Los datos de salud: del riesgo a la vulneración

Los datos que administra y maneja el sector salud comprenden las bases de datos más relevantes para el Estado y la sociedad. También son los más sensibles para los ciudadanos, ya que involucra información confidencial sobre lo más íntimo y personal de su vida, como es su estado de salud, los medicamentos que toman, las enfermedades que padecen y muchas variables cuyo conocimiento en las manos inadecuadas puede conducir a la estigmatización y otras formas de victimización de los ciudadanos.

El sector salud maneja datos que incluyen las estadísticas vitales, toda la información de protección social de los colombianos, los datos epidemiológicos y de vigilancia de enfermedades, la base de afiliación a la seguridad social y, desde 2021, las bases integradas de afiliación de los sectores de riesgos laborales y compensación familiar. Desde el punto de vista de la prestación de los servicios de salud, también el Ministerio de Salud maneja la base de datos de reporte de prestación de tecnologías médicas (Mipres) que garantiza el acceso, reporte, suministro y pago de muchos de los medicamentos que soportan la salud de los colombianos.

Por esas mismas razones, están entre la información más buscada por parte de los delincuentes informáticos. Colombia ha tenido un largo recorrido regulatorio para proteger los datos personales de salud de los colombianos. Desde 1993, los diferentes gobiernos expidieron diversas normas para proteger el uso de datos sensibles en investigación, medicamentos, telesalud y facturación electrónica. Los mayores hitos se dieron en 2012 con la Ley de protección de datos personales; en 2020 con la nueva Ley de historia clínica interoperable y, en 2022, con la definición y alcance de segundo uso de datos personales.

Ya en el pasado, el sector salud debió afrontar diferentes intentos de vulnerar la integridad de la información de salud de los colombianos. Durante la pandemia hubo un intento de ataque al Ministerio de Salud y otro muy crítico a la Superintendencia Nacional de Salud. Afortunadamente, ambos pudieron ser contrarrestados sin mayores efectos para los colombianos. Sin embargo, el actual ataque a los sistemas de información del Ministerio y la Superintendencia muestra unas implicaciones muy grandes. Si a ello se suma la funcionalidad inconstante del Invima, enfrentaremos un apagón completo del sector salud.

Afortunadamente, existen las EPS y el sector tiene una amplia descentralización. A pesar de que también hace unos meses las bases de Sanitas fueron afectadas, la existencia de una capa intermedia de gestión de datos -mediante el aseguramiento- permite que se pueda seguir brindando atención y recolectando la información sobre atenciones y pagos de los servicios de salud. De otra manera, nos encontraríamos en el peor de los mundos. Algo que debe pensar la Cámara de Representantes frente al proyecto de reforma de gobierno que pretende centralizar las prestaciones y pagos alrededor de la estructura pública de la Adres.

Mucha de la responsabilidad del presente ataque podría estar en los protocolos de respuesta y respaldo de la plataforma contratada por el Gobierno. Pero sí causa enorme inquietud que el plan de contingencia entregado por el ministro se sustente en la recolección “en papel” de los datos esenciales para la prestación de los servicios a los colombianos.

Durante un año, se eliminó la estructura técnica del Ministerio de Salud y la mayoría de las personas con idoneidad técnica y experiencia en el manejo de crisis fueron sacadas del ministerio. Hoy podemos empezar a pagar las consecuencias de esas decisiones: el manejo político que se dio al ministerio y que no permitió tomar a tiempo decisiones críticas en temas como vacunas y desabastecimiento de medicamentos ahora enfrenta una amenaza de grandes proporciones. El actual ministro heredó una situación de muy difícil manejo. Adicionalmente, en los sistemas de ciberseguridad casi todas las agencias del Estado tienen, además, una gran debilidad -que es necesario reconocerlo- viene de tiempo atrás, pero sobre la cual no se ha actuado.

Esta desafortunada situación, además de la contingencia, nos debe llevar como país a tres decisiones críticas en el manejo de los datos de salud: la primera es tomar en serio la implantación de la interoperabilidad de la historia clínica y otros datos del sector salud. La segunda, formular un plan de ciberseguridad en todo el sector, incluyendo los operadores públicos y privados. Y la tercera, pensar seriamente si no es hora de consolidar una agencia del sector salud que tenga la capacidad de manejar los datos de salud de los colombianos.