¿Por qué son tan codiciados nuestros datos sanitarios?


Los datos médicos se han convertido en "oro negro" tanto para los investigadores como para los ciberdelincuentes. La periodista Coralie Lemke cree que su uso puede dar lugar a avances médicos, siempre que se manejen adecuadamente.

Robo masivo

La Assistance publique-Hôpitaux de Paris (AP-HP) informó el miércoles 15 de septiembre que los datos personales de unos 1,4 millones de pacientes fueron robados en un ataque informático durante el verano.

En febrero, 500.000 historias clínicas fueron pirateadas. Cada vez son más las instituciones sanitarias que están en el punto de mira de los ciberdelincuentes. ¿Por qué son tan codiciados nuestros datos sanitarios y a quién le interesan? ¿Debemos preocuparnos por el hecho de que sean más accesibles tanto para los investigadores como para los piratas informáticos?

 

Los ciudadanos plantearon estas preguntas a Coralie Lemke, periodista especializada en salud de Sciences et Avenir y autora de Ma Santé, Mes données (Premier Parallèle).

P: Cuando hablamos de "datos sanitarios", ¿a qué nos referimos exactamente?

Coralie Lemke: En Francia existe una definición muy precisa de los datos sanitarios formulada por la Comisión Nacional de Información y Libertades (CNIL). Se trata de toda la información recogida en el marco de un tratamiento, una prueba o un examen, así como toda la información sobre el estado fisiológico y biomédico de una persona.

"En lenguaje llano, es información sobre el estado de salud pasado, presente o futuro de una persona".

La información recopilada por los objetos conectados a la red (podómetros, relojes y básculas conectados a la red, aplicaciones de monitorización del sueño, etc.) se consideran datos de salud solo cuando se cruzan con otra información médica. Así, si se sabe por una aplicación que duermo tres horas por noche, eso no dice mucho sobre mi salud. Sin embargo, si también se sabe que tengo una receta de antidepresivos, se puede deducir que sufro una enfermedad mental. Este es el caso si la CNIL considera que esta información es un dato de salud en sentido estricto.

La vigilancia de nuestra salud se lleva a cabo cada vez más por medio de ordenadores.

¿Cómo ha afectado la digitalización a los datos sanitarios?

Ha facilitado mucho la atención y el seguimiento de los pacientes. Hoy en día, todo en el hospital y en la consulta del médico se almacena en un ordenador. Nuestras radiografías y resonancias magnéticas están digitalizadas, y cada vez que se escanea la tarjeta sanitaria, se generan datos de salud.

La digitalización también ha hecho avanzar mucho la investigación al permitir el análisis de "pilas de datos sanitarios" [registros de varios cientos o miles de pacientes]. Era difícil acceder a esta información cuando estaba en papel.

El inconveniente es que estos datos son más vulnerables. Se han vuelto más accesibles para los proveedores de servicios sanitarios, pero también para una serie de partes interesadas en ellos.

¿Por qué se buscan hoy en día estos datos sanitarios?

En primer lugar, es importante recordar que un solo dato tiene poco interés para muchas personas: conocer el grupo sanguíneo de una persona es de poca utilidad. En cambio, los datos sanitarios agregados de varios miles o millones de individuos se consideran auténtico "oro negro" porque su estudio permite avanzar en la investigación.

Esta información interesa a tres tipos de actores. El primero son las empresas farmacéuticas, que deben pasar por numerosas fases y ensayos clínicos para desarrollar terapias. Este proceso es muy largo y costoso, pero se acelera mucho cuando se empiezan a analizar lotes de datos. Para obtener estos datos, los laboratorios recurren a "corredores de datos" especializados en la investigación de datos. Estos intermediarios se encargan de contactar y asociarse con centros sanitarios para obtener datos anónimos.

El segundo tipo de actores son los Gafam (Google, Apple, Facebook, Amazon y Microsoft), que están interesados en este campo por razones comerciales. Ofrecen su experiencia tecnológica a universidades o centros de investigación que buscan algoritmos para procesar estos datos. Un estudio ha demostrado que la inteligencia artificial desarrollada por Google es más precisa que los radiólogos para detectar el cáncer de mama.

El último tipo de actores son, por supuesto, los ciberdelincuentes. Su objetivo es hackear instalaciones sanitarias para recuperar datos de salud y luego venderlos en la web oscura o extorsionar para obtener un rescate. En octubre de 2020, al menos 2.000 pacientes finlandeses recibieron un correo electrónico en el que se les amenazaba con publicar los detalles de su tratamiento psicológico en Internet a menos que pagaran varios cientos de euros, después de que los datos de una red de centros de psicoterapia fueran hackeados.

¿Así que nuestros datos sanitarios se han convertido en el principal objetivo de los ciberdelincuentes?

Sí, y este fenómeno se ha visto agravado por la pandemia del Covid 19: entre febrero y marzo de 2020, hubo un aumento de 475% en los ataques a hospitales en Francia, según la empresa de ciberseguridad Bitdefender. Algunos ciberdelincuentes habían prometido una tregua al comienzo de la crisis sanitaria, pero no duró mucho: pronto se dieron cuenta de que los centros sanitarios eran aún más vulnerables durante este tiempo.

"En total, hubo 192 ciberataques a hospitales en Francia en 2020, frente a los 54 del año anterior".

Los centros sanitarios son un objetivo especial para los ciberdelincuentes porque son sensibles a la informática. Los equipos suelen estar anticuados y la protección informática no está actualizada. Como resultado, son objetivos fáciles, y las consecuencias pueden ser catastróficas. En 2017, el ransomware WannaCry [un virus malicioso que bloquea el acceso a los archivos a cambio de un rescate] paralizó el Servicio Nacional de Salud (NHS) del Reino Unido. Como consecuencia, hubo que cancelar millones de citas médicas y cirugías, lo que supuso la pérdida de la vida de algunos pacientes.

Los datos sanitarios representan una enorme ganancia financiera para estos ciberdelincuentes. EY calcula que los 55 millones de expedientes médicos de ciudadanos británicos tienen un valor de 9.600 millones de libras, es decir, más de 11.000 millones de euros. El valor de un solo expediente puede ascender a 5.600 euros si incluye la secuenciación del ADN de esa persona. (Ver anexo al final)

¿Por qué se buscan especialmente los datos genéticos?

No todos los datos sanitarios tienen el mismo valor: la genética es el santo grial. Nuestro ADN es la clave de nuestra identidad y contiene información crucial sobre nuestro aspecto, nuestra predisposición a ciertas enfermedades, etc. Por eso estos datos son tan valiosos.

Las empresas que ofrecen al público pruebas genéticas de saliva para saber más sobre su ascendencia lo entienden. La mayoría de la gente no lee la letra pequeña que dice que estos datos pueden ser revendidos. En 2018, el grupo 23andme firmó un contrato de $300 millones con el laboratorio GSK por 5 millones de perfiles genéticos anonimizados. El objetivo de esta asociación es trabajar en el desarrollo de tratamientos para la enfermedad de Parkinson, pero esto plantea cuestiones de seguridad y privacidad.

¿Cómo se protegen los datos sanitarios en Francia?

Están sujetos al Reglamento General de Protección de Datos (RGPD), que rige el tratamiento de los datos personales en Francia y Europa desde 2018. Se requiere el consentimiento explícito del interesado para la recogida y el tratamiento de los datos de salud. El RGPD también prohíbe la transferencia de datos fuera de la Unión Europea. Se trata de protecciones que no existen en otros países, como Estados Unidos, y que impiden que Google, por ejemplo, recopile datos sobre nuestras citas médicas en nuestros correos electrónicos y luego los revenda a terceros.

¿Es posible reforzar estas medidas de protección?

Como individuos, no hay mucho que podamos hacer. Se puede intentar no poner demasiada información personal en línea, pero eso es sólo una gota en el océano de datos. En el mundo actual, es especialmente complicado. Por ejemplo, se calcula que dos tercios de los franceses tienen una cuenta en Doctolib, lo cual es lógico porque es una herramienta muy práctica para pedir citas médicas. Mientras no se nos reembolse, estamos obligados a rellenar nuestra "carte vitale" (y, por tanto, a facilitar datos sobre nuestra salud) cada vez que recibimos un tratamiento.

"Por lo tanto, para proteger nuestros datos sanitarios, necesitamos un sistema de leyes exhaustivas y sólidas que regulen la recopilación y el uso de esos datos, como el RGPD".

Pero estas leyes deben cumplirse. Todas las quejas sobre el RGPD las tramita la CNIL irlandesa, que regula el Gafam a nivel europeo. Sin embargo, este organismo recibe tantas quejas que el 99,93% de ellas no se tramita. Esto es extremadamente desalentador. En este sentido, aún podemos mejorar la protección de los datos sanitarios.

Otro ejemplo de la vigilancia que debemos mostrar en estos temas es el Centro de Datos Sanitarios. A finales de 2019, el gobierno francés decidió crear una enorme biblioteca de datos sanitarios. La idea es reunir todos los datos que ya existen -datos hospitalarios, datos del seguro médico- en una única plataforma para que los equipos de investigación puedan acceder a ellos y encontrar nuevas vías terapéuticas o nuevos tratamientos.

A la hora de encontrar un host autorizado para los datos sanitarios que cumpliera ciertos requisitos tecnológicos y de seguridad para gestionar esta base de datos, que es una de las mayores del mundo, se eligió a Microsoft. El problema es que se trata de una empresa sujeta a la legislación estadounidense. En concreto, existe una ley en Estados Unidos, la Cloud Act, que permite la transferencia de datos de filiales extranjeras de una empresa en el marco de un procedimiento judicial. En resumen, Microsoft puede teóricamente recuperar los datos sanitarios de los ciudadanos franceses y transferirlos al otro lado del Atlántico, lo que viola absolutamente el RGPD. Francia está en proceso de retroalimentación del proyecto, y es probable que se adjudique a otro actor a finales de 2022.

Entonces, ¿debemos preocuparnos por el hecho de que nuestros datos sanitarios se exploten cada vez más?

Los datos sanitarios son bastante paradójicos: son muy íntimos y pertenecen a la esfera privada, pero cuando se reúnen pueden servir al bien común. La medicina ya está siendo revolucionada por el uso de datos sanitarios. La Administración de Alimentos y Medicamentos de Estados Unidos (FDA) ha aprobado el uso de la inteligencia artificial para diagnosticar la retinopatía diabética, una de las principales causas de ceguera en los adultos. Basta con una foto para detectarla, lo que ha sido posible gracias al análisis de datos sanitarios.

El estudio de estos datos también puede ayudarnos a entender mejor por qué algunos cánceres responden a determinados tratamientos y otros no, a avanzar en la investigación de enfermedades neurodegenerativas que aún no se conocen bien, como el Alzheimer, o incluso a encontrar tratamientos para enfermedades raras que sólo afectan a unas pocas personas en cada país. Sin la digitalización y el estudio de esta información médica, sería imposible reunir información sobre unos cuantos miles de pacientes dispersos por el mundo. Así que el uso de los datos sanitarios puede ser muy útil, siempre que esté debidamente regulado por la ley.

Adjunto

Aprovechar el valor de los datos sanitarios