A medida que 2015 comienza a aparecer en los libros de historia de ciberseguridad como "el año de los robos de datos a instituciones de salud", decidí analizar un aspecto de la privacidad de los datos médicos que a veces se pasa por alto: el impacto de las brechas de seguridad en el intercambio de información entre médico y paciente.
Los ataques a instituciones médicas provocan que más personas retengan información confidencial por miedo a que quede expuesta
Lo que me preocupa en particular es que la creciente cantidad de ataques de seguridad informática a instituciones médicas de alto perfil estén provocando que más personas retengan información confidencial ante sus médicos por miedo a que quede expuesta, dada la escasa protección de su privacidad o los controles de seguridad ineficientes.
La existencia de tales temores se hace muy evidente al conversar con las personas acerca de los importantes robos de datos sanitarios que tuvieron lugar durante 2015. Solamente los seis ataques más grandes de todos los ocurridos en dicho año afectaron más de 100 millones de historiales médicos. Entrevisté a muchas personas cuyos datos quedaron expuestos en esas filtraciones y que posteriormente experimentaron una o más formas de intentos de robo de su identidad.
Por supuesto, es difícil obtener pruebas directas que vinculen un ataque de datos específico a una instancia específica de robo de identidad. Pero si el robo de identidad tiene lugar poco después de una filtración de datos en la Empresa A, de la cual la persona es cliente, probablemente sospeche que esa filtración de datos en particular sea la causa del problema. Cuando se produce una serie de ataques en un corto período de tiempo, hay culpa de sobra para repartir. Aunque seas la Empresa A y estés seguro de que tu brecha de seguridad no tuvo como consecuencia ningún robo de identidad, de todos modos te pueden culpar.
Cuál es el problema de retener datos
La necesidad de los médicos de mantener la información confidencial del paciente es tan antigua como la práctica de la medicina en sí: en la versión original del Juramento hipocrático, el médico juraba mantener la información del paciente "sagrada y secreta" dentro de su propio pecho. Para decirlo en forma sencilla, los médicos no pueden proporcionar un cuidado adecuado y eficaz si los pacientes no les proporcionan toda la información relevante.
Los médicos no pueden proporcionar un cuidado adecuado y eficaz si los pacientes no les proporcionan la información relevante
Por supuesto, existen numerosos motivos por los que una persona puede decidir no decirle todo a su médico. Algunas de las razones son anteriores a las computadoras, tan antiguas como la misma sociedad, e incluyen la vergüenza y el temor a la censura.
Sin embargo, el miedo al acceso no autorizado y el uso indebido de la información médica personal almacenada electrónicamente se hizo evidente tan pronto como comenzaron a emerger las tecnologías de bases de datos en la segunda mitad del siglo pasado. De hecho, la agencia gubernamental estadounidense que entonces se conocía como el Departamento de Salud, Educación y Bienestar de los Estados Unidos (del inglés HEW) elaboró los primeros conceptos sobre el impacto de las bases de datos informáticas en la sociedad. Un documento publicado por este organismo en 1973, posteriormente conocido como el Informe HEW, examinaba los diversos temores provocados por la creciente informatización de los datos personales.
¿Está aumentando la retención de información? Lo que dicen las encuestas
Aunque las empresas y las agencias gubernamentales trabajaron durante décadas para tranquilizar a la gente y asegurarle que la privacidad de sus datos está a salvo, parece razonable esperar que el reciente aumento de ataques al sector de salud esté incentivando los temores sobre la confidencialidad de los historiales médicos, que ahora se encuentran mucho más informatizados. Para evaluar la magnitud del problema, el mes pasado hice la siguiente pregunta a 750 adultos estadounidenses mayores de 18 años:
"¿Le ocultas información a tu proveedor de atención médica por miedo a posibles brechas de seguridad o ataques a la privacidad de tu historial médico?"
Más de uno de cada ocho contestó que sí, que le habían ocultado información a su proveedor de atención médica por miedo a posibles brechas de seguridad o ataques a la privacidad de su historial médico (13,2%). Por el contrario, el 86,8% dijo que no había retenido información (con un margen de error de +/- 3%).
Se podría argumentar que las brechas de datos médicos de 2015 duplicaron las preocupaciones de los pacientes
El porcentaje del 13% es potencialmente muy importante, dado que, en estudios previos, el número fue mucho menor. Por ejemplo, desde 2012 y hasta fines de 2014, la Oficina de Coordinación Nacional para la Tecnología de Información en Salud de los Estados Unidos (del inglés ONC) realizó una encuesta para saber si los pacientes retenían información por preocupaciones relativas a la privacidad o la seguridad, y obtuvo números mucho más bajos: 7%, 8% y 5% respectivamente en esos tres años (ver el informe en PDF).
Si investigaciones posteriores llegaran a confirmar el porcentaje más elevado de mi encuesta, se podría argumentar que las grandes filtraciones de datos médicos de 2015 duplicaron las preocupaciones de los pacientes.
Como era de esperar, los resultados de mi encuesta varían ligeramente según los datos demográficos. Las personas con más probabilidades de ocultarles información a sus médicos parecen ser los que viven en el Oeste de los Estados Unidos (18,5%) y los de edad media tardía (a nivel nacional, el 15,9% de las personas de 55 a 64 años ocultan información).
Los menos propensos a retener información son las personas en el Medio Oeste de los Estados Unidos (7,6%) y las personas mayores de 65 años (6,7%). Curiosamente, la población rural y suburbana es menos propensa a retener información que la población urbana (16,7%).
En lo que respecta al nivel de ingresos (anuales, deducidos), se nota una franja de confianza comprendida entre los 25 mil y los 74 mil dólares; pero las personas con ingresos fuera de ese rango retienen una tasa más alta de información que la media. Es interesante notar que, cuando realicé la misma encuesta en Canadá, descubrí que los canadienses eran menos propensos a retener datos que sus contrapartes estadounidenses (10% vs. 13,2%).
Dado el potencial que tiene la retención de información para obstaculizar el correcto diagnóstico y tratamiento de los pacientes, por no mencionar la investigación médica, creo que a muchas personas estos números les resultarán preocupantes. Para los administradores de TI de instituciones de salud, estas cifras sugieren que si se mejorara la seguridad de la información y los pacientes estuvieran más tranquilos de que sus secretos médicos están a salvo de miradas indiscretas, los tratamientos médicos serían mucho más eficaces.
Por el contrario, en este momento somos testigos de un problema potencialmente grave asociado a la falta de seguridad de los datos médicos, que se suma a los demás problemas más conocidos (como el daño a la reputación, los errores en tratamientos médicos que pueden ser una amenaza para la vida del paciente y el robo de la identidad médica).
Estudios de privacidad en el pasado
Para aquellos que quieran profundizar un poco más en el contexto histórico sobre la retención de información, sugiero leer el estudio acerca de la privacidad médica llevado a cabo en 1999 por la fundación estadounidense sin fines de lucro California Healthcare Foundation (CHF). Cuando la CHF investigó el problema de la privacidad médica, preguntó:
En los últimos años, ¿cree que se ha vuelto más difícil o menos difícil para las personas en este país mantener la información personal privada y confidencial, o es casi igual de difícil que en el pasado?
Casi el 80% respondió que era más difícil. Por otra parte, más de la mitad de todos los adultos estadounidenses dijo que el paso del almacenamiento en papel de los historiales médicos a los sistemas electrónicos o computarizados "hace que sea más difícil mantener la información médica personal en forma privada y confidencial".
A continuación, la CHF hizo una pregunta similar a la que yo planteé recientemente: ¿alguna vez hiciste "algo fuera de lo normal para mantener la información médica personal en forma confidencial?" El 15% de los adultos en los Estados Unidos (y el 18% en California) contestó afirmativamente.
Según el estudio de 1999, las medidas adoptadas por los pacientes para proteger la privacidad médica incluían numerosas conductas que pueden poner en riesgo la salud. Entre ellas se encontraban las siguientes:
- Ir a otro médico
- Pagar de su propio bolsillo para evitar la divulgación de datos, aunque tuviera cobertura
- No ir al médico para evitar proporcionarle datos a un empleador
- Dar datos inexactos o incompletos en la historia clínica
- Pedirle a un médico que no registre un problema de salud o que lo cambie por una condición menos grave o embarazosa
En 2005 se repitió el estudio y se descubrió que los consumidores seguían preocupados por la privacidad de su información médica personal: alrededor de dos terceras partes dijeron que estaban "algo" o "muy preocupados" por la privacidad de sus registros médicos personales. La preocupación era aún mayor entre las minorías raciales y étnicas de los encuestados.
Uno de cada ocho consumidores asumió que estaba poniendo en peligro su salud con comportamientos como: "evitar ir a su médico de cabecera, pedirle al médico que mienta sobre un diagnóstico, pagar un estudio para que no quede registrado en la obra social, o directamente no hacerse el estudio". Estas conductas de riesgo eran más probables en personas con enfermedades crónicas, jóvenes, y minorías raciales y étnicas. En un estudio más reciente, la mitad de todos los consumidores admitió haber mentido o engañado deliberadamente al médico durante una consulta.
Claramente, este tema merece más investigación. Actualmente estoy buscando estudios que intenten cuantificar la importancia médica de la información que ocultan los pacientes. Si se determinara que retener datos solo tiene una importancia crítica para la mitad de la gente que lo hace, aún así significaría un serio impedimento para la atención eficaz de la salud, lo que podría atribuirse a las deficiencias en nuestros esfuerzos para garantizar la privacidad y seguridad de la información del paciente. Entre las diversas razones para mejorar la protección de los datos médicos, esta debería estar entre las primeras.
Notas sobre metodología
Para realizar mi encuesta utilicé las encuestas de opinión de Google, un servicio que ha demostrado ser bastante preciso (ver este paper).