Este es un espacio que tiene por objetivo informarte sobre derecho sanitario en general. Aquí encontrarás noticias, doctrina, jurisprudencia y novedades sobre cursos a dictarse relacionados con el derecho de la salud.
domingo, 20 de junio de 2021
viernes, 11 de junio de 2021
SE RECONOCE A FAVOR DE PERSONA CON DISCAPACIDAD, LA FIGURA DE "ASISTENTE PERSONAL"
FUENTE: DIARIOJUDICIAL.COM
En la causa “Asociación Azul c/ IOMA y otro/a s/ pretensión de restablecimiento o reconocimiento de derechos”, la accionante le demandó a la Provincia de Buenos Aires, a través de IOMA, que reconozca la figura de Asistente Personal para todos sus afiliados con discapacidad. Además, solicitó que ese reconocimiento se haga de acuerdo a una visión social y de Derechos Humanos sobre la discapacidad.
El principal fundamento de esa petición fue el derecho a la vida independiente y a ser incluido en la comunidad, que se encuentra previsto por la Convención sobre los Derechos de las Personas con Discapacidad (CDPD), en su artículo 19. B.
jueves, 10 de junio de 2021
PRESUNTO PADRE SOLICITA MEDIDA CAUTELAR Y LOGRA EVITAR INTERRUPCIÓN DE EMBARAZO
Salta, 7 de Junio de 2021.
Y VISTOS: Estos autos caratulados: “C.B.G.M. c /J.C.A.C. y Provincia de Salta por Amparo”, Expte. N° 738.321/21, de trámite por ante el Juzgado en lo Civil y Comercial de 1ª Nominación, a cargo del Dr. Tomás L. Méndez Curutchet, y
C O N S I D E R A N D O:
I) Que mediante acción interpuesta el 4 de Junio del 2021 se presenta el Sr. C.B.G.M. por su propio derecho y en representación de su hijo por nacer, con el patrocinio letrado de los Dres. Santiago Cornejo Colombres, Sergio Federico Peñalba, Rafael Cornejo, Arturo S. Torino y Cristóbal Pereyra Iraola, promoviendo acción de amparo en contra de la Sra. J.C.A.C., DNI Nº ..., y la Provincia de Salta, solicitando que se mantenga el embarazo a fin de preservar la vida de quien dice que es su hijo; y, asimismo, solicita el dictado de una medida cautelar para que las demandadas se abstengan de realizar cualquier práctica que pudiera interrumpir el embarazo, la que según refiere sería inminente. Ello así, por las razones que expone, a las cuales me remito en honor a la brevedad.
miércoles, 9 de junio de 2021
LOS SISTEMAS DE SALUD COMO OBJETIVO DE LOS CIBERATAQUES- PUBLICACIÓN "MICROJURIS"
LOS SISTEMAS DE SALUD COMO OBJETIVO DE CIBERATAQUES
Autor: Cortesi, M. Cristina
Fecha: 07-06-2021
Colección: Doctrina
Cita: MJ-DOC-15997-AR||MJD15997
Por M. Cristina Cortesi (*)
Los sistemas de salud se han convertido en un objetivo atractivo para los ciberataques, sobre todo en épocas de pandemia, teniendo en cuenta lo valioso que resultan los datos médicos entre muchas otras cosas, para desarrollar estrategias de mercado. Los datos personales tienen además una muy importante relevancia económica por ser muy requeridos en toda sociedad de consumo, y esto trae aparejadas consecuencias directas con el derecho a la privacidad de las personas.
La telemedicina y la teleconsulta, junto con la receta digital, fueron temas que si bien se encontraban en pleno desarrollo antes de declararse la pandemia por COVID-19, debieron ponerse en práctica con motivo de la misma.
Recordemos que fue exactamente el 11 de marzo de 2020 que la Organización Mundial de la Salud (OMS) declaró al brote del coronavirus/Covid-19 como una pandemia que afectaba, hasta ese momento, a 110 países. En Argentina el primer caso confirmado de contagio se produjo el 3 de marzo de 2020.
El 12 de marzo el gobierno nacional, mediante el Decreto de Necesidad y Urgencia (DNU) 260/2020, declaró la emergencia sanitaria por el plazo de un año.
También se dictaron normas para garantizar el aislamiento social, preventivo y obligatorio (ASPO), declarando actividades esenciales, restricciones a la circulación y las consiguientes excepciones; y más tarde, de distanciamiento social, preventivo y obligatorio (DISPO) flexibilizando las normas dictadas en primer término.
El aislamiento dejó en evidencia la necesidad de contar con herramientas en materia de salud, como la Telemedicina o Teleasistencia y por ende la necesidad de poder estar todos conectados a las redes informáticas a fin de realizar consultas, seguimiento de las enfermedades crónicas y obtener recetas para la compra de fármacos.
Así se sancionó la ley N° 27.553 . Se trata de una ley marco que busca habilitar el uso de la telemedicina y de la receta digital o electrónica (a mi entender esta última ya se encontraba habilitada con la Ley N° 25.506 de Firma Digital) y modifica algunos artículos de las LeyesN° 17.132 , N° 17.565 , N° 17.818 y N° 19.303 .
En ese contexto, la Superintendencia de Servicios de Salud, como autoridad de aplicación de las Obras Sociales Nacionales y Entidades de Medicina Prepaga, dictó la RESOL-2020-282-APN-SCPASS#SSS por la que recomendó a dichos Agentes del Seguro de Salud, el uso de plataformas de teleasistencia y teleconsultas para garantizar las prestaciones esenciales.
A su vez, el Ministerio de Salud de la Nación dictó la Resol 696/20-MS que autoriza con carácter excepcional y mientras dure el aislamiento, la prescripción de medicamentos bajo receta (excluidos los estupefacientes), por aplicaciones, mails, mensajes de texto o fax. Esta forma rudimentaria pero eficaz para evitar la circulación de personas, no se compadece con una receta electrónica o digital; se trata de una receta confeccionada a papel y subida a través de una foto a una aplicación para que el paciente la envíe de esa forma a su financiador de la salud, a efectos de proceder a su autorización.
No obstante lo expuesto, el tema no se encuentra regulado en nuestro país, salvo por estas normas dictadas para la coyuntura y, recomendaciones sobre el tema que pueden encontrarse en la página Web del Ministerio de Salud de la Nación.
Por lo tanto, rige un vacío legal en cuanto a la regulación de aspectos importantes, sobre todo, cómo deberá ser el sistema tecnológico a emplear, qué y quiénes llevarán a cabo evaluaciones sobre las mismas a fin de determinar que cumplan con los protocolos de seguridad y ciberseguridad internacionales con el objeto de proteger la información, cómo almacenar los datos y registros electrónicos, etc.Si bien se presentaron varios proyectos sobre telemedicina y receta digital, sólo uno hasta ahora logró tener media sanción de la Cámara de Senadores el año pasado.
El cúmulo de datos almacenados y tratados por los establecimientos sanitarios, la falta de una legislación adecuada, la conectividad a nivel nacional e internacional, la falta de capacitación sobre estos temas, etc., los convierte en un objetivo atractivo, sobre todo durante la pandemia en que, como vimos, algunos sistemas utilizados para la atención de la salud son más vulnerables que otros. Las consecuencias de no adecuar los datos recolectados a medidas de ciberseguridad pueden revestir gravedad ya que, de producirse incidentes, no sólo conmoverán el prestigio de los establecimientos de salud, sino que lo que aún es mucho peor, pueden afectar la atención y el diagnóstico oportuno comprometiendo la salud y la vida de las personas.
Los datos personales están ligados a la existencia de las personas, motivo por el cual no puede haber procesamiento de datos sin ética y sin una adecuada norma que los proteja. Los establecimientos sanitarios no sólo recolectan gran cantidad de datos de este tipo, sino que lo hacen también con los declarados «datos sensibles» conforme la Ley N° 25.326, es decir, datos sobre la salud de las personas.
En nuestro país, la protección de datos personales fue introducida a nuestro ordenamiento jurídico precisamente por la ya citada Ley N° 25.326 , su Decreto Reglamentario y el artículo 43 de la CN en cuanto este último incorpora al texto constitucional, la acción de «habeas data». Por otra parte, la Ley N° 27.275 establece el procedimiento para solicitar información y reglamenta las vías de reclamo, creando la Agencia de Acceso a la Información Pública como organismo de contralor con facultades sancionatorias para los casos de mala praxis en el procesamiento de datos.Asimismo, al ser los usuarios de plataformas y redes verdaderos «consumidores», resulta además aplicable la Ley N° 24.240 (1).
No debemos soslayar lo normado por la Decisión Administrativa N° 431/20 dictada con motivo de la pandemia por la COVID-19, cuyo art. 1° sostiene que: «Las jurisdicciones, entidades y organismos de la Administración Pública Nacional, de conformidad con lo establecido en los incisos a), b) y c) del artículo 8° de la ley de Administración Financiera y de los Sistemas de Control del Sector Público Nacional N° 24.156 deberán transferir, ceder, o intercambiar entre sí y bajo la supervisión de la «Unidad de Coordinación General del Plan Integral para la Prevención de Eventos de Salud Pública de Importancia Internacional» los datos e información que, por sus competencias, obren en sus archivos, registros, bases, o bancos de datos, con el único fin de realizar acciones útiles para la protección de la salud pública, durante la vigencia de la emergencia en materia sanitaria ampliada por el Decreto N° 260/20 , con motivo de la pandemia por coronavirus COVID-19.» Ello, teniendo en cuenta lo establecido por la Ley N° 25.326 conforme reza el art. 3 del mismo texto legal.
Es decir que, mediante esta norma nos podemos encontrar con organismos de la Administración Pública Nacional intercambiando entre sí registros, bases o banco de datos, lo que constituye un paso importante para forjar lo que muchos ya han denominado como «Big Data en salud». Ello, si bien puede significar un avance positivo para diagnósticos y tratamientos, requiere de una mejor y mayor protección contra los posibles ciberataques.
Podemos definir los ciberdelitos como las actividades delictivas llevadas a cabo entre otros medios, por equipos informáticos e Internet. Se pueden dar a través de distintas formas: phishing, virus, malware, etc.con el fin de producir daño o entorpecer las comunicaciones; o a través del ransomware, que secuestra información y exige un pago.
A su vez, los medios empleados son: Internet / medios informáticos, Telefonía y medios de comunicación, Intranet y otras redes, Programas de streaming, Redes de archivos compartidos, Programas de descargas directas, Páginas de enlaces, Blogs, Correos electrónicos o Redes Sociales.
Por tratarse de delitos trasnacionales, y como consecuencia del principio de soberanía nacional según el cual no pueden realizarse investigaciones en territorios extranjeros sin el permiso de sus autoridades, la cooperación estrecha entre los Estados involucrados es crucial para la investigación de los delitos cibernéticos.
Mediante el dictado de la Ley N° 27.411 , nuestro país firmó el Convenio de Ciberdelito del Consejo de Europa, adoptado en Budapest el 23/11/2001, bajo ciertas reservas por resultar algunos artículos ajenos a nuestra tradición legislativa en materia jurídico penal, o por resultar incompatibles con nuestro Código Penal.
El mismo obliga a las partes a adoptar medidas legislativas tendientes a considerar infracciones penales conductas como: acceso o interceptación ilícita cometida a través de medios técnicos de datos informáticos; la vulneración de medidas de seguridad con esa finalidad; atentar contra la integridad de datos o contra la integridad del sistema; la obtención de equipos o instrumentos técnicos que tuviesen como finalidad las conductas descriptas; la falsedad y la estafa informática; conductas relacionadas con la pornografía infantil; infracciones vinculadas a atentados a la propiedad intelectual.Asimismo, dispone que deben tomarse medidas legislativas adecuadas para poder penalizar no sólo a las personas físicas sino también a las personas jurídicas que cometan dichos actos (2).
La Ley N° 23.688 modificó el Código Penal tipificando las conductas relacionadas a los ciberdelitos, y la Ley N° 26.904 introdujo en el mismo el delito de integridad sexual contra menores mediante tecnologías de transmisión de datos.
Además de las responsabilidades penales que pudieran existir, también le caben responsabilidades civiles al propio establecimiento donde se produzcan los hechos, frente a terceros, por la violación a la s normas relacionadas al tratamiento de datos personales y datos sensibles. La responsabilidad es de tipo objetiva, regulada por los artículos 1753 a 1758 del CCyCN. En este caso, se trata de una forma de responsabilidad derivada de las cosas y actividades riesgosas.
Otras normas importantes a considerar son: la Ley N° 27.126 , que establece dentro de las funciones de la Agencia Federal de Inteligencia (AFI) la producción de inteligencia criminal referida a los delitos federales complejos relativos a ciberdelitos; la Decisión Administrativa 15/2015 del Ministerio de Defensa, que incorpora la Dirección General de Ciberdefensa, y la Disposición 1/2015 de la Oficina Nacional de Tecnologías de Información (ONTI) sobre Política de Seguridad de la Información Modelo.
En la práctica, resulta de vital importancia tener en cuenta lo dispuesto por la Resolución N° 234/16-M. de Seguridad, que contiene un Protocolo general en la investigación de ciberdelitos.
Dicha norma establece requerimientos de seguridad a llevar a cabo por las empresas como:
- EVALUACIÓN DE RIESGOS: identificar amenazas, evaluar vulnerabilidades, probabilidad de ocurrencia e impacto potencial.
- SELECCIÓN DE CONTROLES: sujetos a regulaciones nacionales e internacionales.
- Se consideran esenciales los siguientes controles:a) protección de datos y privacidad de la información personal, b) protección de los registros organizacionales, c) derechos de propiedad intelectual.
Resulta asimismo de vital importancia establecer protocolos para trabajar sobre evaluación de riesgos, para lo que trasciende como imprescindible:
- Trabajar con recursos humanos calificados
- Alto involucramiento de directivos y a nivel gerencial sobre el tema
- Prevenir y alertar frente a amenazas
- Determinar cómo minimizar el impacto de los riesgos
- Tener presente la protección de los derechos de los usuarios.
- Evaluar las vulnerabilidades
- Evaluar el nivel de riesgo a aceptar
Por último, quiero referirme a un dato devastador publicado recientemente, que sostiene que (3): «En Argentina, se registraron más de 900 millones de intentos de ciberataques durante 2020, de un total de 41 billones en América Latina y el Caribe. Considerando solo los meses de octubre, noviembre y diciembre, hubo 550 millones de intentos de ataques en el país. Durante este período, amenazas conocidas como correos electrónicos de phishing se extendieron por América Latina con archivos HTML adjuntos, tratando de redirigir el navegador web a sitios web maliciosos. El malware basado en la web se ha convertido en el vehículo más común para distribuir archivos infectados, convirtiéndose a menudo en la puerta de entrada para el ransomware».
Concluye la empresa que aportó los datos, que las campañas de phishing sieguen siendo el principal vector de ataque, que el trabajo remoto constituye la puerta de entrada a las redes corporativas y que mantener los servidores actualizados ayuda a reducir algunos riesgos.
Por otra parte, ya ha habido ataques ransomware a centros de salud (4) y a una Entidad de Medicina Prepaga en nuestro país, en este caso, recientemente. Son algunos de los ejemplos que se vienen dando en los que el principal objetivo son los establecimientos sanitarios.
Como vimos más arriba, una posible solución es la de trabajar con protocolos estandarizados para el manejo de los riesgos dentro de cada institución de salud.Asimismo, y por imperio de lo prescripto por la Ley N° 27.401 citada «ut supra» deberían poder trabajar con Programas de Integridad, definidos por la norma como «.un conjunto de acciones, mecanismos y procedimientos internos de promoción de la integridad, supervisión y control, orientados a prevenir, detectar y corregir irregularidades y actos ilícitos comprendidos por esta ley».
Un Programa de «Compliance» obliga a los establecimientos de salud a revisar todo lo atinente a la protección de datos ya que la posibilidad de que exista una posible violación hacia los mismos, debe tomarse como una de las formas de prevención de riesgos (5).
Ello, ni bien se tenga presente que la seguridad no reside en las personas, sino que es una característica del sistema en su conjunto. Los errores deben analizarse desde la perspectiva de considerar que los mismos se producen cuando hay fallas en el sistema, y de esa forma podemos concluir que los mismos no se deben en general a una única falla, sino que casi siempre son el resultado de la combinación de múltiples errores (figura del «queso suizo» de J. Reason).
Un Programa de Compliance debe buscar integrar a los riesgos de comisión de delitos dentro de las instituciones de salud, los de los eventos adversos relacionados con la seguridad de los pacientes y la de sus datos personales.
----------
(1) CORTESI, M. Cristina: «La protección de datos personales en tiempos de pandemia»-Revista «Enfoques sobre Salud, Bioética&Derecho»-Visión Jurídica Ediciones- Edición 1/2020
(2) La Ley N° 27.401 incorporó a nuestra legislación la regulación sobre responsabilidad penal de las personas jurídicas.
(3) https://www.infobae.com/america/tecno/2021/03/16/home-office-desafios-de-ciberseguridad-en-el- trabajo-remoto/
(4) «Cibercriminales publican 25.000 fotografías de pacientes de cirugía estética» «El Grupo de hackers, que se hace llamar «Tsar Team», se abrió paso hacia los servidores de la clínica Grozio Chrirurgija a principios de año.La clínica tiene sede en Lituania, pero atiende a clientes de 60 países del mundo. Los atacantes consiguieron no sólo fotografías privadas de los usuarios, incluyendo desnudos e imágenes de partes de su cuerpo que buscaban alterar, sino también los datos de contacto que necesitaban para mandarles un mensaje extorsionándolos para mantener esta información en privado. Los atacantes se pusieron en contacto con los pacientes exigiéndoles un pago en bitcoins a cambio de mantener la información en secreto y no publicarla en Internet. Al mismo tiempo, los criminales pidieron a la clínica un «pequeño pago que sirva de castigo» de alrededor de 350.000 dólares»
https://www.elconfidencial.com/tecnologia/2017-06-01/fotos-desnudos-hackers-cirugia-estetic
- lituania_1391815/
(5) CORTESI, M. Cristina: «Compliance para centros de salud y desafíos que se presentan en relación a la confidencialidad de datos y a la actuación profesional del abogado interno»-Revista «Enfoques sobre Salud, Bioética & Derecho»-Visión Jurídica Ediciones- EDICIÓN 1/2020
(*) Abogada especialista en Derecho Médico y Farmacéutico, postgrado en Derecho de la Salud (UBA), Posgrado en Administración y Gerenciamiento de Servicios de Salud (Prefectura Naval Arg.-USAL) Posgrado Auditoría Estratégica en Servicios de Salud (Prefectura Naval Arg.-USAL). Directora del Instituto de Derecho Sanitario del CPACF. Vicepresidenta de la Comisión de Derecho Sanitario de la AABA. Docente Universitaria.