Pregunta

Protección de la privacidad del paciente en bases de datos médicas y colecciones de fotografías médicas

Robert Bateman
13/5/2024

Los datos de salud son el tipo de información más sensible. No proteger la privacidad del paciente puede provocar fraude, generar angustia grave e incluso poner vidas en riesgo .

Pero los datos de salud y las imágenes médicas son cada vez más importantes en el tratamiento y la investigación. Las bases de datos son cada vez más grandes y los datos de salud son cada vez más diversos. La necesidad de contar con sólidas salvaguardias de seguridad y privacidad nunca ha sido más crucial.

Este artículo analiza el marco legal para proteger bases de datos médicas y colecciones de fotografías médicas, los métodos para mantener seguros los datos de salud y las graves consecuencias de no proteger la privacidad del paciente .

Introducción a las preocupaciones sobre la privacidad del paciente en bases de datos médicas y colecciones de fotografías médicas.

La atención sanitaria sitúa al paciente en el centro de su tratamiento y mantener la confianza entre pacientes, profesionales e instituciones sanitarias es esencial.

Desde los antiguos griegos, los médicos se han comprometido a guardar los “sagrados secretos” de sus pacientes como parte del juramento hipocrático. Pero mantener la confidencialidad de la información médica es mucho más difícil ahora que hace dos milenios.

Estudio de caso: fotografías médicas de pacientes con cáncer filtradas en línea

En febrero de 2023, el personal de Leigh Valley Health Network (LVHN) recibió un correo electrónico de un grupo de ransomware conocido como BlackCat (o ALPHV) que decía:

"Tenemos los datos de su base de clientes de pacientes, es decir, sus pasaportes, datos personales, cuestionarios, fotografías de desnudos y similares".

BlackCat amenazó con publicar la información en línea a menos que LVHN pagara un rescate. El proveedor de atención médica se negó a pagar y BlackCat comenzó a filtrar fotografías que había obtenido durante el ataque, incluidas fotografías identificables de pacientes desnudos de cintura para arriba .

Uno de los pacientes con cáncer de LVHN se enteró del ataque a través de los medios. Envió un correo electrónico a sus médicos para preguntarles si sus registros médicos estaban involucrados. Más de un mes después, LVHN llamó a la paciente y le dijo que sus “ fotos de desnudos ”, que mostraban tanto su rostro como su pecho , habían sido comprometidas.

LVHN ofreció al paciente una disculpa y dos años de seguimiento crediticio como compensación por el incidente. Es comprensible que el paciente no estuviera satisfecho con la respuesta del proveedor de atención médica.

Actualmente, la paciente está librando una demanda contra LVHN en busca de daños “reales, emergentes y nominales”, tanto para ella como para “cientos, si no miles”, de otras personas afectadas por la infracción .

¿Por qué son tan caras las filtraciones de datos médicos?

Durante 13 años consecutivos, IBM ha descubierto que las filtraciones de información sanitaria son las más costosas . Y el costo de las filtraciones de datos de atención médica aumentó un 53,3 % entre 2020 y 2023, con un promedio de casi 11 millones de dólares por incidente .

¿Por qué son tan caras las filtraciones de datos relacionados con la salud?

●      La atención médica es una industria estrictamente regulada y los reguladores pueden imponer sanciones severas. Incluso los países con leyes de privacidad generalmente débiles protegen estrictamente los registros médicos.

●      Los datos de salud son complejos e incluyen muchos tipos de información. Esta variedad y complejidad pueden hacer que las violaciones de datos de salud sean más difíciles de detectar, prevenir y mitigar .

●      Cuando se filtran los historiales médicos, las personas pueden experimentar angustia, vergüenza y daño a su reputación . Por lo tanto, las víctimas de violaciones de datos sanitarios tienen muchas más probabilidades de tener éxito en los tribunales.

●      Las filtraciones de datos sanitarios pueden provocar fraude en seguros . Cuando los recursos se asignan mal o las personas reciben un trato inadecuado, el fraude puede costar vidas además de dinero.

Las imágenes médicas , como radiografías, resonancias magnéticas y diapositivas de patología, son esenciales para la mayoría de los registros médicos. Como vimos en el caso LVHN anterior, el daño puede ser particularmente grave cuando se violan fotografías médicas.

Leyes que cubren la privacidad del paciente y los datos de salud.

Como se ha señalado, los registros médicos y las fotografías médicas están sujetos a normas especialmente estrictas. A continuación se muestran algunos requisitos legales para datos médicos en Europa y EE. UU.

Europa

Los datos personales que revelan la salud de un individuo son un tipo de " datos de categoría especial " según el Reglamento General de Protección de Datos (GDPR) , que se aplica en el Reino Unido y en todo el Espacio Económico Europeo (EEE).

A continuación se explica cómo algunos de los principios de procesamiento de datos del RGPD podrían aplicarse a la información de salud:

●      Minimización de datos : Sólo procesa información de salud cuando sea necesario para un propósito específico. Cuando sea posible, elimine los identificadores de los registros médicos. Si el rostro de alguien aparece en una fotografía o escaneo médico, difumínelo para ocultar la identidad de la persona.

●      Limitación de almacenamiento : No almacene información de salud “en una forma que permita la identificación” por más tiempo del necesario. Elimine o anonimice los datos de salud tan pronto como ya no los necesite (a menos que esté obligado legalmente a conservarlos durante un período determinado).

●      Seguridad : proteger la información de salud mediante “medidas técnicas u organizativas apropiadas”, como restringir el acceso a la información médica o difuminar los identificadores en las fotografías médicas.

Varios países de la UE han impuesto sus mayores multas conforme al RGPD contra organizaciones que no cumplieron con las normas y principios para el procesamiento de datos de salud. Por ejemplo:

●      Croacia : 5,8 millones de euros emitidos a una agencia de cobranza de deudas que no demostró su “base legal” para procesar datos de salud.

●      Portugal : 4,3 millones de euros contra la agencia nacional de estadística por transferir ilegalmente datos del censo (incluida información sanitaria) a Estados Unidos.

●      Países Bajos : 3,7 millones de euros contra las autoridades fiscales, en parte por el tratamiento de datos sanitarios sin base jurídica.

Todos estos fueron casos complejos que involucraron varias infracciones del RGPD, pero en cada caso, la sanción fue más severa porque las violaciones involucraban datos de salud.

Estados Unidos

En los EE. UU., los proveedores de atención médica y sus “socios comerciales” están regulados por la Ley de Responsabilidad y Portabilidad del Seguro Médico (HIPAA) , que protege la “información médica protegida” (PHI) y la PHI electrónica (ePHI).

HIPAA controla estrictamente cómo los proveedores de atención médica almacenan y utilizan la información de salud . La ley proporciona reglas más flexibles para “ conjuntos de datos limitados ” de los cuales se ha eliminado información como nombres, identificadores biométricos e “ imágenes fotográficas de rostro completo ”.

Estas son algunas de las sanciones más altas según HIPAA :

●      Anthem Inc. pagó una multa de HIPAA de 16 millones de dólares después de que los atacantes robaran los datos médicos de casi 80 millones de personas. Además de la multa, la empresa también resolvió una demanda por 115 millones de dólares.

●      Premera Blue Cross pagó una multa de 6,85 millones de dólares después de que un hackeo comprometiera la PHI de más de 10 millones de personas. Una vez más, la empresa resolvió una demanda colectiva separada , esta vez por 74 millones de dólares.

●      Advocate Health Care pagado 5,5 millones de dólares después de que cuatro computadoras fueran robadas de sus oficinas, lo que afectó a más de 4 millones de pacientes.

Pero HIPAA no cubre todas las empresas que manejan datos de salud, por lo que los estados individuales han aprobado leyes de privacidad para cerrar las brechas de HIPAA .

●      En los últimos años, alrededor de 16 estados , incluidos California, Texas y Washington, aprobaron nuevas leyes de privacidad.

●      Estas nuevas leyes están inspiradas en el RGPD de la UE y afectan a empresas de casi todos los sectores.

●      Casi todas estas nuevas leyes clasifican la información relacionada con la salud como un tipo de " datos confidenciales " y exigen que las empresas implementen " medidas de seguridad razonables " para mantener dichos datos seguros.

Utilización de bases de datos médicas y colecciones de fotografías en el sector sanitario.

Existen innumerables usos para los datos médicos, que incluyen:

●      Diagnóstico

●      Planificación del tratamiento

●      Investigación

●      Educación

Cada vez más, los datos de salud se utilizan para investigaciones impulsadas por la IA .

En noviembre de 2023, investigadores del Imperial College de Londres demostraron cómo un modelo de IA entrenado con “ más de 1 millón de imágenes de programas de detección del mundo real” podría ayudar a mejorar la detección del cáncer de mama.

Pero si bien la investigación sanitaria impulsada por la IA puede generar importantes beneficios, grandes colecciones de fotografías médicas también pueden plantear enormes riesgos para la privacidad y la seguridad .

Problemas de seguridad en bases de datos médicas y colecciones de fotografías médicas.

La investigación sobre el estado de la seguridad de las imágenes médicas ha revelado algunos hallazgos sorprendentes.

●      En 2019, investigadores de Greenbone Networks descubrieron 5 millones de imágenes de pacientes “ sentados desprotegidos en Internet ”.

●      Un estudio de seguimiento realizado en 2020 encontró un enorme aumento en la cantidad de fotografías de exámenes disponibles en línea: más de mil millones de imágenes médicas y registros de pacientes.

●      Una nueva investigación casi cuatro años después reveló que el problema aún no se ha resuelto .

Las razones de este deficiente panorama de seguridad son complejas: cientos de proveedores de atención médica almacenan imágenes médicas en miles de servidores mal protegidos .

Pero hay otra manera de garantizar que las fotografías identificables no caigan en las manos equivocadas: la anonimización .

Anonimizar los datos médicos y proteger la privacidad del paciente

Si los datos médicos son verdaderamente anónimos , no pueden utilizarse para identificar a un paciente. Incluso si los datos anónimos se ven comprometidos, esto no afectará la confidencialidad médica del paciente.

Pero , ¿qué hace que un dato médico sea “anónimo”?

El estándar de anonimización de la UE es particularmente estricto . Los reguladores de protección de datos respaldan la siguiente prueba de tres partes para ayudar a decidir si un dato determinado es anónimo.

●      ¿Es todavía posible señalar a un individuo?

●      ¿Todavía es posible vincular registros relacionados con un individuo?

●      inferir información sobre un individuo?

de generalización y aleatorización de datos , cuando se realizan correctamente, pueden lograr un alto nivel de anonimización en conjuntos de datos agregados.

Por supuesto, no todos los datos médicos pueden o deben ser anónimos . En la mayoría de los contextos, los registros médicos deben estar vinculados a un paciente específico.

Pero cuando es posible anonimizar partes de un registro médico y seguir utilizando los datos para el fin previsto, el principio de minimización de datos exige que así se haga .

Anonimizar fotografías médicas

Si bien es posible que sea necesario almacenar fotografías médicas en un registro médico identificable más grande, rara vez es necesario que contengan información identificable .

Anteriormente, analizamos un estudio de caso que involucraba a una paciente con cáncer de mama cuyas imágenes médicas se filtraron en línea. Este incidente podría haber sido mucho menos grave si el proveedor de atención médica hubiera difuminado el rostro de la paciente para que no fuera identificable .

Las caras borrosas y otros identificadores pueden hacer que una imagen sea anónima. El Comité Europeo de Protección de Datos (EDPB) dice :

“...por ejemplo, al difuminar (una) imagen sin capacidad retroactiva para recuperar los datos personales que la imagen contenía anteriormente, los datos personales se consideran borrados de acuerdo con el RGPD. "

En otras palabras: si difuminas efectivamente todos los identificadores en una foto médica, la foto ya no contendrá datos personales . Desde la perspectiva del RGPD, difuminar los identificadores en las fotografías "borra" los datos personales .

Imágenes fotográficas de rostro completo bajo HIPAA

En Estados Unidos, HIPAA incluye un principio similar. La ley permite a los proveedores de atención médica convertir la información de salud en “ no identificable individualmente ” eliminando ciertos tipos de datos de un registro médico, incluidas “ imágenes fotográficas de rostro completo ”.

Como tal, desenfocar los rostros significa que la foto puede usarse para una variedad más amplia de propósitos , incluso sin el consentimiento del paciente (siempre que la foto no esté vinculada a otra información que pueda identificar al paciente).

Incluso las organizaciones que no están sujetas a HIPAA deberían anonimizar los datos y fotografías médicos siempre que sea posible.

Las nuevas leyes de privacidad estatales de EE. UU., como la Ley de Privacidad del Consumidor de California (CCPA) y la Ley de Privacidad de Colorado (CPA), excluyen de las reglas la información anónima y no identificada . Esto podría incluir fotografías médicas en las que los rostros de las personas estén borrosos.

Protección de datos biométricos y medidas de seguridad para la privacidad del paciente.

Hemos explorado cómo las caras borrosas y otros identificadores convierten los datos personales (imágenes de personas identificables) en datos anónimos.

No obstante, existen consideraciones de privacidad incluso durante el proceso de anonimización .

Herramientas biométricas vs Gallio PRO

Los proveedores de atención médica y otras organizaciones son directamente responsables de cualquier software de terceros que utilicen y deben ser diligentes al elegir un proveedor.

Algunos programas de anonimización utilizan identificación biométrica para analizar el rostro de una persona y detectar cada vez que ese individuo aparece en una foto. Los datos biométricos utilizados con fines de identificación son “datos de categoría especial” según el RGPD y son “datos confidenciales” según muchas otras leyes de privacidad y protección de datos.

El uso de datos biométricos para identificar a un individuo se considera un procesamiento de datos de alto riesgo sujeto a controles estrictos y conlleva el riesgo de sanciones severas si se realiza de manera incorrecta.

Anonimización facial para fotografías médicas.

Usar el software de anonimización Gallio PRO es menos riesgoso que usar la anonimización que se basa en técnicas biométricas.

●      El modelo de anonimización Gallio PRO utiliza técnicas de visión por computadora para detectar patrones en grandes conjuntos de datos.

●      Se utiliza un conjunto de datos derivado de fotografías reales para entrenar el modelo, que aprende a reconocer rostros en una variedad de condiciones de iluminación, resoluciones de imagen y entornos.

●      Este método de entrenamiento conduce a tasas de precisión más altas , lo que reduce el riesgo de perder los rostros de las personas al anonimizar fotografías.

●      Las imágenes faciales se transforman en datos no identificables durante el proceso de formación. En el sistema de IA no quedan imágenes identificables de los rostros de las personas. Este método ayuda a preservar la privacidad de cualquier persona cuyo rostro aparezca en las fotos del entrenamiento.

El software Gallio PRO nunca aprende a reconocer a las personas : exactamente cómo se ve “un rostro humano”. Las técnicas de capacitación que protegen la privacidad significan que el software puede alcanzar altas tasas de precisión sin ningún riesgo significativo para las personas.

Protección de la privacidad del paciente en bases de datos médicas y fotografías médicas

●      Los datos de salud y las imágenes médicas se encuentran entre los tipos de datos personales más sensibles .

●      Los ciberataques contra proveedores de atención médica son extremadamente costosos y pueden causar daños importantes a los pacientes.

●      Los investigadores han demostrado repetidamente que muchos datos médicos no están bien protegidos. Muchos incidentes de ciberseguridad de alto perfil han involucrado la filtración de imágenes médicas y datos de salud.

●      Cuando se filtran fotografías médicas de las personas, los reguladores pueden imponer multas elevadas y los tribunales pueden otorgar daños significativos a los pacientes afectados.

●      Anonimizar las fotografías de los pacientes es un medio vital para proteger la privacidad del paciente y cumplir con las obligaciones legales.

●      Para minimizar los riesgos de privacidad y protección de datos, utilice software de anonimización que pueda alcanzar altas tasas de precisión sin depender de la identificación biométrica.

Robert Bateman

Robert Bateman

Robert Bateman es un reconocido experto en privacidad y protección de datos, además de un consumado escritor, formador y consultor. Es autor de numerosos artículos, proyectos de investigación e informes sobre estos temas. Como presentador del videocast de Privacy Corner, ha atraído a miles de profesionales en todo el mundo.