Uno de los principales objetivos de los ciberatacantes es el sector sanitario debido al alto valor que estos datos pueden tener en operaciones, ilícitas, de compra de estos. El uso de nuevas tecnologías en el sector salud y, la falta de procedimientos y concienciación, sobre la criticidad de las operaciones, por parte de los profesionales es otro de los factores que aumenta el riesgo durante las operaciones de tratamiento con datos de salud, especialmente protegido en el artículo 9.1 RGPD.
La variación del modo en que se pueden materializar las amenazas deriva en la necesidad de actualizar la normativa sobre ciberseguridad, lo que ha conllevado, en la UE, la aprobación de la Directiva relativa a las medidas destinadas a garantizar un elevado nivel común de ciberseguridad en toda la Unión, por la que se modifican el Reglamento (UE) 910/2014 y la Directiva (UE) 2018/1972 y por la que se deroga la Directiva (UE) 2016/1148 (Directiva NIS 2). Se espera que la misma se traspuesta a ordenamiento jurídico español durante este año 2024.
La Directiva NIS2 aplica, entre otras, a las entidades públicas o privadas del sector salud indicadas en su anexo I y II, esto es:
Se consideran entidades esenciales, por su nivel de criticidad, a los efectos de lo establecido en el artículo 3 de la Directiva NIS2, a grandes empresas, con más de 250 empleados y más de 50 millones de euros de volumen de negocios anual, englobadas en el anexo I, y entidades importantes a medianas empresas, con más de 50 empleados y más de 10 millones de euros de volumen de negocios anual, del anexo I, así como a medianas y grandes empresas del anexo II.
Asimismo, la autoridad competente de cada Estado miembro podrá clasificar como esencial o importante a cualquier proveedor de servicio que ante una disrupción pueda provocar consecuencias significativas con respecto a la seguridad y salud pública. De esta forma, si, por ejemplo, una empresa pequeña es la única con capacidad para fabricar cierto fármaco o de prestar un determinado servicio dentro de un país y la parada de sus servicios pudiera causar un impacto significativo para la salud pública, el orden público o la seguridad pública del país, el órgano competente que corresponda podría clasificarla como entidad esencial o importante si así lo considera, aun sin cumplir los requisitos generales de tamaño (número de empleados y volumen de negocio) de aplicación de la directiva.
A la espera de que la Directiva NIS2 sea traspuesta al ordenamiento jurídico español (lo que sabemos, no siempre ocurre en plazo), las entidades que se encuentren sujetas pueden empezar a establecer las medidas para la gestión de riesgos de seguridad, incluyendo, entre otros, las políticas de seguridad de los sistemas de información y análisis de riesgos, gestión de incidentes, continuidad de actividades, evaluación de las medidas, seguridad de los recursos humanos, soluciones de autenticación multifactor, etc., así como los procedimientos para la notificación de incidentes de impacto significativo a su CSIRT de referencia (equipo de respuesta a incidentes de seguridad informáticos) o en su caso a su autoridad competente.
La Directiva NIS 2 establece que los Estados miembros deberán asegurar que las entidades esenciales e importantes notifiquen a su CSIRT de referencia, o a la autoridad competente, cualquier incidente que tenga un impacto significativo en la prestación de sus servicios. Estos impactos serán considerados significativos si han causado o pueden causar graves perturbaciones operativas de los servicios o pérdidas económicas en la entidad afectada y han afectado o pueden afectar a otras personas físicas o jurídicas al causar perjuicios materiales o inmateriales considerables.
La entidad afectada deberá realizar una comunicación inicial, en un plazo de 24 horas, desde que se tenga constancia del incidente, una notificación intermedia, consistente en una actualización transcurridas 72 horas desde la detección del incidente y una notificación final consistente en la presentación de un informe, en el plazo de un mes, recogiendo los detalles del incidente.
Además, en función del nivel de criticidad de las empresas antes citados, los Estados miembros podrán aplicar unas medidas de supervisión y unas sanciones tipificadas.
En cuanto a las medidas de supervisión, podrán consistir, como mínimo, en la realización de auditorias de seguridad, análisis de seguridad, solicitudes de información o, entre otras, pruebas de aplicación de las políticas de seguridad.
En el caso de las sanciones para las entidades importantes, pueden suponer multas administrativas de hasta 7 millones de euros o el 1,4% del volumen de negocios anual, la cuantía mayor, y para las entidades esenciales (de mayor criticidad), estas sanciones pueden alcanzar multas administrativas de hasta 10 millones de euros o el 2% del volumen de negocios anual, la cuantía mayor.
En este último caso, la sanción podría incluir la prohibición temporal de cualquier persona que tenga responsabilidades de dirección a nivel de director general o representante legal en dicha entidad esencial. De esta forma, la directiva exige no solo a los técnicos y operativos de su cumplimiento, sino también a la alta dirección, quienes deben asegurarse de que se implementan las medidas adecuadas y supervisar su cumplimiento.
El pasado 24 de abril de 2024 el Parlamento Europeo aprobó el Reglamento sobre el Espacio Europeo de Datos Sanitarios (EHDS), a la espera de su adopción formal y publicación, prevista para este otoño, en el marco de la Estrategia Europea de Datos y como espacio común de datos de salud.
Los objetivos de este reglamento son, básicamente, situar a los ciudadanos en el centro de su asistencia sanitaria, concediéndoles pleno control sobre sus datos, con el objetivo de lograr una mejor asistencia sanitaria en toda la UE (uso primario) y permitir el uso de datos sanitarios con fines de investigación y salud pública, en condiciones estrictas (uso secundario).
A tal fin, el EEDS pretende reforzar el control del paciente sobre sus datos, establecer normas para los sistemas de historiales médicos electrónicos para promover que sean confiables, seguros e interoperables y establecer normas para el uso secundario de datos de salud.
El Reglamento aplica a:
a) fabricantes y proveedores de sistemas de HME (Historiales Médicos Electrónicos) que se introduzcan en el mercado y se pongan en servicio en la UE y a los usuarios de estos productos,
b) los responsables y los encargados del tratamiento establecidos en la Unión que traten datos sanitarios electrónicos de ciudadanos de la Unión y nacionales de terceros países que residan legalmente en los territorios de los Estados miembros,
c) los responsables y los encargados del tratamiento establecidos en un tercer país que esté conectado a MiSalud@UE (MyHealth@EU) o sea interoperable con esta plataforma,
d) los usuarios de datos a los que los titulares de datos de la Unión faciliten datos sanitarios electrónicos.
Debemos, antes de seguir, hacer referencia a algunas de las definiciones claves que se contienen en el artículo 2 del Reglamento:
«HME» (historial médico electrónico): una recopilación de datos sanitarios electrónicos relacionados con una persona física y recogidos en el sistema sanitario, tratados con fines de asistencia sanitaria.
«MiSalud@EU (MyHealth@EU)»: la infraestructura transfronteriza para el uso primario de datos sanitarios electrónicos integrada por los puntos de contacto nacionales para la salud digital y la plataforma central para la salud digital.
«punto de contacto nacional para la salud digital»: una pasarela organizativa y técnica que ofrece servicios transfronterizos de información sanitaria digital para un uso primario de datos sanitarios electrónicos, bajo la responsabilidad de los Estados miembros;
«punto de contacto nacional para el uso secundario de datos sanitarios electrónicos»: una pasarela organizativa y técnica que permite el uso secundario transfronterizo de datos sanitarios electrónicos, bajo la responsabilidad de los Estados miembros.
«titular de datos»: toda persona física o jurídica que sea una entidad o un organismo del sector sanitario o asistencial, o que lleve a cabo investigaciones en relación con estos sectores, así como instituciones, órganos y organismos de la Unión que tengan el derecho o la obligación, de conformidad con el presente Reglamento, con el Derecho de la Unión aplicable o con la legislación nacional por la que se aplique el Derecho de la Unión, o, en el caso de los datos no personales, mediante el control del diseño técnico de un producto y de los servicios conexos, de poner a disposición, así como de registrar o entregar determinados datos, restringir el acceso a ellos o intercambiarlos;
«usuario de datos», una persona física o jurídica que tiene acceso legítimo a determinados datos sanitarios electrónicos personales o no personales y está autorizada a usarlos con fines comerciales o no comerciales.
El artículo 3 del Reglamento establece que las personas físicas tendrán derecho a acceder a sus datos sanitarios electrónicos que hayan sido tratados en el contexto de un uso primario de forma inmediata, gratuita y en un formato fácilmente legible, consolidado y accesible.
El artículo 4 de la regula el acceso de los profesionales sanitarios a los datos electrónicos de salud de las personas a las que estén tratando, independientemente del Estado miembro de afiliación del paciente y del Estado miembro donde se realice el tratamiento. Serán los profesionales sanitarios los garantes de que los datos sanitarios electrónicos de los pacientes estén debidamente actualizados.
Los Estados miembros también deberán velar por que las farmacias que operen en sus territorios puedan dispensar medicamentos prescritos mediante recetas electrónicas expedidas por profesionales sanitarios establecidos en otros Estados Miembros. Las farmacias accederán a las recetas electrónicas que se les transmita desde otros Estados miembros a través de MiSalud@UE, y deberán aceptarlas.
El artículo 5 del Reglamento establece las categorías prioritarias de datos sanitarios electrónicos personales para uso primario, esto es: a) historiales resumidos de los pacientes; b) recetas electrónicas; c) dispensaciones electrónicas; d) imágenes médicas e informes de imágenes; e) resultados de laboratorio; f) informes de altas hospitalarias. A su vez, los profesionales sanitarios deberán registrar los datos sanitarios pertenecientes a estas categorías en le HME.
El uso de datos secundarios viene explicitado en las actividades previstas en el artículo 34 del Reglamento, y que son aquellas distintas del uso relativo a la prestación sanitaria al paciente, esto es:
a) las actividades de interés público en el ámbito de la salud pública y la salud laboral, como la protección contra las amenazas transfronterizas graves para la salud, la vigilancia de la salud pública o la garantía de unos niveles elevados de calidad y seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios;
b) el apoyo a los organismos del sector público o a las instituciones, órganos y organismos de la Unión, incluidas las autoridades reguladoras, en el sector sanitario o asistencial en el desempeño de las funciones definidas en sus mandatos;
c) la elaboración de estadísticas oficiales nacionales, plurinacionales y de la Unión relativas al sector sanitario o asistencial;
d) las actividades de educación o de enseñanza en el sector sanitario o asistencial;
e) la investigación científica relacionada con el sector sanitario o asistencial;
f) las actividades de desarrollo e innovación de productos o servicios que contribuyan a la salud pública o a la seguridad social, o que garanticen niveles elevados de calidad y seguridad de la asistencia sanitaria, de los medicamentos o de los productos sanitarios;
g) el entrenamiento, la prueba y la evaluación de algoritmos, también con respecto a los productos sanitarios, los sistemas de IA y las aplicaciones sanitarias digitales, que contribuyan a la salud pública o a la seguridad social, o que garanticen niveles elevados de calidad y seguridad de la asistencia sanitaria, de los medicamentos o de los productos sanitarios;
h) la prestación de asistencia sanitaria personalizada consistente en evaluar, mantener o restablecer el estado de salud de las personas físicas, sobre la base de los datos sanitarios de otras personas físicas.
Estos usos secundarios, ya se habían, mínimamente, previsto en el RGPD (considerando 159) al establecer que el tratamiento de datos personales para investigación científica debía “interpretarse de manera amplia”.
Así las cosas, los Estados Miembros, deberán designar un punto de contacto nacional para el uso de datos sanitarios electrónicos de manera transfronteriza, siempre vinculado a las finalidades establecidas en el art. 34 y nunca para tomar decisiones perjudiciales para las personas físicas (art. 35).
El acceso y uso por parte de las entidades legitimadas de los datos sanitarios deberá realizarse en un entorno de tratamiento seguro, limitado a las personas a las que se les confiera explícitamente acceso, sujeto a medidas técnicas organizativas, así como a importantes medidas de seguridad e interoperabilidad y siempre cumpliendo con el principio de minimización y limitación establecido en el RGPD.
Cualquier persona física o jurídica podrá pedir acceso a los datos para las finalidades establecidas en el art. 34 y cumpliendo los requisitos necesarios para su solicitud.
Si se desea acceder a los datos de más de un estado miembro, lo que será no poco habitual, los usuarios de datos electrónicos podrán presentar la solicitud en uno de los organismos de acceso del Estado Miembro que consideren oportuno, siendo este el encargado de coordinar el resto de los accesos.
El Reglamento también prevé el acceso a datos sanitarios electrónicos de un titular individual de datos (no de manera generalizada), en cuyo caso el solicitante podrá pedir una autorización de acceso directamente al titular, que será quien lo conceda o deniegue, debiendo, asimismo, notificarlo al organismo de acceso a los datos sanitarios.
El EHDS también comprenderá aquellos datos sanitarios electrónicos que no tengan la calificación de datos personal según el RGPD.
Asesoramiento para cumplir con la Directiva NIS2
Si necesitas apoyo para cumplir con las exigencias de la Directiva NIS2 y proteger los datos de tu organización en el sector salud, disponemos de un equipo de abogados especializados en Derecho Digital y Protección de Datos. Podemos ofrecerte asesoramiento para garantizar que tu empresa cumpla con la normativa y esté mejor protegida contra las amenazas cibernéticas.