Es muy frecuente escuchar esta afirmación en reuniones relacionadas al software médico. Que hay “disposiciones”, “normas” o “leyes” que impiden el envío de datos sensibles de pacientes a datacenters en la nube que están “fuera del territorio nacional”.
Cuando uno solicita que le envíen copias de las disposiciones, normas o leyes para leerlas y hacerse una idea, cri-cri… nunca aparecen.
Si uno pregunta por qué el Gobierno tomaría una decisión así, responden:
Es para que otro país no pueda secuestrar los datos de salud de la población. Imagínate una guerra con USA y que no nos permitan tener acceso a los datos de los pacientes que se almacenan en el datacenter de Virginia de AWS.
¿Cuánto hay de verdad y cuánto de mito?
Es 100% mito, pero es un mito muy difundido como el que la Vitamina C previene y mejora los síntomas del resfrío común
Son pocos los países de Latinoamérica que tienen alguna normativa respecto a datacenters fuera del territorio nacional y es bueno ver el ejemplo de Colombia (uno de los 3 países más mencionados a raíz de este mito, los otros 2 son México y Chile). En Colombia hay abogados computines, o sea, que saben de tecnología y no simplemente citan artículos fuera de los contextos tecnológicos que los sustentan. Este artículo evidencia que NO existe ninguna restricción a alojar datos sensibles de pacientes fuera del territorio nacional, pero se requiere que el paciente autorice el tratamiento de datos sensible de forma explícita, ya sea de forma escrita (firme una autorización), verbal (manifieste a un administrativo o clínico su aceptación) o mediante conductas inequívocas (como hacer clic en un botón de “Aceptar” los términos y condiciones)
Un punto importante que destacan las normativas de Colombia es que debe garantizarse la seguridad, esto es que se va a manejar la información con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento.
La ley de HIPAA regula esto en USA, y los datacenters que tienen esta certificación permiten implementar sistemas de información clínicos que cumplan con la Ley, pero ojo, no porque el Datacenter tenga certificación HIPAA cualquier software cumple con la ley HIPAA (ver qué tiene que tener tu software para cumplir con HIPAA y las multas si no cumples)
Como ocurre con la gran parte de las Fake News, mitos, sofismas y otras ideas superficiales, a menudo las personas las difunden incluso en importantes reuniones o entrevistas, sin primero haber corroborado personalmente y sin tampoco proporcionar algún fundamento o referencia después. A continuación algunos otros ejemplos de frases “célebres” erradas en esa misma línea que ojalá no sean tomadas en serio, al menos hasta que alguien nos proporcione el correspondiente fundamento y podamos entonces verificarlo
En Chile el Ministerio de Salud no permite que los datos sensibles de salud estén alojados fuera de Chile - FALSO -
Es arriesgado que datos sensibles de ciudadanos Chilenos se almacenen en servidores de USA, un país que es reconocido por no tener un buen nivel de protección de datos - FALSO -