Tratas datos relativos á saúde?
Sen criptografía, incumpres a LOPD
Se traballas na Sanidade ou es terapeuta, o cumprimento da lexislación en materia de protección de datos exíxeche implementar medidas técnicas de cifrado da información. Debes ter coidado, porque algúns servizos din que “che arranxan o da protección de datos” simplemente dándoche uns formularios de consentimento para os pacientes e un textiño para a páxina web, pero iso non é suficiente (por non dicir, directamente, que é unha estafa). Tamén é frecuente pensar que “cifrar” é simplemente protexer o teu computador con unha clave de acceso. Se estás nunha destas situacións, continúa a ler: a situación é grave, pero a solución é facil.
Tanto o RXPD como a LOPD-GDD son claros: os datos relativos á saúde ou á vida sexual das persoas pertencen a unha categoría especial que a lei só permite tratar co nível de protección mais alto. A criptografía é citada como a primeira das “medidas técnicas e organizativas apropiadas para garantir un nível de seguranza adecuado ao risco”, que por definición é máximo cando os datos pertencen a algunha das categorías especiais do Artigo 9 do RXPD. Pola sua banda, a Axencia Española de Protección de Datos (que ten o sector da Sanidade como un dos principais obxectivos das suas inspeccións e sancións), insiste en que o cifrado non debe utilizarse unicamente para a conservación dos datos, senon tamén -e moi especialmente- para a sua comunicación através da internet con outros profesionais, con administracións ou cos propios pacientes. Neste sentido, no seu Plan de Inspección de Oficio da Atención Sociosanitaria , a AEPD destacaba os incumprimentos a este respeito, e insistia en que “para o envío por redes públicas destas tipoloxías de datos, deberíanse establecer canais de comunicación seguros como o correo electrónico cifrado”. Mais recentemente, a mesma Axencia publicou unha Guia para Profesionais do Sector Sanitario, na que insiste en que vai contra a lei “enviar información sanitaria mediante correos electrónicos ou redes públicas abiertas, salvo que os datos estexan cifrados”.
“É contrario á Lei enviar información sanitaria mediante correos electrónicos ou redes públicas abertas, salvo que os datos estexan cifrados” – AEPD
Mais, que quere dicir exactamente cifrar ou encriptar? A criptografía é un procedimento matemático mediante o cual os datos contidos nun arquivo dixital son completamente alterados, convertidos en texto aleatorio e sen significado, e imposíbeis de devolver ao seu estado orixinal sen unha chave concreta e única. Por iso dicimos que cifrar non é simplemente protexer con un contrasinal. O equivalente analóxico a protexer un documento con contrasinal sería guardalo nun caixón pechado con chave: quen rebente a pechadura, ou roube a caixoneira, terá acceso ao documento. Cifralo, en cambio, sería como reescribir ese documento cambiando cada letra por un número ou un símbolo aparentemente aleatorio. É o que facían antes os espías e os exércitos para enviarse mensaxes indescifrábeis. Por sorte, hoxe esa tecnoloxía está ao acceso de todos, e o cifrado e descifrado de arquivos leva fraccións de segundo.
Enviar calquera cousa por internet é bastante parecido a pedirlle ao primeiro que pase pola rua que nos leve un paquete a un destino. Guardar documentos “na nube” é, na verdade, armacenalos na casa de un descoñecido. Desde o teu computador ate a tua conta de Gmail, o teu whatsapp ou o teu Google Drive, a información viaxa por inumerábeis redes e dispositivos, e unha vez ali é custodiada por empresas que, en moitos casos, viven precisamente de analizar o seu contido. Por iso é fundamental que a criptografía protexa os datos de pacientes que confían información sensíbel sobre a sua saúde unicamente aos profesionais que os tratan, e non a data brokers ou piratas informáticos.
En Privacidade.info queremos axudarte a implementar esa parte tecnolóxica da Protección de Datos que é absolutamente imprescindíbel para quen traballa con información sobre a saúde das persoas. Sen custos adicionais de software (pois recomendamos programas de código aberto e licencia gratuíta), ensinámoste a utilizar ferramentas simples que implementan na tua empresa os estándares criptográficos mais robustos. Sexa cal sexa a túa relación coa informática, aprenderás a xestionar claves criptográficas, e cifrar datos localmente, no correo e na nube, coa mesma facilidade coa que envías un e-mail.
Cumplirás coa lexislación en protección de datos, e poderás dar aos teus pacientes a confianza e a seguridade de que os seus datos mais sensíbeis unicamente serán accesíbeis para os profesionais que eles consintan.