Una científica discutiendo los resultados de un experimento con un colega

Cómo se preparan los equipos legales del sector de las ciencias de la salud para un futuro impulsado por la tecnología

Autores

Los avances en tecnología sanitaria generan nuevos flujos de datos para las empresas del sector de las ciencias de la salud, lo que cambia el panorama para los departamentos jurídicos.

En resumen

  • Los avances tecnológicos están cambiando el panorama sanitario y nos acercan un paso más a un ecosistema sanitario inteligente.
  • Las empresas del sector de las ciencias de la salud están experimentando nuevos flujos de datos a medida que los productos evolucionan y surgen nuevas formas de medir los resultados de los pacientes.
  • Las empresas del sector de las ciencias de la salud deben tener en cuenta la privacidad y la seguridad desde el diseño en las primeras fases del desarrollo de productos debido a los nuevos avances.

La industria de las ciencias de la salud apenas está empezando a descubrir lo que las tecnologías emergentes, como la nube, la inteligencia artificial y el aprendizaje automático, pueden hacer y la eficiencia que pueden generar. El ecosistema sanitario se encuentra en una posición única para aprovechar esta evolución tecnológica debido a la gran cantidad de datos que genera, pero esto también plantea nuevas preocupaciones que los equipos jurídicos de las empresas del sector de las ciencias de la salud deben tener en cuenta.

La industria cuenta ahora con dispositivos médicos como inhaladores para el asma o implantes de reemplazo de rodilla y píldoras inteligentes que vienen equipadas con sensores remotos que pueden enviar datos al equipo de atención médica del paciente sobre los hábitos de uso, el progreso terapéutico o la integridad del propio dispositivo. El 58 % de los ejecutivos del sector de las ciencias de la salud de todos los subsectores, incluidos el farmacéutico y el de dispositivos médicos, afirmaron en la Tech Horizon Survey realizada por EY en abril de 2022 que los datos y el análisis probablemente serían una de sus tres principales prioridades de inversión en los próximos dos años. El universo en expansión del Internet de las cosas médicas (IoMT, por sus siglas en inglés), los avances en los modelos de inteligencia artificial y la expansión sin precedentes de los datos de salud disponibles están impulsando nuevos conocimientos y medidas prácticas a lo largo de la cadena de atención médica para permitir que tanto los pacientes como los profesionales mejoren los resultados generales de salud.

A este nuevo futuro impulsado por la tecnología lo llamamos "Ecosistema de Salud Inteligente" (IHE, por sus siglas en inglés). Un sistema hiperconectado basado en flujos de datos superfluidos que puede optimizar la toma de decisiones, mejorar los resultados, acelerar el acceso a nuevas innovaciones y ofrecer experiencias sanitarias personalizadas y centradas en el paciente. Sin embargo, con cada nueva tecnología surgen riesgos y desafíos que requieren un análisis minucioso de los posibles obstáculos legales y normativos. Para avanzar en las soluciones IHE, las organizaciones dedicadas a las ciencias de la salud deberán revisar sus políticas de gobernanza de datos y cumplimiento de la privacidad, incorporar los principios de privacidad desde el diseño y seguridad desde el diseño en las primeras fases del desarrollo de productos y colaborar de forma proactiva con los pacientes. consumidores, proveedores y socios estratégicos sobre las prácticas y responsabilidades en materia de privacidad.

Nuevas consideraciones sobre la privacidad de los datos

El sector de las ciencias de la vida siempre ha tenido que ser consciente de las preocupaciones relacionadas con la privacidad de los pacientes. La creciente concienciación y preocupación de los consumidores sobre la recopilación y el procesamiento de datos personales sensibles ha impulsado la creación de nuevas leyes, lo que ha cambiado el cálculo de lo que se necesita para mantener prácticas sólidas de privacidad y gobernanza de datos.

Se han promulgado leyes integrales de privacidad del consumidor (por ejemplo, en California, Virginia y Colorado) o se promulgará próximamente en casi una docena de estados de los Estados Unidos, con varias leyes como la "My Health My Data Act" en el estado de Washington, centrada específicamente en el procesamiento de datos de salud. Los requisitos varían de un estado a otro y pueden incluir evaluaciones de riesgos, obligaciones contractuales sobre el procesamiento de datos de terceros y el derecho de los pacientes a acceder, corregir o solicitar la eliminación de sus datos personales. Todo esto se suma a las implicaciones normativas existentes de las leyes internacionales de privacidad de datos, en las que también pueden entrar en juego los requisitos de transferencia transfronteriza y localización de datos.

Las soluciones IHE son posibles gracias a un alto nivel de conectividad y velocidad. Por lo tanto, es posible que sea necesario actualizar las prácticas aplicables en materia de cumplimiento de la privacidad y gobernanza de datos para adaptarlas a estos requisitos en constante evolución, de modo que, por ejemplo, el paciente sea consciente de los datos que puede recopilar un sensor remoto y con quién se compartirán. Los sistemas interoperables que transforman datos sin procesar en información valiosa deben mantenerse seguros y contar con controles de acceso para minimizar las divulgaciones y reducir el riesgo de compromiso. Una comunicación clara de estas obligaciones y la capacitación sobre cómo manejarlas es fundamental para que las organizaciones del sector de las ciencias de la vida puedan aprovechar al máximo las innovaciones de la IHE sin exponerse a riesgos innecesarios.

Diseño pensando en la privacidad y la seguridad

Un sensor remoto que recopila y comparte los datos de salud de un paciente con su equipo de atención médica, ya sea un dispositivo médico que monitorea el movimiento o un dispositivo portátil que monitorea las constantes vitales del paciente durante un ensayo clínico de un medicamento, debe poder hacerlo de forma rápida y precisa, pero también segura. Las soluciones de inteligencia artificial que utilizan grandes modelos lingüísticos para responder a las preguntas de los pacientes deben entrenarse con conjuntos de datos masivos, pero no requieren necesariamente información de identificación personal a nivel individual para lograr ese objetivo. Consideraciones como esta deben abordarse aplicando los principios de privacidad desde el diseño y seguridad desde el diseño en las primeras etapas del ciclo de vida del desarrollo del producto y animando a los equipos de producto a contar con expertos en privacidad y seguridad para cuestiones especialmente complejas. Las preguntas aplicables para empezar incluyen:

  • ¿El sistema/herramienta permite el etiquetado de datos y la creación de metadatos relevantes?
  • ¿Se admiten y utilizan medidas de seguridad como el cifrado, los controles de acceso basados en roles y/o la desidentificación?
  • ¿Se pueden atender rápida y fácilmente las solicitudes de corrección/eliminación de datos?
  • ¿Cómo facilita el sistema/herramienta la configuración y aplicación de los calendarios de retención de registros?
  • Cuando sea aplicable, ¿es obligatorio obtener el consentimiento del paciente antes de recopilar datos confidenciales sobre su salud? ¿Es tan fácil retirar el consentimiento como otorgarlo?
  • ¿Se ha mapeado y comprendido suficientemente el flujo de datos sanitarios como para ofrecer una transparencia total sobre los sistemas, usuarios y procesos por los que pasan los datos cuando se introducen en el sistema o herramienta?

Cómo EY puede ayudar

  • Legal Managed Services

    El equipo de Outsourcing de Servicios Legales de EY puede ayudar a abordar los desafíos de contratación, cumplimiento de las normas, gobierno de las entidades y operaciones jurídicas. Más información.

    Leer más

Establecer la confianza como política

A menudo, los datos de salud van acompañados de otro tipo de información, como factores socioeconómicos, demográficos y datos de comportamiento que, cuando se combinan, pueden llegar a ser identificables. Los fabricantes farmacéuticos y otras organizaciones dedicadas a las ciencias de la salud deben pensar más allá de lo que pueden hacer con esos datos y plantearse qué deben hacer para mantener la confianza de los pacientes y los consumidores. Las soluciones IHE pueden presentar un potencial notable, pero la transparencia y la claridad sobre cómo estas soluciones procesan los datos son fundamentales para mantener la confianza necesaria para que estas soluciones alcancen la escala deseada.

 

Además, las organizaciones dedicadas a las ciencias de la salud en todo el ámbito de la atención sanitaria siguen siendo uno de los principales objetivos de los ciberdelincuentes, e incluso un correo electrónico erróneo puede exponerlas a riesgos legales, financieros y de reputación. Las organizaciones sanitarias se encontraban entre las tres industrias más atacadas en 2022, según CheckPoint Research, con un aumento interanual del 86 % en los ciberataques a organizaciones sanitarias (más de 1.410 ataques por semana). Dado que las soluciones IHE se basan en una mayor interoperabilidad, todas las partes interesadas del ecosistema deben ser debidamente evaluadas y mantener los estándares adecuados de privacidad y seguridad, ya que el eslabón más débil puede provocar un desastre para todos los involucrados.

   

Hay que prepararse para los desastres y prevenirlos revisando y modificando cualquier política relacionada con la continuidad del negocio y la respuesta ante incidentes. La capacitación del personal, en todos los niveles, y las comunicaciones sobre temas de privacidad y protección de datos deben realizarse de manera regular. Los contratos con terceros, como proveedores e incluso proveedores de servicios en la nube, servicios analíticos y desarrollo de software, deben incluir detalles específicos sobre los procesos y la protección de datos. Como sería habitual a nivel interno, los departamentos jurídicos deben especificar cómo se deben tratar los datos y quién puede tener acceso a ellos.

 

Cuatro cosas que las empresas farmacéuticas deberían estar haciendo ahora mismo

Algunos pasos clave que debería considerar el departamento jurídico de cualquier organización dedicada a las ciencias de la salud:

  • Los acuerdos de consentimiento de los pacientes deben revisarse y actualizarse periódicamente.
  • Especificar cómo se deben manejar los datos, dónde se deben almacenar, durante cuánto tiempo y quién puede acceder a ellos.
  • Asegurarse de que todos los datos se traten de conformidad con las normas locales, nacionales e internacionales.
  • Incorporar los principios de privacidad desde el diseño y seguridad desde el diseño en las primeras fases del desarrollo de nuevos productos, así como en todo el proceso de atención médica.

Este artículo fue publicado originalmente en LinkedIn.

Resumen

En última instancia, al introducir nuevas tecnologías en tu organización, las empresas deben ir más allá de preguntarse si pueden utilizarlas y preguntarse si deben hacerlo. Establecer un estándar más alto para la privacidad y protección de datos no solo será muy beneficioso para los reguladores, sino que también garantizará la confianza de los consumidores, lo que preparará a la empresa para un mayor éxito y un menor riesgo.

Artículos relacionados

Cómo la próxima generación de CRM reformará el modelo comercial de las ciencias de la salud

La CRM debe evolucionar de los mapas analógicos al GPS en tiempo real para el sector farmacéutico. Obtén información más detallada: transforme ahora la interacción con sus clientes. Leer más.

Daniel Mathews + 2

    Acerca de este artículo

    Autores

    Temas relacionados
    Ciencias de la salud
    Impuestos
    EY Law - Servicios legales

    EY se refiere a la organización global, y puede referirse a una o más, de las firmas miembro de Ernst & Young Global Limited, cada una de las cuales es una entidad legal independiente. Ernst & Young Global Limited, una compañía británica limitada por garantía, no brinda servicios a los clientes.