Hace unas semanas aparecieron noticias preocupantes para los clientes de un servicio de T-Mobile (Sidekick) en Estados Unidos: en un proceso de actualización de los servidores en los que estaban alojados los datos de los usuarios (agendas, contactos, calendarios...) éstos habían desaparecido y las compañías implicadas (T-Mobile y Microsoft, en cuyos servidores estaba basado el servicio) anunciaban que no era posible recuperarlos (parece que el novedoso y aún poco contrastado concepto de copia de seguridad les resultaba ajeno).
Supongamos ahora por un momento que en lugar de los datos de agenda de unos usuarios estuviéramos hablando de un problema similar en un servicio por el que la disponibilidad de toda la información sanitaria de un centro, comunidad o país se hubiera visto comprometida por un fallo cometido por no se sabe quién en no se sabe dónde pero cuyo resultado final fuera la pérdida de miles, cientos de miles o millones de historias clínicas electrónicas. Los efectos sobre la salud de las personas y la credibilidad del sistema hubieran sido devastadores.
La Enciclopedia TechWeb define cloud computing (o, computación en la nube) como "la utilización de servicios de un tercero en Internet (la nube) para almacenar, desplegar y ejecutar aplicaciones". Este nuevo paradigma de computación puede incluir la provisión de aplicaciones de negocio (SaaS o Software as a Service) o, simplemente, los servicios básicos de hardware y software (servidores, sistemas operativos o gestores de bases de datos) y, en el fondo, lo que conlleva es una total dependencia y confianza en los servicios de un tercero sobre los que no tenemos ningún control real (salvo el recurso al pataleo y a los tribunales si algo va mal).
Si además tenemos en cuenta la aparición de nuevos servicios de salud prestados a través de Internet y la constatación en una encuesta, llevada a cabo por Ponemon Insitute, a más de quinientos profesionales TIC en grandes centros sanitarios estadounidenses en la que un 80% de los encuestados manifestaba que había sufrido un problema de seguridad que había puesto en riesgo los datos de los pacientes y en la que un 5% informó haber sufrido más de cinco incidentes, deberíamos de preguntarnos sobre la capacidad, técnica y de gestión, de nuestras organizaciones para proporcionar la seguridad adecuada en el nuevo mundo de la salud en línea y sobre si tanto los recursos de los que se dispone como la planificación de los mismos son suficientes para abordar estos nuevos retos y, finalmente, si el recurso a un tercero a través de sistemas de cloud computing puede ayudarnos o no a lidiar con estos problemas.
Esperemos que este proceso y las decisiones que entraña, tengan, como el de Sidekick, un final feliz, con los datos seguros y disponibles de nuevo para sus legítimos titulares y usuarios.
lunes, 30 de noviembre de 2009
lunes, 9 de noviembre de 2009
Nuevos estándares internacionales sobre protección de datos y privacidad
Por una vez (y a lo mejor sirve de precedente ¡quién sabe!), este blog se va a alejar de la temática estrictamente sanitaria y lo va a hacer por una muy buena razón: en la 31ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad, celebrada en Madrid esta semana, organizada por la Agencia Española de Protección de Datos (AEPD), a la que asistieron más de 1.200 personas de más de 80 países, se ha aprobado una resolución por la que las autoridades de protección de datos de todo el mundo recomiendan la aprobación de un estándar global de privacidad para facilitar la circulación global de datos personales garantizando un alto nivel de respeto para los derechos de las personas.
En relación con este asunto, creo que, en primer lugar, es de justicia reconocer el enorme esfuerzo y trabajo llevado a cabo por la AEPD en el último año para conseguir un texto de consenso aceptable tanto para las autoridades de control como para la industria y las organizaciones no gubernamentales internacionales. Y por haber coronado con éxito un trabajo complejo y difícil en un tiempo record para lo que suelen requerir este tipo de iniciativas.
En la resolución aprobada se insta a las autoridades de control a que difundan los estándares y promuevan entre los gobiernos la necesidad de dar los pasos necesarios paraque los estándares adoptados se transformen en un tratado internacional vinculante que consagre los principios esenciales de la protección de datos: que los datos personales sean tratados de manera leal, lícita, y proporcionada para finalidades determinadas, explícitas y legítimas y sobre la base de políticas transparentes, informando adecuadamente a los interesados y sin ninguna discriminación arbitraria en su contra.
Además, ha de garantizarse la exactitud, la confidencialidad y la seguridad de los datos, la legitimidad del tratamiento y los derechos de acceso, rectificación y cancelación, ofreciéndose las garantías adecuadas cuando se trate de datos sensibles y garantizando que los datos personales transferidos internacionalmente se benefician del nivel de protección previsto en el mencionado conjunto de estándares.
Todo ello ha de estar sometido a la vigilancia de autoridades de supervisión, independientes e Como vemos, en los estándares se conjugan los elementos tradicionales de la protección de datos con nuevos elementos que pueden contribuir a una mejor implantación de las mismas como los oficiales de privacidad o los PIA (Privacy Impact Assessmente o Evaluaciones de Impacto de la Privacidad), que deberían llevarse a cabo antes de iniciar proyectos importantes y con riesgos para los derechos de las personas cuyos datos se tratan.
Si estos esfuerzos de las autoridades de protección de datos fructificaran -lo que, dicho sea de paso, no será una tarea fácil ni corta- también sería una gran noticia para las personas cuyos datos de salud son transferidos cada vez con mayor intensidad entre todos los países por diversos motivos (desde el ousourcing informático de los servicios de tratamiento hasta los ensayos clínicos multicéntricos internacionales pasando por los servicios electrónicos personales de gestión de datos de salud) evitando que el consentimiento que las mismas otorgan (en el mejor de los casos) simplemente sirva para legalizar un flujo hacia países en donde las garantías son, en muchas ocasiones, inexistentes.
Todo ello ha de estar sometido a la vigilancia de autoridades de supervisión, independientes e Como vemos, en los estándares se conjugan los elementos tradicionales de la protección de datos con nuevos elementos que pueden contribuir a una mejor implantación de las mismas como los oficiales de privacidad o los PIA (Privacy Impact Assessmente o Evaluaciones de Impacto de la Privacidad), que deberían llevarse a cabo antes de iniciar proyectos importantes y con riesgos para los derechos de las personas cuyos datos se tratan.
Si estos esfuerzos de las autoridades de protección de datos fructificaran -lo que, dicho sea de paso, no será una tarea fácil ni corta- también sería una gran noticia para las personas cuyos datos de salud son transferidos cada vez con mayor intensidad entre todos los países por diversos motivos (desde el ousourcing informático de los servicios de tratamiento hasta los ensayos clínicos multicéntricos internacionales pasando por los servicios electrónicos personales de gestión de datos de salud) evitando que el consentimiento que las mismas otorgan (en el mejor de los casos) simplemente sirva para legalizar un flujo hacia países en donde las garantías son, en muchas ocasiones, inexistentes.
Suscribirse a:
Entradas (Atom)
