Protección de Datos y Ciberseguridad en el Sector Salud en Chile: Un Imperativo Urgente

En un mundo cada vez más digitalizado, la protección de la información sensible se ha convertido en una prioridad para todos los sectores, pero muy especialmente para el de la salud. En Chile, las Leyes 21.663, conocida como la Ley Marco de Ciberseguridad, y 19.628, la Ley de Protección de la Vida Privada, trazan un marco normativo crucial para salvaguardar los datos personales de los pacientes. Estas leyes no son solo directrices regulatorias; son herramientas que permiten a los prestadores de salud garantizar la privacidad y seguridad de la información médica, reforzando la confianza en el sistema de salud.

Contexto y Relevancia de las Leyes

La Ley 21.663 fue promulgada para fortalecer la ciberseguridad en sectores críticos, como el de la salud, reconociendo que este ámbito maneja información extremadamente sensible que, en malas manos, podría poner en riesgo la integridad y el bienestar de los pacientes. Esta ley establece que las instituciones de salud, tanto públicas como privadas, están categorizadas como servicios esenciales, lo que las obliga a adoptar medidas preventivas, de detección y correctivas para proteger sus sistemas contra ciberataques.

Por otro lado, la Ley 19.628, vigente desde hace más de dos décadas, proporciona las bases para la protección de datos personales en Chile. Define claramente qué es un dato personal y, aún más relevante para el sector salud, clasifica la información sobre el estado de salud como un dato sensible, lo cual implica que debe ser tratado con el máximo nivel de confidencialidad y seguridad posible.

Los Prestadores de Salud como Servicios Esenciales

Bajo la Ley 21.663, los prestadores de salud —incluidos hospitales, clínicas, consultorios y centros médicos— son reconocidos como servicios esenciales. Este estatus implica una serie de responsabilidades específicas: implementar medidas de seguridad para prevenir y responder a incidentes de ciberseguridad, alinearse con los protocolos de la Agencia Nacional de Ciberseguridad (ANCI), y reportar incidentes conforme a las normativas establecidas.

Esto no es un simple cumplimiento normativo; es una responsabilidad con impacto directo en la salud y la seguridad de los ciudadanos. La confidencialidad de una historia clínica o de resultados de exámenes no solo protege la privacidad del paciente, sino que también asegura la calidad del tratamiento y el bienestar general del individuo.

Protección de Datos Sensibles: Un Pilar Fundamental

La información sobre la salud de una persona no es solo un dato; es una pieza fundamental de su identidad que, si se manipula incorrectamente, puede tener consecuencias graves. La Ley 19.628 establece que los prestadores de salud deben proteger con rigor esta información sensible, adoptando medidas específicas como el cifrado de datos y el control de acceso a la información, para que solo el personal autorizado pueda acceder a ella.

Más allá del cumplimiento legal, proteger estos datos es esencial para mantener la confianza de los pacientes en un mundo donde las brechas de seguridad se vuelven cada vez más comunes y peligrosas. De hecho, en el contexto de la transformación digital, el sector salud se ha convertido en un objetivo importante para los ciberataques. Según los datos más recientes del informe "Advancing Digital Transformation in a Time of Unprecedented Cybersecurity Risk | Manufacturers Alliance®", en colaboración con Fortinet, la proporción de ciberataques por Industria entre el 2018 y el 2022 indica que más del 5% de los ciberataques en 2022 afectaron al sector salud.

Esta cifra subraya la vulnerabilidad del sistema de salud frente a las amenazas cibernéticas y la necesidad urgente de fortalecer las medidas de protección. El aumento de ataques a este sector está relacionado con la gran cantidad de datos sensibles que maneja, los cuales son altamente valiosos en el mercado negro digital y pueden ser utilizados para el fraude y el robo de identidad.

Es crucial que los prestadores de salud informen a los pacientes sobre sus derechos respecto a sus datos personales, incluyendo su derecho a consentir el uso de sus datos y a saber cómo se manejan. Además, al estar conscientes de estas amenazas crecientes, los prestadores de salud pueden tomar decisiones informadas sobre cómo implementar tecnologías y políticas de seguridad que refuercen la protección de la información sensible.

Esta realidad exige que el sector salud no solo cumpla con las normativas establecidas por la Ley 19.628, sino que también adopte una postura proactiva para asegurar la confidencialidad y la integridad de los datos de sus pacientes frente a las crecientes amenazas cibernéticas.

Fuente: X-Force Threat Intelligence Index 2023

Dispositivos Médicos Conectados y su Protección en el Marco Legal

En la actualidad, los dispositivos médicos en los prestadores de salud han evolucionado significativamente gracias a su capacidad de estar conectados en red, lo que ha dado origen al concepto de Internet de las Cosas Médicas (IMoT, por sus siglas en inglés). Esta conectividad permite que dispositivos como monitores de signos vitales, bombas de infusión, sistemas de imágenes médicas y ventiladores mecánicos interactúen entre sí y con sistemas de gestión hospitalaria, facilitando una atención más precisa, eficiente y en tiempo real.

Estos dispositivos médicos no solo recopilan y procesan datos críticos sobre la salud de los pacientes, sino que también los transmiten a través de redes internas y externas para su análisis, almacenamiento o para apoyar decisiones clínicas. Debido a esta integración y flujo constante de datos sensibles, garantizar la protección de estas redes se vuelve una parte esencial del cumplimiento de las Leyes 21.663 y 19.628.

Algunos Dispositivos Médicos Comunes en Red y su Interacción

1. Monitores de Signos Vitales: Estos dispositivos miden continuamente parámetros críticos como la presión arterial, el ritmo cardíaco, la saturación de oxígeno y la temperatura del paciente. Están conectados a sistemas centrales de monitoreo en las salas de emergencia o unidades de cuidados intensivos, lo que permite que el personal médico reciba alertas inmediatas si se detectan cambios fuera de los rangos normales. Los datos recopilados se transmiten en tiempo real a las historias clínicas electrónicas del paciente, facilitando un seguimiento preciso y continuo.

2. Bombas de Infusión Inteligentes: Utilizadas para administrar medicamentos y fluidos de manera controlada, estas bombas están integradas a la red del hospital y se comunican con sistemas de prescripción electrónica y bases de datos de fármacos. Esta conectividad ayuda a ajustar las dosis automáticamente, según los parámetros médicos establecidos para cada paciente, reduciendo así el riesgo de errores en la administración de medicamentos.

3. Ventiladores Mecánicos: Estos dispositivos son fundamentales en el tratamiento de pacientes que requieren asistencia respiratoria. Los ventiladores modernos están equipados con sensores que transmiten datos sobre los patrones de respiración del paciente a los sistemas centrales de monitoreo y a los médicos encargados, quienes pueden realizar ajustes remotos y en tiempo real para optimizar el soporte ventilatorio.

4. Sistemas de Imágenes Médicas (como resonancias magnéticas y tomografías computarizadas): Estos dispositivos generan grandes volúmenes de datos que necesitan ser analizados y compartidos rápidamente con diferentes departamentos, como radiología, cardiología y cirugía. La integración de estos sistemas en la red permite un acceso más ágil a las imágenes y facilita la colaboración entre los profesionales de salud, reduciendo el tiempo de diagnóstico y tratamiento.

Claroty - Protegiendo los Sistemas Ciberfísicos (CPS) en la Red de Salud Moderna

La Importancia de Proteger las Redes IMoT

La protección de las redes que conectan estos dispositivos médicos no es solo una buena práctica; es un requisito legal bajo el marco de las Leyes 21.663 y 19.628. La Ley 21.663 obliga a los prestadores de salud a implementar medidas de ciberseguridad que garanticen la integridad, confidencialidad y disponibilidad de los sistemas informáticos y los datos que trafican. Esto incluye la seguridad de las redes donde se encuentran integrados los dispositivos IMoT, ya que una brecha en estos sistemas podría comprometer la información sensible del paciente y poner en riesgo su vida.

Además, la Ley 19.628 refuerza la necesidad de salvaguardar los datos personales transmitidos a través de estas redes. Los datos generados y compartidos por los dispositivos IMoT se consideran altamente sensibles y, por lo tanto, deben manejarse con un nivel de protección acorde a su valor e importancia. El incumplimiento en la gestión adecuada de estos datos puede resultar en sanciones legales, así como en la pérdida de confianza de los pacientes hacia el sistema de salud.

Interconexión y Desafíos de Seguridad

La interconexión de estos dispositivos médicos ofrece grandes beneficios para el tratamiento y la gestión de la salud, pero también plantea desafíos importantes en términos de ciberseguridad. Al estar conectados a través de redes hospitalarias que, en algunos casos, también se vinculan a Internet, estos dispositivos se convierten en posibles puntos de entrada para ciberataques que buscan acceder a la información del paciente o interrumpir el funcionamiento del equipo médico.

Para proteger estas redes, es crucial que los prestadores de salud implementen medidas robustas como el cifrado de datos, controles de acceso, segmentación de redes, y la utilización de soluciones de detección de intrusiones que puedan identificar y neutralizar amenazas en tiempo real. Además, la capacitación continua del personal en ciberhigiene y prácticas de seguridad es fundamental para reducir el riesgo de ataques y para responder rápidamente en caso de incidentes.

Un Compromiso con la Seguridad del Paciente

La protección de las redes que soportan el Internet de las Cosas Médicas es una responsabilidad compartida entre las instituciones de salud, los profesionales médicos y los responsables de la seguridad cibernética. Al cumplir con las disposiciones establecidas por las Leyes 21.663 y 19.628, los prestadores de salud no solo se alinean con los requisitos legales, sino que también demuestran un compromiso con la seguridad y el bienestar de sus pacientes. Es imperativo que estas medidas se integren de manera proactiva y que todos los actores involucrados mantengan un enfoque continuo en mejorar la seguridad cibernética de las infraestructuras médicas.

Desafíos y Oportunidades para el Sector Salud

Uno de los mayores desafíos que enfrenta el sector salud en Chile es el de adaptarse a este marco regulatorio robusto. La Ley 21.663 requiere que los prestadores de servicios esenciales implementen un sistema de gestión de seguridad de la información que identifique y gestione los riesgos cibernéticos de forma continua. Esto implica un esfuerzo significativo en términos de recursos económicos, humanos y tecnológicos.

Sin embargo, más allá del reto, esta ley ofrece una oportunidad invaluable para elevar los estándares de seguridad en el sector. Al adoptar estas medidas, las instituciones no solo se protegen contra potenciales ciberataques, sino que también mejoran la calidad de sus servicios, ganan la confianza del público y se posicionan como líderes en la protección de la privacidad de los datos.

La Armonización entre ambas leyes

La convergencia de ambas leyes implica que la ciberseguridad y la protección de datos no pueden verse como áreas separadas, sino como una estrategia integrada para la protección del paciente. Mientras que la Ley 21.663 se enfoca en las medidas técnicas y de respuesta ante incidentes, la Ley 19.628 establece la necesidad de obtener el consentimiento informado del paciente y garantizar la transparencia sobre cómo se utilizan sus datos.

Implementar una estrategia de seguridad que contemple ambas leyes no es solo una cuestión de regulación, sino un compromiso ético con los pacientes. Los prestadores de salud deben limitar la recolección y uso de datos al mínimo necesario y garantizar que cualquier procesamiento adicional de la información respete los derechos fundamentales del titular de los datos.

La Confianza del Paciente como Valor Principal

La implementación de estas leyes en el sector salud es un desafío ineludible, pero también una oportunidad única para fortalecer la relación de confianza entre los prestadores de salud y sus pacientes. En un entorno donde las amenazas cibernéticas son cada vez más frecuentes y sofisticadas, el sector salud no puede permitirse quedar rezagado. La protección de datos sensibles no es solo una obligación regulatoria; es una responsabilidad ética hacia cada paciente que confía en la seguridad de su información personal.

Es fundamental que los prestadores de salud en Chile asuman este compromiso con seriedad y urgencia. Adoptar medidas de ciberseguridad robustas y gestionar eficazmente los datos personales es una acción que va más allá del mero cumplimiento legal. Es una demostración clara de respeto y cuidado hacia la privacidad del paciente, una señal de que su bienestar y su derecho a la confidencialidad son prioridades absolutas.

Al implementar estas medidas, las instituciones de salud no solo estarán protegiendo sus sistemas contra posibles ciberataques, sino que estarán cimentando la confianza de sus usuarios. Los pacientes merecen la tranquilidad de saber que su información médica está resguardada bajo los más altos estándares de seguridad, y que pueden confiar en sus prestadores de salud para manejar sus datos con el máximo nivel de responsabilidad y profesionalismo.

En última instancia, la ciberseguridad y la protección de datos no deben verse simplemente como un cumplimiento normativo, sino como pilares fundamentales de un servicio de salud de calidad. Con las herramientas y el marco legal proporcionado por las Leyes 21.663 y 19.628, es posible construir un entorno más seguro y fiable para todos. Ahora, más que nunca, es el momento para que el sector salud tome medidas proactivas, asegurando que cada persona que confía su información a un profesional de la salud se sienta protegido y respetado.

¿Sabías que tu información médica puede estar protegida de los ciberataques si tus prestadores de salud implementan las medidas adecuadas? Pregunta a tu clínica u hospital cómo están cuidando tus datos.

¿Confías en que tus datos personales están seguros cada vez que visitas a tu médico? Descubre qué medidas de seguridad están tomando para proteger tu información más sensible.

¿Tu institución de salud está realmente preparada para enfrentar un ciberataque? Proteger los datos de tus pacientes no es solo una obligación legal, ¡es una responsabilidad ética!

¿Están tus dispositivos médicos conectados protegidos contra posibles ataques cibernéticos? Asegúrate de que tu red cumple con las normas de seguridad para garantizar la privacidad de tus pacientes.

Autor: Carlos Peña, Consultor seguridad de redes OT en Mainsoft

#ProtecciónDeDatos #CiberseguridadSalud #ConfianzaPaciente #SeguridadDigital #IMoT #DatosPersonalesSeguros #Ley21663 #Ley19628 #CuidadoDeLaSalud #SaludConfiable #PrevenciónCiberataques #SaludDigitalSegura #Mainsoft