sanitarios, cuya aprobación resulta tan necesaria como impostergable". Asimismo, el experto ha instado a que, desde las instituciones de la Unión Europea y de los Estados miembros, se desarrollen políticas de formación e información, "que promuevan entre los ciudadanos las ventajas de compartir los datos, despejen falsos temores y permitan construir una verdadera cultura basada en que los datos salvan vidas". En este sentido, de Miguel considera que "la participación a estos efectos de los pacientes y sus asociaciones será indispensable".


Papel del Delegado de Protección de Datos


La segunda mesa de debate ha tenido como tema central el papel destacado del Delegado de Protección de Datos (DPO) dentro de las empresas del sector sanitario, con la moderación de Josep Bardallo, CISO y DPO en Grupo Hospitalario Recoletas. En ella, han participado José Manuel Beltrán, CISO en Hermanas Hospitalarias; María de la Rica, DPO en Viamed Salud; y Juan Díez González, responsable de Ciberseguridad para sectores Sanitario, Alimentario y de Investigación en Incibe.

Todos ellos han coincidido en destacar el rol fundamental de este especialista que "debe estar muy cerca de la Dirección y ser un profesional muy visible para todos los empleados, entre los que se debe potenciar una gran confianza hacia el DPO".  Asimismo, han destacado la "necesidad de que exista una comunicación muy fluida y mucha coordinación entre el DPO y todas las áreas de la empresa, ya que al final se trata de crear una cultura corporativa y una concienciación sólida sobre la importancia de la ciberseguridad".

Posteriormente, ha sido el turno de Christophe Rua, arquitecto de Soluciones en SecurityScorecard, quien ha puesto el acento sobre la importancia para las empresas de gestionar adecuadamente el riesgo de los proveedores en el contexto de la protección de datos. En este sentido, el experto insta a establecer un proceso de gestión de proveedores, alineado a la estrategia del negocio y hacer inventario, al menos dos veces al año, de los proveedores, definiendo su criticidad e impacto. Asimismo, Rua resalta la importancia de monitorear en detalle a los proveedores críticos y establecer procesos de gestión de la superficie de ataque, esto es de la suma de vulnerabilidades, vías o métodos que los hackers pueden utilizar para obtener acceso no autorizado a la red o a datos confidenciales.

El experto ha señalado también que 2023 ha sido el año con mayor número de ciberataques en la industria, suponiendo pérdidas de más de 10 millones de euros, además de perjuicio para los pacientes y pérdida de confianza y reputación para las empresas afectadas.

La última mesa de la Jornada ha estado dedicada al uso de la Inteligencia Artificial y el uso de datos biométricos en el ámbito sanitaria, en la que han participado Andrea Camps, miembro del Comité de DPO del Consejo General de Colegios Oficiales de Médicos de España; Patricia Muleiro, DPO y Compliance Officer en Clínica Universidad de Navarra; Ricardo de Lorenzo, DPO en HM Hospitales; y Manuel del Palacio, DPO en Eurofins Megalab.

Los especialistas estuvieron de acuerdo en el exceso de celo que está mostrando la Agencia Española de Protección de Datos en cuanto a la prohibición de la utilización de datos biométricos por parte de las empresas, yendo más allá de las limitaciones que pone Europa y retirando la validez del consentimiento explícito. Los expertos han coincidido en el importante perjuicio que ha ocasionado a las empresas el cambio de criterio y la obligación de retirar los sistemas de biometría que ya tenían instalados.

Necesidad de definir a la IA


No obstante, Andrea Camps llamaba la atención sobre la necesidad de evaluar también si se estaban adoptando sistemas “demasiado invasivos por moda sin existir una verdadera necesidad, pudiendo lograr el mismo objetivo por otros métodos teniendo en cuenta el principio de proporcionalidad”.

En lo referente al uso de Inteligencia Artificial, todos los ponentes coincidieron en su llamada a la prudencia, en la necesidad de definir bien qué es la IA y en el imperativo de regular exhaustivamente los riesgos que comporta su utilización en el ámbito sanitario, donde se trabaja con datos especialmente sensibles.

El evento ha sido clausurado por Luis Mendicuti, secretario general de ASPE, quien ha puesto en valor la labor de la patronal de provisión sanitaria en la creación de foros que impulsen el debate y la reflexión sobre asuntos que afectan de manera profunda al ámbito sanitario, como es el de la ciberseguridad y el tratamiento de los datos, y que permitan avanzar en el desarrollo de vías y herramientas que permitan dar respuesta a los desafíos que enfrenta el sector.

Aunque pueda contener afirmaciones, datos o apuntes procedentes de instituciones o profesionales sanitarios, la información contenida en Redacción Médica está editada y elaborada por periodistas. Recomendamos al lector que cualquier duda relacionada con la salud sea consultada con un profesional del ámbito sanitario.