Protegiendo los datos de los pacientes en la nube

olvido_internetPor Marta Sánchez Valdeón

Uno de los retos a los que se enfrentan los profesionales sanitarios, es la seguridad de los datos de sus pacientes. Una de las soluciones es almacenarlos en la nube, lo que se conoce como cloud computing, “un paradigma que permite ofrecer servicios de computación a través de Internet”. La Agencia Española de Protección de datos, establece que “el cloud computing es una nueva forma de prestación de los servicios de tratamiento de la información, válida tanto para una empresa como para un particular y, también, para la Administración Pública”.

En un entorno de cloud computing la gestión de la información está de forma virtual en manos del cliente que contrata los servicios de la nube, que la trata a través de Internet accediendo a soluciones de bases de datos, correo electrónico, nóminas o gestión de recursos humanos de acuerdo a sus necesidades.

Una de las principales desventajas que presentan estos “servicios en la nube”, es que los datos del negocio no residen en las instalaciones de las empresas, lo que podría generar un contexto de alta vulnerabilidad para la sustracción o robo de información. En este aspecto hay que recordar que el art. 9 de la Ley Orgánica de Protección de Datos (en adelante LOPD) dice respecto a la seguridad de los datos que el responsable del fichero, y, en su caso, el encargado del tratamiento deberán adoptar las medidas de índole técnica y organizativas necesarias que garanticen la seguridad de los datos de carácter personal y eviten su alteración, pérdida, tratamiento o acceso no autorizado, habida cuenta del estado de la tecnología, la naturaleza de los datos almacenados y los riesgos a que están expuestos, ya provengan de la acción humana o del medio físico o natural. Igualmente contempla que no se registrarán datos de carácter personal en ficheros que no reúnan las condiciones que se determinen por vía reglamentaria con respecto a su integridad y seguridad y a las de los centros de tratamiento, locales, equipos, sistemas y programas.

Otro problema añadido es la ubicación real de esos “datos en la nube”. Es importante identificar qué proveedores de cloud están localizados dentro del Espacio Económico Europeo o en países que de una u otra forma garanticen un nivel adecuado de protección de los datos de carácter personal. Esta localización afecta no sólo a la sede del proveedor de cloud, sino también a la localización de cada uno de los recursos físicos que emplea para implementar el servicio, de forma directa o subcontratada. Y hay que enfatizar que hay que tener en cuenta la localización de todos los recursos pues, por la misma naturaleza del servicio de cloud, los datos pueden estar en cualquier momento en cualquier sitio, pero los derechos y obligaciones relativos a dichos datos han de garantizarse siempre. Para la Ley de Protección de Datos, es determinante esta apreciación ya que, dependiendo de que los datos se encuentren en España o en otro país, habrá que establecer si la cesión de esos datos constituye una “transferencia internacional de datos” o no, ya que las consecuencias legales de un tratamiento u otro, son diferentes.

Por último recordar que no todos los servicios y proveedores de cloud computing son iguales, ni lo son las posibles relaciones que se establecen entre clientes y proveedores. Las nubes se pueden clasificar de muchas formas atendiendo a varios criterios y lo que más interesa, desde el punto de vista de la normativa española de protección de datos, es cómo afectan dichas modalidades de implementación al tratamiento de datos de carácter personal, con el fin de dar cumplimiento a todas las garantías impuestas por la Ley.