Descarga la aplicación para disfrutar aún más
Lea materiales sin conexión, sin usar Internet. Además de muchas otras características!
ArticuloDEUSTO_dellibroabril2011
zaira gonzales
Compartir
Vista previa del material en texto
P R IM E R A P A R TE : N u e v a s te cn o lo g ía s, s o ci e d a d y d e re ch o s fu n d a m e n ta le s 1. 3. L a p ro te cc ió n d e lo s d er ec h o s h u m an o s en la s ap lic ac io n es d e la b io lo g ía y la m ed ic in a Derecho y Nuevas Tecnologías 1 © Universidad de Deusto ISBN: 978-84-9830-276-9 Establecimiento de políticas de seguridad para incorporar las exigencias de la normativa de protección de datos al sistema de telecuidado inteligente SEMPER M.C. FERNÁNDEZ ALLER Profesora Titular de Universidad interina M.L. MARTÍN RUIZ Profesor Colaborador I. PAU DE LA CRUZ Profesora asociada M.A. VALERO DUBOY Profesor Titular de Universidad I Introducción. Justificación del trabajo No es frecuente que el diseño de sistemas basados en nuevas tecnologías considere los as- pectos relacionados con la privacidad, derecho fundamental de la persona. Esta dimensión cobra especial importancia en los servicios que gestionan información sensible como telea- sistencia y e-salud. Estos sistemas evolucionan rápidamente ofreciendo un valor añadido al ciudadano basado en un uso distribuido de información social y sanitaria además de la posi- bilidad de inferir nuevo conocimiento. En este trabajo se trata de facilitar la implantación de medidas de seguridad establecidas por la normativa de protección de datos, en el sistema de tele-cuidado inteligente SEMPER1 (Plan Nacional I+D+I 04/07). Este grupo de investigación está formado por ingenieros especializados en el tema de la te- leasistencia, telemedicina, telecuidado inteligente y e-salud. Siendo conscientes de que los temas éticos y de privacidad no son abordados habitualmente con profundidad en el mo- mento del diseño de la tecnología, han incorporado a una especialista en protección de da- tos que pueda apoyar en el planteamiento de estas consideraciones. Una cuestión que no ha de dejarse al margen es el hecho de que la protección de datos de carácter personal de la sa- lud es un problema de bioética además de técnico. Es necesario, por tanto, un planteamiento multidisciplinar. Y ésta es la línea de trabajo del SEMPER. Si hay un ámbito en el que la protección de datos (y dentro de ella la seguridad telemática como un medio) es especialmente crítico es el de la salud. Son precisamente estos datos, de- nominados sensibles, los que cuentan con especial protección en la legislación europea2 y 1 Sistema Semper: Servicio y arquitectura multiagente para información y seguimiento preventivo en el Hogar Digital de personas con dependencia basado en sistemas inteligentes. 2 Directiva 95/46/CE sobre protección de datos personales de las personas físicas en lo que respecta al trata- miento de datos personales y a la libre circulación de estos datos. M.C. FERNÁNDEZ ALLER, M.L. MARTÍN RUIZ, I. PAU DE LA CRUZ Y M.A. VALERO DUBOY Establecimiento de políticas de seguridad para incorporar las exigencias de la normativa de protección ... P R IM E R A P A R TE : N u e v a s te cn o lo g ía s, s o ci e d a d y d e re ch o s fu n d a m e n ta le s 1. 3. L a p ro te cc ió n d e lo s d er ec h o s h u m an o s en la s ap lic ac io n es d e la b io lo g ía y la m ed ic in a 2 Derecho y Nuevas Tecnologías © Universidad de Deusto ISBN: 978-84-9830-276-9 española3 y gozan de medidas reforzadas en el momento de la recogida (se necesita consen- timiento expreso) y en las medidas de seguridad exigidas4. En el citado proyecto de investigación se desarrolla un sistema de tele-cuidado inteligente diri- gido a facilitar la vida autónoma de mayores y discapacitados. Nos encontramos con informa- ción referida a la salud de la persona (por ejemplo, enfermedades) pero también con informa- ción derivada de una situación de riesgo y que puede tener transcendencia sanitaria: las caídas continuadas de una persona pueden suponer un problema motor o de equilibrio, por ejemplo. Éste último tipo de datos también se consideran datos de salud, y por tanto, sensibles5. Los principales retos de los desarrollos tecnológicos que analizamos en cuanto a privaci- dad son, entre otros: a) La inferencia del conocimiento: en este momento, existen lagunas legales en este tema; ¿a quién pertenecerá la información generada por el sistema? ¿Quién será responsable de la misma? b) El tema de la trazabilidad6, por cuanto el almacenamiento de datos personales sensibles en el sistema SEMPER puede ser utilizado con variados fines para hacer seguimiento de los usuarios. II. Objetivos El objetivo de este trabajo se centra en el análisis de la seguridad (en el aspecto de la confi- dencialidad) en el interior del hogar y en el exterior; posteriormente, nos detendremos en el estudio de los requerimientos existentes desde el punto de vista legal (serían recomendacio- nes para los cesionarios o receptores de información —entidades especializadas en teleasis- tencia y telecuidado como Cruz Roja, Tunstall, etc.—) y ético. Con los resultados obtenidos en la fase de análisis de la seguridad en el proyecto SEMPER y reflejados en este trabajo, pretendemos contribuir al principio de «seguridad e intimidad a través del diseño»7 desde las primeras fases del desarrollo de la tecnología. El marco de nuestro trabajo es, además de la normativa de protección de datos con fuerza ju- rídica, alguna otra disposición sin valor normativo, pero que nos parece esencial en nuestro campo, como la Comunicación sobre el fomento de la protección de datos mediante las tecno- logías de protección del derecho a la intimidad (PET) de 2 de mayo de 2007, del Parlamento Europeo. Las «tecnologías de protección del derecho a la intimidad» (PET) son sistemas tecno- lógicos destinados a reducir y, en su caso, suprimir el impacto de las nuevas tecnologías de la información sobre los derechos de protección de datos e intimidad de los usuarios, sin que ello suponga menoscabo alguno respecto a las funcionalidades de los sistemas tecnológicos». Algu- 3 Ley 15/1999 de 13 de noviembre de protección de datos de carácter personal (LOPD). 4 El número de ficheros de salud inscritos en 2000 en la Agencia de Protección de Datos ha sido de 2002 públi- cos y 3486 privados. Son los más numerosos. Además, los datos de salud son los que más denuncias ocasionan; el ciudadano lo denuncia porque se ve afectado en su más estricta intimidad. Así lo recuerda la Agencia de Pro- tección de datos de la Comunidad de Madrid en su manual Protección de datos personales para servicios sani- tarios públicos. Thomson-Civitas, Madrid, 2008, p. 17. 5 De esta forma lo venía entendiendo la Agencia de Protección de Datos hasta que el Reglamento de desarrollo de la LOPD en su artículo 5.1 g) definió dato de salud como «informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo. En particular, se considerarán datos relacionados con la sa- lud de las personas los referidos a su porcentaje de discapacidad y su información genética». 6 MAHEU, WHITTEN, ALLEN: E-health, telehealth and telemedicine. Jossey-Bass, USA, 2001, p. 137. 7 Principio que reiteradamente recuerda la Unión Europea. Véase, por ejemplo, la Recomendación de la Comi- sión de 12 de mayo de 2009 sobre aplicación de los principios de protección de datos y la intimidad en las apli- caciones basadas en la identificación por radiofrecuencia (2009/387/CE), p. 17. P R IM E R A P A R TE : N u e v a s te cn o lo g ía s, s o ci e d a d y d e re ch o s fu n d a m e n ta le s 1. 3. L a p ro te cc ió n d e lo s d er ec h o s h u m an o s en la s ap lic ac io n es d e la b io lo g ía y la m ed ic in a M.C. FERNÁNDEZ ALLER, M.L. MARTÍN RUIZ, I. PAU DE LA CRUZ Y M.A. VALERO DUBOY Establecimiento de políticas de seguridad para incorporar las exigencias de la normativa de protección ... Derecho y Nuevas Tecnologías 3 © Universidad de Deusto ISBN: 978-84-9830-276-9nos ejemplos de PET son: a) La disociación (anonimización o mantenimiento anónimo) auto- mática de los datos; b) El uso de instrumentos de cifrado; c) El uso de anuladores de «cookies; d) La Plataforma de Preferencias de Privacidad (P3P); e) Los sistemas de gestión de identidad8. III. Antecedentes 3.1. Teleasistencia en España En los apartados siguientes se indicará a qué nos referimos cuando hablamos de teleasisten- cia, cuáles son sus posibles servicios, cuáles los segmentos de mercado a los que va dirigida y cuáles los beneficios de su uso. Todo esto será aplicable a nuestro objeto de estudio en el tercer año del proyecto SEMPER. 3.1.1. CONCEPTOS DE TELEASISTENCIA, TELECUIDADO Y E-SALUD En la definición de la teleasistencia, entendida como un servicio de atención social y/o sa- nitaria en el hogar, convergen tres conceptos que tienen enfoques relacionados entre sí: te- leasistencia, telecuidado y e-salud. El término teleasistencia domiciliaria9 (acuñado en la década de los 90) se emplea para referirse a sistemas de atención en la casa a personas ne- cesitadas de ayuda en una situación de urgencia 7 días a la semana y 24 horas al día. En ese marco se contemplan como elementos de ayuda a distancia a la persona necesitada en situa- ciones de urgencia, el teléfono, el colgante con el botón de alarma, y algunos dispositivos de alarmas técnicas como sensores de humo, gas o intrusión. Fue a principios de los años 90 cuando la teleasistencia domiciliaria en España comenzó a incorporar establemente modelos de atención centralizada suministrados por colectivos de profesionales (asistentes sociales, psicólogos, médicos…) localizados en un entorno físico común. De este modo, surgen modelos de teleasistencia social o telecuidado, que pueden estar más enfocados en función del tipo de necesidad social, situación de dependencia (dis- capacidad) y contexto sanitario de la persona. La convergencia del modelo de teleasistencia social, con otras formas de atención a distan- cia, originarias de la telemedicina con finalidad clínica para diagnóstico, seguimiento o trata- miento del estado de salud de un paciente evoluciona desde principios del siglo XXI a un tipo de teleasistencia médica. Esta aproximación engloba finalmente el concepto de e-salud, donde la atención social o sanitaria al ciudadano, desde un centro especializado, aprovecha todas las posibilidades que ofrece la Sociedad de la Información para ofrecer servicios y productos de interés social o sanitario de forma integrada. De este modo, puede promoverse una mejor cali- dad de vida y autonomía personal para el individuo que requiera de la utilización de estos ser- vicios, en consonancia con la definición de e-salud de Eysenbach10 en 2001. Desde un enfoque técnico la Comisión Multisectorial del Hogar Digital (ASIMELEC) pro- pone una definición de teleasistencia especialmente centrada en los servicios y en las perso- nas beneficiarias: 8 INTECO: Estudio sobre la privacidad de los datos personales y la seguridad de la información en las redes sociales online. P.87. 9 VALERO, Miguel A., SÁNCHEZ, José A. y BELÉN BERMEJO, Ana: «Servicios y tecnologías de teleasistencia: ten- dencias y retos en el hogar digital». Informe de vigilancia tecnológica. 2007, p. 17. 10 EYSENBACH, G.: «What is e-health?». J Med Internet Res, 2001. M.C. FERNÁNDEZ ALLER, M.L. MARTÍN RUIZ, I. PAU DE LA CRUZ Y M.A. VALERO DUBOY Establecimiento de políticas de seguridad para incorporar las exigencias de la normativa de protección ... P R IM E R A P A R TE : N u e v a s te cn o lo g ía s, s o ci e d a d y d e re ch o s fu n d a m e n ta le s 1. 3. L a p ro te cc ió n d e lo s d er ec h o s h u m an o s en la s ap lic ac io n es d e la b io lo g ía y la m ed ic in a 4 Derecho y Nuevas Tecnologías © Universidad de Deusto ISBN: 978-84-9830-276-9 «El servicio de teleasistencia básico es un sistema de ayuda dentro y fuera del hogar que cu- bre las necesidades de aquellas personas que pueden requerir de atención constante ó pun- tual y asistencia rápida en casos de urgencia durante las 24 horas»11. Gracias a la incorporación de las tecnologías de la información, en especial las comunica- ciones de banda ancha, se permite el seguimiento remoto de las personas atendidas mejorán- dose así su calidad de vida y la de sus familiares. Así, el servicio de teleasistencia que se ha denominado «básico» evoluciona hacía un servicio de videoatención tal como lo denomina Cruz Roja Española que añade localización, alarmas técnicas y servicios de valor añadido basados en la integración de nuevas tecnologías (comunicaciones multimedia, sensores de presencia, seguimiento y localización), mensajería SMS y MMS, y sistemas de automatiza- ción y control de elementos del hogar, entre otros servicios. La definición actualizada y normalizada para el término teleasistencia12sería: «La Teleasistencia incluye la prestación de un servicio de atención social o de salud a personas en su hogar en una comunidad, con el apoyo de sistemas basados en las Tecno- logías de la Información y las Comunicaciones (TIC)». Finalmente, en 2007 AENOR13 elaboró la norma UNE 158401:2007 con el fin de especifi- car los requisitos mínimos que debe cumplir un servicio de teleasistencia para garantizar la prestación de dicho servicio con calidad. Esta norma especifica los requisitos y el nivel de servicio mínimo que debe cumplir el servicio de teleasistencia, tanto fija como móvil, defi- niendo el término teleasistencia como: «Servicio que, de forma ininterrumpida, presta atención personalizada y facilita asisten- cia a la persona usuaria, dando respuesta inmediata ante momentos de emergencia o de inseguridad, soledad y aislamiento, con apoyo de los recursos necesarios y el uso de tec- nologías de información y comunicación». 3.1.2. CONTEXTO SOCIODEMOGRÁFICO Y SANITARIO DE LA TELEASISTENCIA El contexto sociodemográfico y sanitario de la teleasistencia en España está ligado princi- palmente a dos sectores de la población14 susceptibles de recibir ayuda en la casa y típica- mente en situación de algún grado de dependencia: Las personas mayores: El informe 2000 sobre las personas mayores en España, publi- cado por el Instituto de Migraciones y Servicios Sociales (IMSERSO)15 recoge tanto el volumen como el rápido ritmo de envejecimiento de la población en España, indicando que alrededor de 36.000 personas al mes están sobrepasando el umbral de edad de los 65 años. Por ello, dotar a este sector de un servicio de teleasistencia permitiría la permanencia de estas personas en su hogar. Dentro de las encuestas ya recogidas por el IMSERSO en el informe de 2004 que lleva como título «Personas mayores viviendo solas», cuando se pregunta acerca 11 COMISIÓN DEL HOGAR DIGITAL DE ASIMELEC: «Teleasistencia. Definición del servicio», Madrid, 2006. 12 ETSI TR 102 415 V1.1.1 (2005-08), p. 10. 13 Servicios para la promoción de la autonomía personal. Gestión del servicio de teleasistencia, requisitos. AENOR. UNE 158401:2007, p. 4. 14 VALERO, Miguel A., SÁNCHEZ, José A. y BELÉN BERMEJO, Ana: «Servicios y tecnologías de teleasistencia: tendencias y retos en el hogar digital». Informe de vigilancia tecnológica. 2007, p. 20. 15 IMSERSO: «Las personas mayores en España. Informe 2000.». Instituto de Migraciones y Servicios Socia- les. Ministerio de Trabajo y Asuntos Sociales, 2000, p. 81. P R IM E R A P A R TE : N u e v a s te cn o lo g ía s, s o ci e d a d y d e re ch o s fu n d a m e n ta le s 1. 3. L a p ro te cc ió n d e lo s d er ec h o s h u m an o s en la s ap lic ac io n es d e la b io lo g ía y la m ed ic in a M.C. FERNÁNDEZ ALLER, M.L. MARTÍN RUIZ, I. PAU DE LA CRUZ Y M.A. VALERO DUBOY Establecimiento de políticas de seguridad para incorporar las exigencias de la normativa de protección ... Derecho y Nuevas Tecnologías 5 © Universidad de Deusto ISBN: 978-84-9830-276-9de la solución más adecuada para hacer frente a las situaciones de dependencia de las perso- nas mayores, un tercio de los ciudadanos españoles opinaron que lo mejor es que se marchen al domicilio de los hijos o de otros familiares, frente a un 47% de ellos que señalan como op- ción preferente el mantenimiento de los mayores en el domicilio. Es por esto que el modo de asistencia y cuidado a las personas mayores es muy importante, no sólo por la promoción de su calidad de vida sino también por su estrecha relación con la utilización de servicios socia- les y sanitarios. No se debe olvidar que la mayoría de estos colectivos de población, poten- ciales beneficiarios de la teleasistencia en la casa, tienen enfermedades crónicas e invalidan- tes que han determinado una creciente atención sociosanitaria a domicilio. Tal como destaca el «Programa de personas mayores personas dependientes y sus familiares» publicado por Cruz Roja Española en 2008, en el 12% de los hogares españoles hay al menos una persona que atiende a otra de edad avanzada, y la proyección a 2010 del número de personas depen- dientes con necesidad de cuidados en España asciende a 1.246.429 habitantes. Personas con discapacidad: Los servicios y las tecnologías de teleasistencia pueden ser muy útiles para que las personas con discapacidad puedan ser más autónomas en su vida diaria dentro de su hogar, siempre que su diseño sea usable y accesible para estos colecti- vos. La OMS ya hizo una referencia directa a este enfoque de la discapacidad en su defini- ción recogida en la Clasificación Internacional del Funcionamiento, de la Discapacidad y de la Salud (CIF)16: «Deficiencias en las funciones y estructuras corporales, limitaciones en la capacidad de llevar a cabo actividades y restricciones en la participación social del ser hu- mano.» La teleasistencia domiciliaria puede evitar parte de los desplazamientos fuera del hogar a personas con dificultades de movilidad (para realizar seguimientos especializados, recibir asistencia rápida en casos de urgencia, realizar consultas médicas rutinarias, etc.), consi- guiéndose así que más personas accedan a servicios proporcionados a través de la teleasis- tencia. Es importante tener presente que según la reciente Encuesta de Discapacidad, Auto- nomía personal y situaciones de Dependencia (EDAD), del año 2008, el número de personas con discapacidad residentes en hogares españoles alcanza los 3,8 millones, lo que supone el 8,5% de la población, y de éstas 1,39 millones no pueden realizar alguna de las actividades básicas de la vida diaria sin ayuda. 3.1.3. CONTEXTO TECNOLÓGICO Detallaremos en este momento algunos de los hitos más significativos en investigación y desarrollo financiados por los Programas Marco de I+D de la Unión Europea con participa- ción española17 y que tienen como principal ámbito de aplicación la teleasistencia en el ho- gar. De esta forma se corrobora la tendencia de los gobiernos hacia el impulso de este tipo de iniciativas con el fin de mejorar en el futuro la calidad de vida de las personas. El proyecto más significativo entre los que fueron los antecedentes de la I+D europea en teleasistencia, con participación española (1990 a 1994) fue el proyecto EPIC (1992-1994), proyecto piloto de integración de sistemas telemáticos para la salud, en el cual se tuvieron en cuenta aspectos de confidencialidad e integridad de datos en la transmisión de la infor- 16 GRUPO DE ESTUDIO DE LA OMS: «Informe sobre reuniones de comités de expertos y grupos de estudios. Atención domiciliaria y a largo plazo». Consejo ejecutivo OMS 108.ª reunión, Ginebra, 2001. 17 VALERO, Miguel A., SÁNCHEZ, José A. y BELÉN BERMEJO, Ana: «Servicios y tecnologías de teleasistencia: tendencias y retos en el hogar digital». Informe de vigilancia tecnológica. 2007, p. 46-71. M.C. FERNÁNDEZ ALLER, M.L. MARTÍN RUIZ, I. PAU DE LA CRUZ Y M.A. VALERO DUBOY Establecimiento de políticas de seguridad para incorporar las exigencias de la normativa de protección ... P R IM E R A P A R TE : N u e v a s te cn o lo g ía s, s o ci e d a d y d e re ch o s fu n d a m e n ta le s 1. 3. L a p ro te cc ió n d e lo s d er ec h o s h u m an o s en la s ap lic ac io n es d e la b io lo g ía y la m ed ic in a 6 Derecho y Nuevas Tecnologías © Universidad de Deusto ISBN: 978-84-9830-276-9 mación clínica de los pacientes. En este proyecto se contó con la participación de la Univer- sidad Politécnica de Madrid (UPM). La investigación y desarrollo tecnológico continuó entre 1994 y 1998 con el Cuarto Pro- grama Marco de la Comisión Europea. En esta etapa se desarrollaron aplicaciones y servi- cios que explotan las redes de cable para proveer video atención sanitaria como el proyecto ATTRACT, que contó con la participación y dirección técnica del Grupo de Bioingeniería y Telemedicina de la UPM. En este proyecto se evaluaron seis pilotos de servicios de banda ancha para telemedicina y telecuidado en el hogar implicándose a más de 50 pacientes du- rante períodos que oscilaron entre uno y tres meses. Fue entre los años 1998 y 2002 cuando se produjo la explosión europea en teleasistencia dentro del Quinto Programa Marco, al que pertenecen los siguientes proyectos, que se de- sarrollaron entre los años (2001-2003): a) En el proyecto @HOME, se desarrolló una plata- forma genérica de teleasistencia en el hogar utilizando tecnologías como Bluetooth, GSM y GPRS. Desarrollándose una plataforma para la supervisión remota de pacientes que encon- trándose en su casa reciben atención sanitaria por sus doctores que trabajan desde el hospi- tal; b) CONFIDENT proyecto financiado por la Comisión Europea, con participación de la Fundación Vodafone, Cruz Roja, UPM y Cocemfe tuvo como objetivo principal el desarro- llo de un entorno de información que favoreciera la vida independiente de las personas ma- yores y discapacitados que tienen dificultades para realizar las actividades de la vida diaria. La actualidad de la I+D europea en teleasistencia se encuentra dentro del Sexto Programa Marco (2002-2006), y algunos de sus proyectos son ATTENTIANET, coordinado por ALCA- TEL España, en el cual se desarrolló y validó un sistema de teleasistencia multimedia mediante voz y video a través de ADSL y la red de telefonía móvil, para la asistencia tanto en el hogar como en exteriores y con conexión permanente a un centro de comunicaciones en contacto con profesionales médicos y servicios de emergencia. En K4CARE se implementó y validó un mo- delo para la asistencia a personas mayores en el hogar. SENIORITY desarrolló un sistema de telemonitorización con videoconferencia integrada para la asistencia de personas mayores en el hogar y en entornos residenciales, con la colaboración del CEAPAT-IMSERSO. 3.2. Seguridad en los servicios de teleasistencia en España No existe información disponible en torno a este tema. El Instituto Nacional de Tecnologías de la Comunicación (INTECO) ha reflexionado sobre la seguridad en general, y algunos es- tudios recientes arrojan resultados como el de que el 70% de los ciudadanos se encuentra preocupado por la protección de datos y el uso de información personal por otras personas (Encuesta del CIS Febrero 2008). Sin embargo, esta sensación no se refleja después en las organizaciones, donde está pen- diente la consecución de una mayor cultura de seguridad. 3.3. Normas jurídicas y técnicas aplicables 3.3.1. LEGISLACIÓN APLICABLE A LA PROTECCIÓN DE DATOS En este apartado se recoge la legislación de protección de datos que sería aplicable al sis- tema definido en el proyecto SEMPER. P R IM E R A P A R TE : N u e v a s te cn o lo g ía s, s o ci e d a d y d e re ch o s fu n d a m e n ta le s 1. 3. L a p ro te cc ió n d e lo s d er ec h o s h u m an o s en la s ap lic ac io n es d e la b io lo g ía y la m ed ic in a M.C. FERNÁNDEZ ALLER, M.L. MARTÍN RUIZ, I. PAUDE LA CRUZ Y M.A. VALERO DUBOY Establecimiento de políticas de seguridad para incorporar las exigencias de la normativa de protección ... Derecho y Nuevas Tecnologías 7 © Universidad de Deusto ISBN: 978-84-9830-276-9 — Constitución Española de 27 de diciembre de 1978 (artículos 18, 4 y 105, b). — Convenio 108 del Consejo de Europa (año 1981). — Recomendación Europea 5/1997 del Comité de Ministros del Consejo de Europa sobre protección de datos médicos. — Comunicación de la Comisión Europea. Seguimiento del proceso de reflexión de alto ni- vel sobre la movilidad de los pacientes y los progresos de la asistencia sanitaria en la Unión Europea Bruselas, 20.04.2004. COM (2004) 301 final. — Comunicación «eEurope 2002: Criterios de calidad para los sitios web relacionados con la salud», COM. (2002) 667 final de 29.11.2002. — Comunicación de la Comisión «Salud en línea - cómo mejorar la asistencia sanitaria de los ciudadanos de Europa: plan de acción para un espacio europeo de salud en línea». — Directiva 95/46, relativa a la protección de las personas físicas en los que respecta al tra- tamiento de datos personales y a la libre circulación de estos datos. — Directiva 2000\31\CE, relativa a determinados aspectos de los servicios de la sociedad de la información, en particular, el comercio electrónico en el mercado interior. — Ley de Servicios de la Sociedad de la información (2002) y Ley de Impulso a la Sociedad de la Información (07). — Directiva 2002/58/CE, relativa al tratamiento de los datos personales y a la protección de la intimidad en el sector de las comunicaciones electrónicas. — Directiva 2006/24 sobre conservación de datos generados en comunicaciones electróni- cas. — L.O. 1/82 sobre protección civil del Derecho al Honor, a la intimidad personal y familiar y a la propia imagen. — Ley Orgánica 15/99 de 13 de diciembre, de Protección de Datos de Carácter Personal (en adelante, LOPD). (Art. 6, 7, 8 y 11). — Ley Orgánica 10/95, de 23 de noviembre de 1995, por la que se aprueba el Código Penal. — Reglamento de desarrollo de la Ley Orgánica 19/1999, de 13 de diciembre, de protección de datos de carácter personal, dic 2007 (en adelante, RPD). — Instrucción 1/98, relativa al Ejercicio de los Derechos de Acceso, Rectificación y Cance- lación. — Instrucción 1/2000, relativa a las normas por las que se rigen los movimientos internacio- nales de datos. — Instrucción 1/2004, de 22 de diciembre, de la Agencia Española de Protección de Datos sobre publicación de sus Resoluciones. — Instrucción 1/2006, de 8 de noviembre, de la Agencia Española de Protección de Datos, sobre el tratamiento de datos personales con fines de vigilancia a través de sistemas de cámaras o videocámaras. — Ley 41/2002, de Autonomía del paciente (art. 7, 19 y 16). — Convenio de Oviedo, sobre derechos humanos y biomedicina (BOE 20 oct 99). M.C. FERNÁNDEZ ALLER, M.L. MARTÍN RUIZ, I. PAU DE LA CRUZ Y M.A. VALERO DUBOY Establecimiento de políticas de seguridad para incorporar las exigencias de la normativa de protección ... P R IM E R A P A R TE : N u e v a s te cn o lo g ía s, s o ci e d a d y d e re ch o s fu n d a m e n ta le s 1. 3. L a p ro te cc ió n d e lo s d er ec h o s h u m an o s en la s ap lic ac io n es d e la b io lo g ía y la m ed ic in a 8 Derecho y Nuevas Tecnologías © Universidad de Deusto ISBN: 978-84-9830-276-9 — Ley General de Sanidad, 1986. — Ley 12/2001, de ordenación sanitaria de la CAM. — Ley 16/2003 de 28 mayo de cohesión y calidad del sistema nacional de salud dice que «sólo por atención sanitaria se pueden dar estos datos sin consentimiento». — LEY 14/2007, de 3 de julio, de Investigación biomédica. — LEY 39/2006, de 14 de diciembre, de Promoción de la Autonomía Personal y Atención a las personas en situación de dependencia (art. 4.2 d). — Recomendación de la Agencia de Protección de datos de la Comunidad de Madrid sobre datos de servicios sociales 2008. Los temas de protección de datos comenzaron a recogerse en la legislación europea desde 1981. En España, tenemos este tipo de normativa desde 1992. En la actualidad, existe una norma básica, la LOPD, que regula los tratamientos de datos sensibles. Además, en el RPD se desarrolla pormenorizadamente el tema de seguridad. No hay que olvidar que la normativa de protección de datos es escasamente conocida y no está muy implantada aún en la actualidad18. 3.3.2. NORMAS TÉCNICAS — Normas de la ETSI19 (DTR 102 415-15/06/2005), (DEG 202 487 - 09/09/2007) (VER- SIÓN 12-2007), sobre Factores Humanos. — Norma AENOR 2007 de teleasistencia (versión UNE 158401:2007). IV. Resultados 4.1. Descripción del sistema Las nuevas tecnologías en la casa apuestan por la provisión de servicios de teleasistencia capa- ces de adelantarse a las necesidades de las personas en situación de dependencia complemen- tando a los sistemas tradicionales con soluciones de valor añadido basadas en conocimiento. En este contexto nace el proyecto SEMPER. El sistema que se está desarrollando en el proyecto consiste en el diseño, implementación y validación en un hogar digital de una arquitectura tele- mática basada en la utilización de agentes inteligentes que gestionan de forma segura datos del entorno y hábitos de la persona beneficiaria útiles para prevenir o alertar situaciones que requie- ran atención social o sanitaria inmediata para el ciudadano. El objetivo del sistema es recoger mediante sensores diversos datos que indican situaciones que se están produciendo en el hogar, de forma que el sistema mediante estos agentes inteligentes y utilizando unos sistemas basados en reglas, sea capaz de ayudar a la toma de decisiones y demanda de asistencia en situaciones de riesgo en el hogar tales como caídas, accidentes domésticos, desorientación, etc. 18 Las pequeñas y medianas empresas en España, por ejemplo, desconocen la legislación (un 66% la LOPD, y un 85% el RPD); las Agencias de Protección de datos están haciendo un esfuerzo importante en este sentido, tanto en el sector privado como en lo que se refiere a instituciones públicas. Vid. a este respecto Estudio sobre el grado de adaptación de las pymes a la Ley Orgánica de Protección de Datos (LOPD) y el nuevo Reglamento de Protección de Datos (RDLOPD). Observatorio de la Seguridad de la Información. INTECO, p. 105. 19 European Telecommunications Standards Institute (ETSI) o Instituto Europeo de Normas de Telecomunicaciones. P R IM E R A P A R TE : N u e v a s te cn o lo g ía s, s o ci e d a d y d e re ch o s fu n d a m e n ta le s 1. 3. L a p ro te cc ió n d e lo s d er ec h o s h u m an o s en la s ap lic ac io n es d e la b io lo g ía y la m ed ic in a M.C. FERNÁNDEZ ALLER, M.L. MARTÍN RUIZ, I. PAU DE LA CRUZ Y M.A. VALERO DUBOY Establecimiento de políticas de seguridad para incorporar las exigencias de la normativa de protección ... Derecho y Nuevas Tecnologías 9 © Universidad de Deusto ISBN: 978-84-9830-276-9 El proyecto SEMPER es un sistema de teleasistencia de última generación que no sólo res- ponde a situaciones manifiestas de peligro sino que intenta mejorar la calidad de vida de sus usuarios previniendo, en la medida de lo posible, estas situaciones y complementando sus acciones con acciones formativas y de autocuidado relacionadas con la salud. Para lograr este objetivo el sistema necesita información sobre los usuarios a los que da el servicio. Para ello tiene un perfil sociosanitario del usuario a través del cual conoce las cir- cunstancias sanitarias y sociales del paciente. Por otro lado recoge datos de sus usuarios en su hogar procesándolos para obtener información suficiente que permita establecer hábi- tos de sus ocupantes. Con la mezcla de estos hábitos de los usuarios y sus perfiles sociosa- nitarios el sistema predice, con un alcance limitado, situaciones potenciales tanto de riesgo como de disponibilidad delusuario para la formación o autocuidado de su salud. Como puede deducirse del funcionamiento del sistema, existen tres fuentes principales de información: — El perfil sociosanitario. Procedente del centro de cuidado al que esté adscrito el usua- rio. Típicamente es información clínica y social sobre el paciente. El sistema no actualiza este perfil en ningún momento. Esto será tarea del equipo sanitario. — Hábitos del usuario. Información obtenida de forma dinámica a través de sensores en el hogar. Se establecen perfiles de los usuarios en sus hogares y son la base para saber cuándo ocurre algo extraño o cuándo es el momento idóneo para comenzar una sesión de prevención (formativa o de autocuidado). Las anomalías quedan definidas por la desvia- ción del comportamiento de un usuario con respecto a sus hábitos almacenados. Estos há- bitos van cambiando con el tiempo y el sistema es capaz de recoger estos cambios. — Eventos inferidos por el sistema. Con la unión del perfil sociosanitario y de los hábitos del usuario, y gracias a una serie de conocimientos incorporados por los centros de cui- dado y médicos, se obtienen conclusiones sobre lo que puede estar ocurriéndole al usua- rio. Estas conclusiones son los eventos que provocarán que el sistema avise a los centros de telecuidado por una emergencia, inicie una sesión formativa para el usuario, etc. La mayor parte del tiempo esta información está en el interior del hogar. Sin embargo, exis- ten varias situaciones que provocan que esta información salga del hogar: a) Urgencias. Los servicios asistenciales son avisados ante una situación de peligro (en marcha o inminente). En el aviso se envía la información suficiente para que estos servicios puedan conocer la gravedad y las circunstancias de la situación planteada. b) Sesiones de autocuidado o for- mativas, que requieren que el sistema descargue los contenidos necesarios para mostrárselos al usuario. En este caso sólo se producirá una petición a algún centro remoto por lo que la transmisión de la información se puede considerar unidireccional hacia el interior del hogar. 4.2. Retos pendientes La información manejada en el interior de la vivienda debe cumplir la LOPD, así como el resto de legislación que le es aplicable, en los términos planteados posteriormente. Para dar este soporte al proyecto SEMPER se ha integrado con otro proyecto denominado HOPS20, 20 Desarrollo de un dispositivo inteligente para securización de servicios de e-salud en el hogar digital (HOPS), financiado por IV PRICIT de la Comunidad de Madrid. 2007. M.C. FERNÁNDEZ ALLER, M.L. MARTÍN RUIZ, I. PAU DE LA CRUZ Y M.A. VALERO DUBOY Establecimiento de políticas de seguridad para incorporar las exigencias de la normativa de protección ... P R IM E R A P A R TE : N u e v a s te cn o lo g ía s, s o ci e d a d y d e re ch o s fu n d a m e n ta le s 1. 3. L a p ro te cc ió n d e lo s d er ec h o s h u m an o s en la s ap lic ac io n es d e la b io lo g ía y la m ed ic in a 10 Derecho y Nuevas Tecnologías © Universidad de Deusto ISBN: 978-84-9830-276-9 surgido a partir del primero y desarrollado también en el mismo grupo de investigación. El proyecto HOPS provee la capacidad de proteger la información con los niveles establecidos en la LOPD. Por tanto cuando el sistema SEMPER debe enviar la información al exterior de la vivienda, primero le dará esta información al sistema de securización HOPS y le indicará el nivel de protección requerido (básico, medio o alto). Sin embargo existen algunos retos pendientes en el proyecto SEMPER para garantizar la coherencia en la seguridad de la información de sus usuarios: a) Categorización de la información21. Actualmente toda la información es entregada al sis- tema HOPS para una securización conforme al nivel que se establezca según el tipo de información de que se trate. Se está investigando para conseguir que el sistema inteli- gente seleccione la información y la clasifique por nivel de seguridad, de modo que en cada caso sea capaz de utilizar el nivel alto, medio o básico según sea necesario. b) Nuevas protecciones para la información. Añadir nuevas características de seguridad adi- cionales a las exigidas por la normativa aplicable siempre es una cualidad deseable. Ac- tualmente se está trabajando en la posibilidad de incluir anonimato22 y servicios de traza- bilidad de información. 4.3. Aspectos éticos Los aspectos éticos y de privacidad en la interacción profesional sanitario-paciente son un condicionamiento esencial para el desarrollo y aceptación de uso de los servicios de telecui- dado en el hogar. La dimensión ético-legal de un servicio de e-salud es crítica para alcanzar un nivel de implantación globalmente aceptado por los usuarios. Cada contexto es respon- sable de la adopción de requisitos legales críticos para la provisión del servicio. Las cuestio- nes de mayor relevancia en este ámbito incluyen el derecho a la asistencia sanitaria, la pri- vacidad de la información, la calidad de vida de los pacientes y familiares y la regulación de las relaciones entre el proveedor y el paciente. Para lograr que el sistema SEMPER sea compatible con los principios anteriores se han incluido desde la fase de análisis los siguien- tes requisitos de funcionamiento23: Respeto a la privacidad de los usuarios: 21 Los sensores que utiliza el sistema que, a priori, parecen contener datos sensibles de usuarios son: sensor to- mas medicación; sensor inconsciencia; sensor permanencia suelo baño; sensor biomédico de tensión; sensor al- teraciones en la marcha. 22 La Directiva 95/46/CE incluye la anonimización entre los posibles tratamientos de datos personales que requie- ren consentimiento expreso del titular de los datos. (artículo 2,b). Esto ha sido criticado por la doctrina, porque por una parte el legislador europeo anima al uso de datos anónimos para proteger la intimidad, pero por otro establece el requisito de solicitud de consentimiento, lo que dificulta y retarda el proceso. En este sentido, véase ROMEO CA- SABONA: Implicaciones jurídicas de la utilización de muestras biológicas humanas y biobancos en investigación científica. Bilbao, 2007, p. 32. http://www.catedraderechoygenomahumano.es [en línea. Consulta 1-6-09]. A este respecto, resultan interesantes y nos pueden servir de modelo algunas experiencias premiadas como mejores prácticas de protección de datos por la Agencia de Protección de Datos de la Comunidad de Madrid, entre las que figuran centros y servicios sanitarios públicos. Cabe citar los casos del Hospital Virgen del Camino de Pamplona: «Procedimiento de anonimización de pacientes al ingreso»; o de confidencialidad y gestión de la información y ser- vicio de seguridad tecnológica a organizaciones del NHS Británico, entre otros. Vid. Memoria del IV Premio a las Mejores Prácticas Europeas en materia de protección de datos. Ed. Thomson-Civitas, Madrid, 2008, 2009. 23 User Exp erience Design Guidelines for Ubiquitous, Mobile Telecare Services. Bruno von Niman1,2,3, Tor- bjørn Sund1,2, Alejandro Rodríguez-Ascaso1,2 and Steve Brown1. European Telecommunication Standards Institute (ETSI) Specialist Task Force 2991 (following Development in STF 2642) 560, Rue des Lucioles, So- phia Antipolis, France. P R IM E R A P A R TE : N u e v a s te cn o lo g ía s, s o ci e d a d y d e re ch o s fu n d a m e n ta le s 1. 3. L a p ro te cc ió n d e lo s d er ec h o s h u m an o s en la s ap lic ac io n es d e la b io lo g ía y la m ed ic in a M.C. FERNÁNDEZ ALLER, M.L. MARTÍN RUIZ, I. PAU DE LA CRUZ Y M.A. VALERO DUBOY Establecimiento de políticas de seguridad para incorporar las exigencias de la normativa de protección ... Derecho y Nuevas Tecnologías 11 © Universidad de Deusto ISBN: 978-84-9830-276-9 — Minimizar la intrusión en la vida de los usuarios cuando se introducen servicios de tele- asistencia ydurante la recogida y uso de sus datos. — Evitar el uso de lenguaje técnico con los usuarios en cuanto puede interferir en la com- prensión de los servicios de tele-asistencia. — Tomar en cuenta el papel de los parientes, amigos y personas que provean cuidados infor- malmente, y sus implicaciones en la provisión de servicios de tele-asistencia. — Reducir el impacto del equipo en los hogares, adaptando el diseño y otras características al entorno del hogar. — Presentar los servicios de tele-asistencia como herramientas de mayor autonomía, más que como signo de dependencia en servicios y ayuda externos. — Estos servicios deben ofrecerse como complemento o alternativa, al menos tan eficiente como la original, a los servicios de salud ofrecidos personalmente. — Los códigos éticos de los profesionales de la asistencia deben aplicarse a los servicios de tele-asistencia. Estos requisitos han condicionado el desarrollo del sistema convirtiéndolo en algo compati- ble con los citados aspectos éticos y de privacidad para la persona. 4.4. Protección de datos 4.4.1. ACERCA DE LA APLICABILIDAD DE LA NORMATIVA DE PROTECCIÓN DE DATOS AL SEMPER La protección de datos tiene una excepción en el artículo 2.2 a) de la LOPD, excluyéndose del ámbito de aplicación de la ley los ficheros de datos personales mantenidos por personas físicas en el ejercicio de actividades exclusivamente personales o domésticas; sin embargo, en el momento en el que la información sale al exterior de la casa, comienzan potenciales peligros para la privacidad. Los ficheros o conjuntos organizados de datos mantenidos por centros de salud, entidades asistenciales, etc. sí están sometidos a la legislación de protec- ción de datos. Y si la información referida al titular de los datos cambia de ubicación, éste debe conocerlo. El principio de calidad del artículo 4 de la LOPD obliga a que los usos que se hagan de la información personal sean compatibles con las finalidades de la recogida, y a que se respete el principio de proporcionalidad. Como ya hemos explicado en la introducción, muchos de los datos manejados por el SEM- PER son datos de salud, y por tanto, sensibles. Los requisitos legales son más exigentes que para otro tipo de datos. Hay que recordar que dato de salud es también todo dato con trascendencia sanitaria (nú- mero de caídas de la persona mayor se consideraría dato de salud, por ejemplo). El apar- tado 45 de la Memoria Explicativa del Convenio 108 del Consejo de Europa viene a definir la noción de «datos de carácter personal relativos a la salud» considerando que su concepto abarca «las informaciones concernientes a la salud pasada, presente y futura, física o men- tal, de un individuo», pudiendo tratarse de informaciones sobre un individuo de buena sa- lud, enfermo o fallecido. Así mismo, la Recomendación n.º R (97) 5 del Comité de Ministros del Consejo de Europa, referente a la protección de datos médicos, afirma que «la expresión datos médicos hace re- M.C. FERNÁNDEZ ALLER, M.L. MARTÍN RUIZ, I. PAU DE LA CRUZ Y M.A. VALERO DUBOY Establecimiento de políticas de seguridad para incorporar las exigencias de la normativa de protección ... P R IM E R A P A R TE : N u e v a s te cn o lo g ía s, s o ci e d a d y d e re ch o s fu n d a m e n ta le s 1. 3. L a p ro te cc ió n d e lo s d er ec h o s h u m an o s en la s ap lic ac io n es d e la b io lo g ía y la m ed ic in a 12 Derecho y Nuevas Tecnologías © Universidad de Deusto ISBN: 978-84-9830-276-9 ferencia a todos los datos de carácter personal relativos a la salud de una persona. Afecta igualmente a los datos manifiesta y estrechamente relacionados con la salud, así como con las informaciones genéticas». El artículo 5 del Reglamento de desarrollo de la LOPD define específicamente los datos de salud en la línea de estos textos europeos. 4.4.2. CESIÓN DE DATOS PROCEDENTES DEL HOGAR DIGITAL En la prestación de servicios de tele-asistencia existirá un flujo importante de datos de ca- rácter personal sensibles. En concreto, en la tarea 4.4 definida en el proyecto se alude a: «transmisión de datos a proveedores de cuidados asistenciales». Debemos preguntarnos si dichos datos están incluidos entre los datos sensibles de la normativa de protección de datos vigente. El artículo 8 de la LOPD establece y regula los datos relativos a la salud señalando que, sin perjuicio de lo que se dispone en el artículo 11 respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes, podrán proce- der al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la le- gislación estatal o autonómica sobre sanidad. De esta forma, no es necesario pedir consenti- miento para el tratamiento de datos cuando el destinatario sea un centro sanitario. Fuera de estos casos, es preciso el consentimiento expreso de los titulares de los datos o la existencia de una Ley que permita el tratamiento de dichos datos. Esto puede suceder en el caso de que determinados datos personales pasen del hogar digital a centros asistenciales. Hay que matizar también lo dispuesto en el artículo 7.6 de la LOPD, que permite trata- mientos de datos sin consentimiento: «…cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tra- tamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra per- sona sujeta asimismo a una obligación equivalente de secreto». Esta disposición podría ser aplicada analógicamente al SEMPER en el caso de cesión a instituciones sanitarias (cen- tros de salud, por ejemplo). Sin embargo, hay que señalar que la Agencia de Protección de datos española ha rechazado esta regulación, y entiende que ésta ha de interpretarse en sen- tido estricto, de forma que sólo puedan tratarse datos sensibles sin consentimiento en dos casos: o bien que exista una norma que regule el tratamiento de forma general, o bien que el mismo sea necesario e imprescindible para la salvaguarda de un interés vital y ello se justifique debidamente. Lo cual da idea de que el tema de la utilización de datos médicos no es pacífica en la doctrina ni en las instituciones, entre otras cosas, por la novedad del mismo. De todo esto se deduce que la mayor parte de información que se maneja en el SEMPER (con la excepción de datos referidos a escapes de gas, inundaciones, entre otros) es infor- mación sensible que requiere especial protección para su tratamiento y cesión. En concreto, será imprescindible informar al usuario acerca de los usos que se van a dar a sus datos, so- licitar consentimiento expreso para su tratamiento y adoptar una serie de medidas de segu- ridad. Evidentemente, desde este grupo de investigación establecemos recomendaciones di- rigidas a los destinatarios de los datos, que con base en las mismas podrían definir políticas de privacidad. En último término, estos destinatarios (centros de salud, Cruz Roja, etc.) se- rían los responsables de los ficheros, sobre quiénes recaen las obligaciones de protección de datos de la ley. P R IM E R A P A R TE : N u e v a s te cn o lo g ía s, s o ci e d a d y d e re ch o s fu n d a m e n ta le s 1. 3. L a p ro te cc ió n d e lo s d er ec h o s h u m an o s en la s ap lic ac io n es d e la b io lo g ía y la m ed ic in a M.C. FERNÁNDEZ ALLER, M.L. MARTÍN RUIZ, I. PAU DE LA CRUZ Y M.A. VALERO DUBOY Establecimiento de políticas de seguridad para incorporar las exigencias de la normativa de protección ... Derecho y Nuevas Tecnologías 13 © Universidad de Deusto ISBN: 978-84-9830-276-9 4.4.3. EL SUJETO DE PROTECCIÓN: EL TITULAR DE LOS DATOSPERSONALES Sin duda el usuario del SEMPER es el titular de los datos en muchas ocasiones. Esto signi- fica que la ley le reconoce el derecho a controlar los usos que se hagan de sus datos, sean éstos de carácter íntimo o no. En este sentido hay que recordar que el derecho a la protec- ción de datos abarca un ámbito mayor que el derecho a la intimidad24. Para que dicho derecho sea respetado, la ley reconoce derechos al titular y deberes al res- ponsable. Los derechos del titular son el derecho de acceso, rectificación, cancelación, opo- sición, información, consulta, indemnización e impugnación de valoraciones arbitrarias; los deberes del responsable son el de seguridad; el de cautela en la comunicación de los datos, de forma que sólo en algunos casos tasados por ley se permita dicha cesión; o el de secreto o confidencialidad. Así mismo, existen algunas obligaciones formales, como la necesidad de inscribir el fichero en el Registro General de Protección de Datos. Aún en el caso de que los datos se cedan a instituciones sanitarias, habría que tener en cuenta que la jurisprudencia americana25 ha resuelto que, aunque los historiales clínicos son propiedad de la institución que los recoge, resulta evidente que el titular de los datos tiene interés legal. Dicho interés le permite controlar los usos que se den a esa información, al menos durante el tiempo que ésta sea útil. Esto incluiría, por ejemplo, el derecho a limitar la diseminación de información, el derecho a controlar las cesiones, etc. Esta jurisprudencia podría aplicarse analógicamente a nuestro caso, e iría en la línea restrictiva que sostiene la Agencia Española de Protección de Datos. 4.4.4. MEDIDAS DE SEGURIDAD EXIGIBLES A LA LUZ DE LA NORMATIVA DE PROTECCIÓN DE DATOS Se trataría de determinar aquí qué medidas de seguridad serían aplicables y si con el HOPS está garantizado el nivel exigido por el legislador. Las medidas de seguridad previstas en el Reglamento de Protección de Datos tienen que aplicarse a cualquier fichero o tratamiento de datos de carácter personal, con independencia: a) de quién realice el tratamiento (el responsable del fichero; el encargado —artículo 3, g) LOPD y 82 RPD—; las prestaciones de servicios sin acceso a datos personales —artículo 83 RPD—); b) desde dónde se realice (a través del redes de telecomunicación —artículo 85 24 El Tribunal Constitucional ha reconocido un derecho específico a la autodeterminación informativa en la sentencia 292/2000, de 30 de noviembre, definiéndolo como el «poder de disposición y recontrol sobre los da- tos personales que faculta a la persona para decidir cuáles de esos datos proporcionar a un tercero, sea el Es- tado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién posee esos datos personales y para qué pudiendo oponerse a esa posesión y uso». Dentro del contenido de este dere- cho fundamental se encontrarían los principios de calidad de los datos, información en la recogida de los mis- mos, consentimiento del afectado para su tratamiento y para la cesión, seguridad informática y deber de secreto. También los derechos de acceso, oposición, rectificación y cancelación sobre los datos de carácter personal so- metidos a tratamiento. En este sentido, la protección de datos es un derecho autónomo y nuevo, diferenciado del derecho a la intimi- dad, pero también un instrumento de garantía de otros derechos fundamentales. Sin embargo, hay que matizar que, en el caso de la información relacionada con la salud, los tratamientos de datos personales afectan princi- palmente al derecho a la intimidad, ya que los datos de salud son íntimos. Por tanto, la protección de los datos de la salud no sólo es consecuencia del derecho a controlar nuestros datos sino también del derecho a tener una vida privada, y en el fondo, de nuestra propia dignidad personal. Vid. en este sentido TRONCOSO REIGADA, A.: Protección de datos personales para servicios sanitarios públicos. Thomson-Civitas, Madrid, 2008, p. 17. 25 SMEDINGHOFF: On line Law. The Software Publishers Association. USA, 1996, p. 274. M.C. FERNÁNDEZ ALLER, M.L. MARTÍN RUIZ, I. PAU DE LA CRUZ Y M.A. VALERO DUBOY Establecimiento de políticas de seguridad para incorporar las exigencias de la normativa de protección ... P R IM E R A P A R TE : N u e v a s te cn o lo g ía s, s o ci e d a d y d e re ch o s fu n d a m e n ta le s 1. 3. L a p ro te cc ió n d e lo s d er ec h o s h u m an o s en la s ap lic ac io n es d e la b io lo g ía y la m ed ic in a 14 Derecho y Nuevas Tecnologías © Universidad de Deusto ISBN: 978-84-9830-276-9 RPD—, en nuestro caso); c) de cómo se realice (ficheros temporales o trabajo fuera de los locales del responsable o encargado —artículos 86 y 87 del RPD—). En este momento, el nivel básico del SEMPER incluye únicamente el firmado de la infor- mación con las claves almacenadas de forma fiable en el dispositivo, asegurando así la iden- tidad del firmante del mensaje y su autenticidad. El nivel medio añade un cifrado de la in- formación previo al firmado proporcionando confidencialidad al usar la clave del servidor del centro con el que se comunica el usuario para que sólo pueda ser descifrado cuando sea recibido en el destino. El nivel alto añade también mecanismos de verificación asegurando la integridad por medio de una función hash de la información que se adjunta en el envío de la información para comprobar que lo que estamos enviando no ha sido manipulado y ade- más incorpora mecanismos de no repudio. Con este sistema de seguridad hay una parte de las medidas que garantizan el cumplimiento de los requisitos legales, esencialmente el cifrado de la información; sin embargo, hay que tener en cuenta que existen otras medidas de seguridad que también será necesario imple- mentar, en función de si los datos son de nivel alto, medio o básico26: a) Definición de las funciones y obligaciones de cada uno de los usuarios o perfiles de usuarios con acceso a los datos de carácter personal; b) Registro de incidencias; c) Control de acceso; d) Gestión de soportes y documentos; e) Correcta identificación y autenticación de los usuarios; f) Copias de respaldo y recuperación; g) Responsable de seguridad; h) auditoría. V. Conclusiones 1. Los aspectos relacionados con ética y privacidad son especialmente importantes en el momento del diseño de la tecnología. Aunque no es habitual que los grupos de investigación tecnológicos integren a personas de otros ámbitos del conocimiento como los éticos y los jurídicos, el SEMPER ha apostado decididamente por estas cuestiones. 2. La visión de la ETSI en torno a la ética se centra en la mejora en la calidad de vida del ciudadano. El SEMPER mejorará la calidad de vida de las personas con estos sistemas «in- teligentes» si se demostrase que contribuyen a una mayor autonomía personal, que es el le- gítimo deseo de las personas en situación de dependencia. En la medida en que SEMPER cuide a la persona sin hacerle sentir controlado, así contribuye a su autonomía personal ex- presada en mejorar su capacidad de vivir autónomamente y a la vez con mayor protección sociosanitaria sin invadir su privacidad. Es importante destacar el potencial de SEMPER de comunicar situaciones que requieran atención inmediata o rutinaria sin enviar el detalle de la información hasta ser autorizado y requerido por el profesional o familiar adecuado. 3. De entre las cuestiones estratégicas que la ETSI27 propone como cruciales en relación a la privacidad, el sistema SEMPER ha tenido en cuenta las siguientes: a) Mantenimiento de la información lo más localmente posible. Sólo se comunicará infor- mación a un tercero (salida de información hacia afuera de la casa) si es estrictamente necesario. En ese caso, se dará información al titular de los datos de forma expresa, pre- cisa e inequívoca, tal y como prescribe el artículo 5 LOPD. 26 Vid. Artículos79 y siguientes del Reglamento de desarrollo de la LOPD. 27 ETSI DEG 202 487 V 0.0.41 (2007-09-09). Human factors; User experience guidelines; Telecare services (-Health). P R IM E R A P A R TE : N u e v a s te cn o lo g ía s, s o ci e d a d y d e re ch o s fu n d a m e n ta le s 1. 3. L a p ro te cc ió n d e lo s d er ec h o s h u m an o s en la s ap lic ac io n es d e la b io lo g ía y la m ed ic in a M.C. FERNÁNDEZ ALLER, M.L. MARTÍN RUIZ, I. PAU DE LA CRUZ Y M.A. VALERO DUBOY Establecimiento de políticas de seguridad para incorporar las exigencias de la normativa de protección ... Derecho y Nuevas Tecnologías 15 © Universidad de Deusto ISBN: 978-84-9830-276-9 b) El control de los datos es del usuario. Además de los procedimientos técnicos necesa- rios para que el sistema deje de funcionar o no transmita información (los servicios de asistencia serán avisados al respecto), el sistema se ha pensado usando la experiencia del grupo en aspectos de usabilidad y accesibilidad de forma que el usuario pueda tener ca- pacidad de controlar algunas capacidades del sistema. Para lograr el objetivo de la usabilidad, en la fase de validación del proyecto se han utili- zado cuestionarios para valorar la usabilidad y utilidad de la tecnología. En ese momento, se han incluido preguntas relacionadas con estos temas para conocer si los futuros usuarios tie- nen sensibilidad hacia los temas de privacidad. c) Más autonomía al paciente o mayor. En el sistema SEMPER no se colocan cámaras, lo cual garantiza no sólo la autonomía del paciente, sino sus derechos fundamentales a la imagen y a la privacidad. d) Necesidad de promover estándares de privacidad en la industria. De esta forma, será an- tes y no después de la puesta en marcha de los dispositivos, que los asuntos de seguri- dad, por ejemplo, comiencen a ser tenidos en cuenta. Creemos que el estilo de trabajo de este grupo está contribuyendo a que esta aspiración se haga realidad. 4. El SEMPER está teniendo en cuenta los principios de protección de datos establecidos por la legislación europea y española, especialmente el de calidad, información, consenti- miento y seguridad. 5. El SEMPER puede considerarse una PET ya que desde sus orígenes tuvo como uno de sus principales objetivos la salvaguarda de la imagen y la privacidad de los datos de sus usuarios. Para ello no sólo se han tenido en cuenta los aspectos de seguridad en su diseño sino que ha dado lugar a proyectos asociados totalmente enfocados a mejorar la relación de la seguridad con el usuario como es el caso del proyecto HOPS previamente citado.
Continuar navegando
Materiales relacionados
201 pag.
107 pag.
16 pag.HCE-entre-la-e-salud-y-la-privacidad
Tus Materiales
23 pag.E-Salud: Historia Clínica Electrónica
Contenidos Diversos
Compartir