¿Mito o Realidad? La información clínica de pacientes NO puede alojarse en un datacenter Cloud fuera del territorio nacional

Es muy frecuente escuchar esta afirmación en reuniones relacionadas al software médico. Que hay “disposiciones”, “normas” o “leyes” que impiden el envío de datos sensibles de pacientes a datacenters en la nube que están “fuera del territorio nacional”.

Cuando uno solicita que le envíen copias de las disposiciones, normas o leyes para leerlas y hacerse una idea, cri-cri… nunca aparecen.

Si uno pregunta por qué el Gobierno tomaría una decisión así, responden:

Es para que otro país no pueda secuestrar los datos de salud de la población. Imagínate una guerra con USA y que no nos permitan tener acceso a los datos de los pacientes que se almacenan en el datacenter de Virginia de AWS.

¿Cuánto hay de verdad y cuánto de mito?

Es 100% mito, pero es un mito muy difundido como el que la Vitamina C previene y mejora los síntomas del resfrío común

Son pocos los países de Latinoamérica que tienen alguna normativa respecto a datacenters fuera del territorio nacional y es bueno ver el ejemplo de Colombia (uno de los 3 países más mencionados a raíz de este mito, los otros 2 son México y Chile). En Colombia hay abogados computines, o sea, que saben de tecnología y no simplemente citan artículos fuera de los contextos tecnológicos que los sustentan. Este artículo evidencia que NO existe ninguna restricción a alojar datos sensibles de pacientes fuera del territorio nacional, pero se requiere que el paciente autorice el tratamiento de datos sensible de forma explícita, ya sea de forma escrita (firme una autorización), verbal (manifieste a un administrativo o clínico su aceptación) o mediante conductas inequívocas (como hacer clic en un botón de “Aceptar” los términos y condiciones)

Un punto importante que destacan las normativas de Colombia es que debe garantizarse la seguridad, esto es que se va a manejar la información con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.

La ley de HIPAA regula esto en USA, y los datacenters que tienen esta certificación permiten implementar sistemas de información clínicos que cumplan con la Ley, pero ojo, no porque el Datacenter tenga certificación HIPAA cualquier software cumple con la ley HIPAA (ver qué tiene que tener tu software para cumplir con HIPAA y las multas si no cumples)

Como ocurre con la gran parte de las Fake News, mitos, sofismas y otras ideas superficiales, a menudo las personas las difunden incluso en importantes reuniones o entrevistas, sin primero haber corroborado personalmente y sin tampoco proporcionar algún fundamento o referencia después. A continuación algunos otros ejemplos de frases “célebres” erradas en esa misma línea que ojalá no sean tomadas en serio, al menos hasta que alguien nos proporcione el correspondiente fundamento y podamos entonces verificarlo

En Chile el Ministerio de Salud no permite que los datos sensibles de salud estén alojados fuera de Chile - FALSO -

Es arriesgado que datos sensibles de ciudadanos Chilenos se almacenen en servidores de USA, un país que es reconocido por no tener un buen nivel de protección de datos - FALSO -

2 Me gusta

Un tema que siempre sale en las conversaciones. Gracias Alejandro por compartir.

Saludos.

Totalmente de acuerdo, trabajé varios años en el sector público en MINEDUC y en los inicios de incorporar servidores Cloud a la institución y como si nada nos encontramos con la frase “no se pueden almacenar datos en data centers fuera de Chile”, eso hace 10 años atrás, 7 años después se insistía con esa afirmación y como dices, nunca nadie llega con las normas o documentos que lo respalden. Finalmente para algunas soluciones desarrolladas por el Ministerio, la contraloría emitió un comunicado para que se pudieran implementar en infraestructura cloud.

Gracias Alejandro, siempre tan esclarecedor.

No solamente (por suerte) nadie ha proporcionado hasta ahora evidencia de que existirían prohibiciones en nuestro país para que los datos de chilenos no puedan alojarse en un datacenter o servidores fuera del territorio nacional, sino que además Chile está a punto de firmar un acuerdo comercial sobre economía digital que va explícitamente en la dirección totalmente opuesta.

En efecto, hoy Chile firmará el Digital Economy Partnership Agreement (DEPA). Un acuerdo internacional que explícitamente establecerá entre sus elementos:

la obligación de que no se tengan que establecer servidores en un determinado país

Es muy bueno ver que hay personas que entienden qué significa vivir en un mundo digital hiperconectado. Esto nos permite proceder en la dirección correcta y participar de forma adecuada en una economía digital global.

Aprovecho de anticipar, que sobre las inquietudes relacionadas con la seguridad de la información que algunos de nuestros expertos en Chile han estado invocando para afirmar que guardar datos de salud (sensibles) de chilenos en los EE.UU. correspondería -en sí mismo y por ese sólo hecho- a un riesgo mayor respecto de guardarlos en Chile, dentro de pocos días publicaré un post específico para analizar dichas afirmaciones desde una perspectiva y con un fundamento un poco más cercano a la Seguridad de la Información, sin perjuicio de revisar también la naturaleza de nuestra legislación chilena actual en materia de protección de datos personales y vida privada (Ley 19.628 y Ley 20.584) respecto de lo que establece y como funciona la normativa HIPAA de los EE.UU. que -lamentablemente- casi ningún experto de nuestro país cita hasta el momento.

3 Me gusta