Auditoría Pública nº 81. Revista de los órganos autonómicos de control externo

192 REVISTA AUDITORÍA PÚBLICA / 81 Las entidades sanitarias tienen que asegurar la obligación de garantizar que los proveedores con los que están trabajando tengan las medidas adecuadas para la protección de la información personal. Si el vendedor carece de medidas de seguridad, debe implementar salvaguardas adecuadas antes de que se les permita recibir esos datos personales. También deben firmarse acuerdos de socios comerciales con todos los proveedores antes de compartir información personal. Estos acuerdos limitan la responsabilidad de ambas partes en caso de incumplimiento, ya que afirman que cada parte ha aceptado cumplir con sus obligaciones para proteger esa información y que son responsables de su propio cumplimiento. En definitiva, las instituciones sanitarias son las que han de diseñar las plataformas para garantizar la protección de los datos personales de los pacientes estableciendo sus planes de ciberseguridad en los que aplican tecnologías para tener sistemas menos vulnerables. Ello va a suponer la correcta actualización del software y hardware y se realizar acciones de concienciación sobre el uso responsable de los sistemas. En este sentido, las aplicaciones y plataformas pasan por técnicas de anonimización o seudonimización para evitar la identificación de los pacientes que las organizaciones sanitarias utilizan en sus proyectos de BIG data e inteligencia artificial para investigación. IV. Técnicas de protección de datos de salud y seguridad cibernética Los datos de salud siempre han sido una valiosa fuente de conocimiento en el cuidado de la salud. el cuidado de la salud históricamente ha generado grandes cantidades de datos, tanto para el tratamiento de pacientes como para para la investigación y el análisis posterior. Se ha producido una abundancia de nuevas fuentes de datos de salud como resultado del uso generalizado de registros de salud electrónicos, aplicaciones de salud y dispositivos portátiles. Además, los avances en el poder informático han permitido el desarrollo de nuevos datos técnicas de análisis y aprendizaje automático que mejoran el diagnóstico, el tratamiento y administración en salud. El resultado es un cambio en los supuestos que está alejando cada vez más al paciente de hospitalización hacia un sistema de salud distribuido proporcionado por una combinación de servicios públicos y privados. La integración de nuevas tecnologías en salud abre nuevos problemas con respecto a los datos protección y la seguridad cibernética. Sin embargo, el aumento del procesamiento de datos médicos digitalizados también ha aumentado los riesgos, en términos de la ciberseguridad, la protección de datos y la probabilidad de violaciones de datos. Instrumentos legales pertinentes de la UE, como la Directiva NIS, el ReglamentoGeneral de Protección de Datos, el Reglamento de Dispositivos Médicos, la Directiva sobre la aplicación de los derechos de los pacientes en la asistencia sanitaria transfronteriza, etc. impuso obligaciones a proveedores de atención médica y fabricantes de dispositivos médicos para garantizar una adecuada y uniforme nivel de protección de los datos médicos y los productos y servicios que los utilizan. Además, el RGPD distingue, en el art. 9, datos relativos a la salud como categoría especial de datos (sensibles) y conjuntos establecer requisitos adicionales y obligaciones más estrictas para el procesamiento y protección de dichos datos, en para salvaguardar los derechos y libertades de las personas (interesados). IV.1 La seudonimización en el sector sanitario La seudonimización se está convirtiendo cada vez más en una técnica clave de seguridad de protección de datos y, además, garantiza el resguardo de dichos datos personales, salvaguardando de esa manera los derechos y libertades de las personas relativas a los datos de salud. El RGPD define la seudonimización en el art. 4 como el tratamiento de datos personales de manera tal que ya no puedan atribuirse a un interesado sin utilizar información adicional, siempre que dicha información adicional figure por separado y esté sujeta a medidas técnicas y organizativas destinadas a garantizar que los datos personales no se atribuyan a una persona física identificada o identificable.