Fernando Campo Guardiola (Oviedo, 1957) no tiene facebook, ni twitter, ni está presente en ninguna red social. Como experto en privacidad, cumplimiento de la normativa y seguridad electrónica, apuesta por mantener a buen recaudo sus datos personales. Una rápida búsqueda de su nombre en internet da como resultado que es abogado y gerente de la empresa Axon Consultores, y siempre muestra la palabra "ciberseguridad". Precisamente ese fue el tema central del debate en el que ayer participó en el Auditorio como parte de las II Jornadas e-Salud en Asturias, bajo el título: "Ciberseguridad. Profesionales de salud y pacientes. ¿Me siento seguro?".
-¿Están a buen recaudo los datos de los usuarios de un centro sanitario?
-No hay una seguridad total de que sea así, pero la gente no debe tener miedo. El problema es la despreocupación. La mayoría cree que nadie está interesado en sus datos médicos y no sabe para qué pueden servir. Siempre habrá alguien dispuesto a sacar rendimiento de ellos, así que es bueno saber por qué se dan y a qué se van a destinar legalmente. La batalla de la privacidad está perdida, pero hay que procurar ganar la de la responsabilidad y ser consciente de que "la nube" es una falacia. No existe. En realidad es el ordenador de otra persona.
-¿Qué buscan los ladrones de datos y quiénes son?
-Quieren dinero y actúan en todo el mundo. Lo más habitual es que logren entrar en el sistema informático y se lleven los datos con la intención de pedir un rescate después. Algunos chantajean con los historiales clínicos. En Estados Unidos usan la información de los pacientes (nombre, domicilio y seguro social) para suplantar su identidad y abrir una cuenta bancaria. Los ladrones de datos sanitarios también venden sus logros a empresas de farmacología, que los incluyen en sus listas de publicidad.
-¿Ocurren este tipo de robos en hospitales españoles?
-Más que de robos, son ataques electrónicos. El Instituto nacional de Ciberseguridad publica a diario un mapa a las ocho de la mañana con el número de ellos que ha habido. El miércoles hubo 11.900 ataques de este tipo en Madrid, y 720 en Asturias. Algunos fueron sanitarios. La mayoría por accesos indebidos a un sistema operativo. Afortunadamente esta situación mejorará con la aprobación del nuevo reglamento de protección de datos de la Unión Europea, que protegerá la información administrativa y la considerará como datos de salud.
-¿Eso significa que puede haber información médica asturiana en malas manos?
-De ser así, es obligatorio informar al paciente. En cualquier caso es necesario mejorar los protocolos de seguridad y gestión de la información de los centros sanitarios públicos y privados. No puede ser que la clave de acceso de un médico la conozca su secretaria, enfermeras y auxiliares. La clave de usuario más común en el mundo es 123456. Terrible, ¿no? Pues ha mejorado porque antes era 1234.
-¿La ciberseguridad en el ámbito sanitario sólo vela por la protección de los datos?
-No. La ciberseguridad es la custodia y cuidado de los activos de la empresa. Es decir, que afecta a los datos y a las infraestructuras. Vela por que un hospital sea seguro, por que se le aplique el tratamiento adecuado a un paciente o por que las máquinas y el instrumental médico funcionen adecuadamente. Hay que tener en cuenta que hemos pasado de un mundo en papel a otro que se mueve por "bits".
-¿Hasta dónde puede llegar un ataque contra la seguridad de un hospital?
-Es relativamente fácil paralizar un hospital, no es sólo cosa de ciberterroristas. Eso implica bloquear el correo electrónico, controlar una máquina de resonancia magnética, o acceder a la radiografía ortodental de un paciente, a las máquinas de energía y a las de refrigeración...
-¿Su empresa se encarga de la ciberseguridad del HUCA?
-No. Aunque nunca hablo de mis clientes por ética profesional. Los tengo en el ámbito sanitario. Pero, hasta ahí cuento.
¿Y qué opina de su programa informático, Millenium?
-Ningún sistema es bueno ni malo. Gran parte de los problemas de ciberseguridad están relacionados con el dedito que aprieta la tecla. Con el usuario, vaya. Por poner un ejemplo, un trabajador que se encontró un "pendrive" en el suelo y lo enchufó, fue el causante de bloquear por primera vez un hospital americano. Una memoria USB abandonada puede ser peligrosísima. Centrándome en el HUCA, creo que la implantación del Millenium fue dura y que pertenece a la última etapa del cambio del papel a la historia clínica electrónica. Es necesaria, pero no resuelve problemas como el de la interactividad entre centros.
-¿A qué se refiere?
-A veces los cambios de domicilio de un paciente están registrados en el centro de salud, pero no en el hospital. Eso es falta de interactividad. La gran mayoría de habitantes de España están inscritos en el sistema nacional de salud y unos diez millones también lo están en sistemas mutualistas. Así, hay historiales médicos cruzados en uno y otro sitio. Mientras en la sanidad pública consta una información, en la privada hay otra. La sanidad, tal y como está planteada, va a ser insostenible dentro de diez años si no se cambia de mentalidad, s no hay innovación y sin I+D+I.
-¿Es recomendable pedir copias de nuestros datos médicos al profesional?
-Lo es. La ley de autonomía del paciente y la ley de protección de datos indican que el titular es el paciente, que tiene derecho al libre acceso a su información salvo a las anotaciones subjetivas del médico o a la que tenga que ver con terceros. Sin embargo, los propios centros públicos y privados se asustan cuando se les pide, por ejemplo, la copia de un consentimiento informado.
