“La capacidad de crear una realidad imaginada a partir de palabras permitió que un gran número de extraños cooperaran de manera efectiva. Pero también hizo algo más. Puesto que la cooperación humana a gran escala se basa en mitos, la manera en que la gente puede cooperar puede ser alterada si se cambian los mitos contando narraciones diferentes”. Harari, Yuval, 2011. Sapiens.
Esta idea de Harari viene perfecta para describir la terrible situación paraguaya en el tema “Protección de Datos Personales”.
En otra entrada les explicaba por qué era importante que contemos con una Ley de Protección de Datos Personales: https://www.datospersonales.org.py/por-que-es-importante-para-paraguay-una-ley-de-proteccion-de-datos-personales/
Hoy los invito a que recorramos un poco más la realidad de nuestro país para entender por qué hay situaciones que tratamos como relevantes y no son más una realidad imaginada antes que un problema importante, urgente y acuciante.
Me voy a enfocar en algunos puntos que deberían ocuparnos a todos. El primero es el tema “datos médicos”.
Los datos personales tienen clasificaciones a su vez y, dentro de estas clasificaciones, está embebida la mayor o menor protección que el “Data Owner” (Propietario de los datos) ejerce sobre la privacidad de esa información personal. Tenemos así los datos identificativos, académicos, profesionales, biométricos, médicos, etc. Los datos médicos, de salud, biométricos, son tipos de datos personales especialmente protegidos y esa debería ser la política que el gobierno tendría tomar con ellos, esto es, protegerlos especialmente.
Voy a tomar dos extremos, el público y el privado, donde seguros médicos de esos ámbitos tratan los datos personales (identificatorios, de salud, biométricos, etc.) y, curiosamente, tienen comportamientos similares, hasta en la falta de respuesta en los requerimientos que los asegurados les hacen.
En la parte privada elegí a ASISMED. Me comuniqué con ellos, les escribí, les llamé, y sigo esperando que me respondan. El caso de ASISMED me llamó la atención cuando tuve que acompañar a un familiar y veo que les tomaban las huellas digitales a niños y niñas para que pasen a los consultorios… Me quedé noqueado al ver a los niños poner sus deditos en los lectores biométricos…Me acerqué a los padres, me presenté y les pregunté: ¿recuerdan Uds. si el contrato que firmaron con ASISMED especificaba de qué manera se trataría la información personal de Uds. o de sus hijos? Las respuestas fueron:
- Ni leí el contrato…
- No decía nada…
- No me acuerdo, pero creo que no.
Por eso empecé a llamar a este seguro a pedir informes, pero nada. Entonces contacté a varios asegurados para hacerles la consulta y, habiendo ellos buscado sus contratos, nada decían de la forma de tratar los datos personales biométricos y, peor, en casos de que las empresas decidan asegurar a sus funcionarios con ASISMED, los contratos están en las empresas y por ende la toma de datos biométricos de los niños es un mero trámite de autorización verbal de los padres…. Desde todo punto de vista esto es aberrante.
Como si esto fuera poco, en la misma semana, habiendo compartido este hecho con algunas personas, me cuentan que, cuando alguien va a un consultorio y debe hacerse un estudio o análisis, el diagnóstico (información personal, médica, sensible) debe ser asentado por el médico tratante en la hoja de pedido del estudio o análisis y, de no hacerlo, la gente de auditoría médica interna los apercibe.
¿Se dan cuenta? El diagnóstico es una información personal sensible de sumo cuidado. Lo escriben en un pedido de análisis o de estudios y lo ve todo el mundo…
¿Cómo debe funcionar esto? Si hubiese una ley de protección de datos personales o ley de expediente médico digital, o si las escasas leyes existentes fuesen aplicadas, las personas autorizadas a ver el contenido personal de la ficha médica del paciente deberían estar previamente individualizados, inscriptos en el Ministerio como responsables de tal fin y toda la gestión debería ser plausible de ser trazada en todo momento. Hoy, eso no pasa.
Lo más irónico de esto es que este seguro privado tiene, en su sanatorio estrella (La Costa), un manual de ética en el sitio: http://www.lacosta.com.py/documentos/Codigo-de-Etica_A4.pdf, y este mismo año anunciaban a tambor batiente una certificación internacional en todo el proceso de gestión de la salud, algo así como una ISO pero para hospitales, mediante el ITAES – Instituto Técnico para la Acreditación de Establecimientos de Salud – que pueden verificar en el sitio: https://www.itaes.org.ar/
También cuentan, con la web www.asismed.com.py, sitio vulnerable que no tiene ningún certificado de seguridad, en donde entre las “Normas de uso” y los “Avisos legales” hay algunos articulados que fungen de marco de referencia para el uso de la plataforma digital, una vergüenza: http://asismed.me/normas-de-uso, http://asismed.me/aviso-legal.
Pero volvamos a los datos médicos. Un seguro privado, que tiene una certificación internacional y que no tiene un solo papel o marco legal de referencia que le permita a los asegurados tener trazabilidad de sus datos o al menos la privacidad de preservación del diagnóstico, que no responden los emails, las consultas, las llamadas; que prometen llamar para explicar, pero que no lo hacen, esa es la realidad de miles de personas hoy. Gracias a Dios hay gente seria y la Organización ITAES sí me respondió. En otro espacio compartiré con todos lo que implica la certificación internacional de ASISMED y las obligaciones que estas implicaciones generan.
A la postre, y para probar si los emails de ASISMED funcionan, le pedí a un cliente que escribiera para pedir presupuestos y condiciones para contratar un seguro full… Le respondieron y le pasaron las condiciones, donde nada dicen del tratamiento de la información biométrica, ni de ellos ni de sus hijos, por ejemplo. ¿Vos sos asegurado? ¿Ya viste si esto te pasa?
En el ámbito público el panorama no es más alentador. Si bien no hay una Ley de Expediente Médico Digital, hay un “Manual de Normas y Procedimientos del Expediente Clínico”, del año 2010/12, la ley 836/80 que es el Código Sanitario de la Nación, y algunas leyes complementarias y específicas como la ley 3940 referida a los pacientes con VIH-SIDA. Todo este escaso bagaje legal le da solamente al Ministerio la Potestad de ser juez, jurado y verdugo del cumplimiento o no de las buenas prácticas en el tratamiento de la información personal médica.
Bien, IPS está interconectado de forma salvaje los hospitales, clínicas y centros de salud mediante cooperación taiwanesa, hablando de receta electrónica, de datos transfronterizos, pero EN NINGÚN momento han respondido las preguntas sobre las medidas de seguridad para con los datos de la población, con la interoperabilidad entre bases de datos públicas y privadas, y sobre la trazabilidad que cualquier usuario/cliente/ciudadano/asegurado debiera poder hacer de su información. Los que quieran seguir este pedido de información pública lo pueden hacer en el que hice: https://informacionpublica.paraguay.gov.py/portal/#!/ciudadano/solicitud/26854
El Ministerio Interconecta, pero no le da solución a más de 30 sistemas informáticos independientes, arcaicos, que no hablan entre sí, llenos de datos de salud de la ciudadanía y que le niegan a la población la posibilidad de saber, por poner un ejemplo básico, cuántas veces fue irradiada o sometida a rayos X….
Y, como si esto fuera poco, el ente estatal permite abusos por parte de algunas empresas maquiladoras (entre otras) que exigen a sus funcionarios análisis de sangre, orina, etc., y los obligan a presentar en administración los resultados de esos análisis.
En resumen, datos interconectados, malas prácticas, falta de trazabilidad, control y falta de transparencia en la gestión del tratamiento de la información personal médica/biométrica/sensible son moneda habitual en una administración privada y pública que están marcadas por la informalidad, la negligencia y la falta de información.
Para acabar con esto es que necesitamos que nuestros legisladores entiendan que la “Ley de ´Protección de Datos Personales”, no es una ley de buró de crédito, no se puede improvisar, no se puede copiar, no se puede errar con el objetivo porque quedamos como hoy, expuestos, indefensos y comprometidos.
De vuelta, no me creas a mí. Andá a tu seguro y exigí saber:
- ¿Dónde se guardan tus datos?
- ¿Por cuánto tiempo se guardan?
- ¿Quién revisa tus datos y para qué?
- ¿Con quién se comparten tus datos?
- ¿De qué manera aseguran la privacidad de los datos recolectados?
Tu interés es la fuente de tu derecho.
Miguel Angel Gaspar
CEO & FOUNDER Tekhnos ITSD
Director Paraguay Ciberseguro
