La necesidad de seguridad retrasa la creación de bancos de datos sanitarios

La llegada de la pandemia generó mucha incertidumbre y trajo retos a una sociedad que fue consciente de la importancia de los datos personales para adoptar políticas que suavizaran los efectos del virus. Europa ya se está preparando para hacer frente a la regulación del Espacio Europeo de Datos Sanitarios con la intención de convertirlo en uno de los pilares centrales de la “Unión Europea de la Salud fuerte”. La premisa del proyecto parte de la creación de un mercado único de productos y servicios sanitarios digitales que impulsen la eficiencia del sistema y que permita a las personas controlar sus datos sanitarios. Sin embargo, aún siguen aflorando muchas cuestiones en torno a los procesos de anonimización de datos y los riesgos de que el sistema sufra ciberataques.

Una de las principales preocupaciones de los usuarios tiene que ver con la privacidad de los datos sanitarios. En el proceso de obtención de conjuntos de muestras intervienen los comités éticos de las comunidades autónomas, de los hospitales, de los institutos y fundaciones. Todas las entidades evalúan su trazabilidad, el flujo de trabajo de los propios investigadores y científicos, así como las mallas de seguridad pertinentes. Este largo procedimiento hace que la obtención de datos sanitarios sea una de las tareas más costosas en el desarrollo de la inteligencia artificial (IA).

El tiempo destinado a la preparación del conjunto de la información es muy alto. Para lograr una mayor precisión y acierto en el entrenamiento de los diversos modelos, los expertos explican que es necesario disponer de una población heterogénea. Esto significa que las mejores muestras se obtienen cuando se cuenta con mayores cantidades de pacientes de diferentes hospitales, ciudadanos de distintas comunidades autónomas, así como personas de otros países.

Los profesionales especializados en ética, en ciberseguridad y tecnología son los encargados de evaluar y tratar los riesgos potenciales en materia de privacidad y seguridad de los datos. No obstante, tampoco quedan ajenos de velar por proteger y cubrir los nuevos peligros los gobiernos y los organismos públicos y privados. La búsqueda de lugares seguros donde custodiar la gran cantidad de datos sanitarios que existen lleva directamente a la figura de los biobancos, que son lugares, públicos o privados, en los que se almacenan de forma segura muestras biológicas de origen humano.

Los biobancos aceleran la investigación biomédica y aportan muchas ventajas al constituirse como estructuras óptimas que garantizan el almacenamiento de datos. “Los biobancos, las redes de biobancos y los espacios federados de datos se constituyen como la estructura óptima que favorece el almacenamiento de grandes volúmenes de datos respetando en todo momento los requisitos éticos y legales, tanto de la evidencia obtenida como de la privacidad de cada una de las personas”, afirma Inmaculada Pérez, directora de salud digital de GMV.

A pesar de las medidas impulsadas para proteger los datos, así como de la legislación vigente en dicha materia (Ley de Protección de Datos, Ley de Biobancos y Ley de Investigación Biomédica), los ataques al sistema sanitario no son ajenos. Durante 2021 y el primer trimestre de 2022, España sufrió más de 3.300 ataques a la red. El ataque más reciente a una institución sanitaria se produjo hace unas semanas, cuando el Centro Superior de Investigaciones Científicas (CSIC) perdió la conexión a internet durante quince días como consecuencia de un ciberataque ruso.

La posibilidad de sufrir ciberataques se traduce en graves consecuencias, que pueden ir desde la muerte de un paciente a la pérdida de confianza y reputación. Sin embargo, los efectos reales de un ciberataque suelen quedar en el ámbito privado de la víctima o en el de una autoridad competente, en el caso de que exista obligación de reportarlos.

Los atacantes sacan partido de la vulnerabilidad humana y tecnológica. “La consecuencia más palpable es lo que denominamos denegación de servicio. Los hospitales dejan de dar el servicio habitual de la forma cotidiana para pasar a una versión “más manual” (menos informatizada) siendo los afectados los que reciben el servicio. Desgraciadamente, ya se tienen ejemplos del peor impacto posible, la muerte de pacientes, a causa de la denegación del servicio”, explica Javier Zubieta, director de marketing y comunicación de GMV.

La pérdida de confianza y reputación es otro de los efectos más graves. Cuando una organización es atacada, se produce una gran pérdida de reputación. Zubieta afirma que “cuando conocemos la noticia de un ciberataque exitoso tendemos a pensar que la organización víctima había relajado sus medidas de ciberseguridad y, por lo tanto, se le ataca, sin considerar siquiera la intencionalidad del atacante”. A la vez, advierte que “un servicio sanitario digital no saldrá adelante si no merece la confianza de los pacientes y médicos. Y, por supuesto, será un fracaso si frecuentemente no se encuentra disponible debido a ciberincidentes”.

Las medidas de ciberseguridad en fases tempranas previenen de ataques al sistema sanitario. La implementación de sistemas de vigilancia de 24 horas también resulta fundamental. Los especialistas aluden a la concienciación y la capacitación de las personas como las dos medidas estrella para adoptar hábitos ciberseguros y evitar que se produzcan ataques dañinos al sistema.

Las auditorías de ciberseguridad también se articulan como otra de las grandes medidas que se pueden adoptar para luchar contra las debilidades de los sistemas tecnológicos. Tienen la misión de analizar y diagnosticar vulnerabilidades para tener una visión certera de la situación real y definir hojas de ruta de mejora desde el punto de vista técnico.