Aprovechar el potencial de la telemedicina en China, parte 2: Privacidad y seguridad de los datos

Esta publicación es la segunda de la serie de blogs de Foley, «Aprovechar el potencial de la telemedicina en China», cuyo objetivo es abordar las principales cuestiones a las que se enfrentan las empresas estadounidenses que desean entrar en el mercado chino de la telemedicina.

De un vistazo

• Cumplir con las leyes estadounidenses sobre privacidad y seguridad de los registros médicos no es suficiente para cubrir las necesidades de una empresa que se expande a China; los registros médicos también deben cumplir con los requisitos chinos.

• Las normas de almacenamiento en la nube de los EHR difieren en China; los hospitales y proveedores estadounidenses deben considerar alternativas al almacenamiento en la nube en servidores ubicados fuera de China cuando manejen datos de pacientes chinos y otros datos sanitarios.

• La autoridad máxima para interpretar las regulaciones regionales y específicas de cada sector recae en el sistema jurídico chino, que difiere significativamente del sistema jurídico estadounidense.

El mercado chino ofrece una gran oportunidad para los hospitales y proveedores estadounidenses, siempre y cuando se comprendan a fondo las complejidades de las cuestiones relacionadas con la privacidad y la seguridad de los datos. Esto incluye las regulaciones chinas relativas a los registros médicos, el almacenamiento de registros médicos electrónicos (EHR) y su aplicación práctica.

El hecho de que el software o la tecnología de privacidad y seguridad de los registros médicos de una empresa estadounidense cumpla con las normativas HIPAA o HITECH es importante, pero solo es suficiente en Estados Unidos. Se espera que las entidades con sede en Estados Unidos que prestan servicios sanitarios en China cumplan con diferentes normas y requisitos que rigen sectores industriales específicos, incluidas las leyes y normas chinas sobre privacidad de datos e información sanitaria y registros médicos.

Por ejemplo, según las Medidas de gestión de la información sobre la salud de la población (para su aplicación experimental), publicadas el 5 de mayo de 2014 por la Comisión Nacional de Salud y Planificación Familiar de China, una entidad «encargada de la recopilación, utilización, gestión, seguridad y protección de la privacidad de la información sobre la salud de la población» no puede «almacenar información sobre la salud de la población en servidores extranjeros, [ni] alojar o alquilar servidores extranjeros». Dicha entidad también está obligada a «establecer un sistema de gestión de rastreo en virtud del cual cualquier usuario que cree, modifique y acceda a información sobre la salud de la población estará sujeto a un estricto control de autenticación y autorización de identidad con nombre real».

Estas disposiciones pueden aplicarse a una amplia gama de actividades de los proveedores de servicios sanitarios en China, incluidas las actividades de las clínicas corporativas. Teniendo esto en cuenta, los hospitales y proveedores estadounidenses que operan en China no deben almacenar la información sanitaria de los pacientes chinos en la nube, a menos que los servidores de la nube se encuentren físicamente en China. Dadas las preocupaciones en materia de seguridad de la información, los proveedores estadounidenses deben evaluar y deliberar las opciones antes de transmitir y descargar la información de los pacientes chinos. Una posibilidad es crear un portal en línea para un centro chino que los proveedores estadounidenses puedan utilizar para acceder a las imágenes y los archivos de los pacientes sin correr el riesgo de infringir los requisitos chinos.

Los hospitales estadounidenses y otros proveedores de atención médica que operan en China también deben ser conscientes de la existencia de «documentos de orientación técnica» emitidos por diversas agencias gubernamentales chinas que subrayan una tendencia regulatoria que aumenta las restricciones sobre el uso y almacenamiento en servidores extranjeros de una gama más amplia de «información personal». Por ejemplo, GB/Z 28828-2012, publicado el 5 de noviembre de 2012 por la Administración de Normalización de la República Popular China, establece que «sin el consentimiento expreso del sujeto de la información personal, el requisito expreso de cualquier ley o reglamento, o el consentimiento de la autoridad competente, un administrador de información personal no debe transmitir información personal a ningún destinatario de información personal en el extranjero, incluyendo a una persona física ubicada en el extranjero o una organización o institución registrada en el extranjero».

Aunque estas «normas técnicas» no tienen efecto legal explícito, siempre existe el riesgo de que los gobiernos locales las interpreten como obligatorias o de que se les otorgue carácter obligatorio cuando se hagan referencia a ellas en las nuevas leyes y reglamentos chinos en el dinámico ámbito de la privacidad personal y de los datos. En cualquier caso, está claro que la tendencia en China favorece la «localización» del almacenamiento y el uso de la información sanitaria y otros datos personales, así como un mayor consentimiento informado para dicho uso.

¿Le interesa saber más sobre la telemedicina en China? Foley ofrece dos oportunidades para ponerse al día con las últimas novedades:

Traducciones al inglés de las opiniones de la NHFPC de China (publicadas en agosto de 2014)

Los miembros de los departamentos de Telemedicina y Prácticas en China de Foley han completado la traducción al inglés de dos dictámenes emitidos en agosto de 2014 por la Comisión Nacional de Salud y Planificación Familiar de la República Popular China en relación con:

• Promoción de los servicios de telemedicina de la institución médica.