Confidencialidad y trabajo psicoanalítico remoto

El Comité de Confidencialidad de la API ha preparado este breve consejo para los miembros de la API que puedan estar preocupados por la confidencialidad mientras realizan un trabajo psicoanalítico de forma remota. Revisa y actualiza una versión anterior que se publicó en abril de 2020. [1]

A principios de 2020, al inicio de la pandemia de COVID-19, muchos psicoanalistas tuvieron que adaptarse rápidamente al uso de tecnología remota, sin ninguna preparación ni advertencia, para mantenerse en contacto con sus pacientes y tener la opción de seguir ofreciendo servicios mentales. cuidado de la salud. En el estrés, la incertidumbre y la extrañeza de la nueva situación, los miembros de la API tuvieron que aprovechar su capacidad de recuperación interna y el apoyo de sus colegas.

En los meses siguientes, muchos analistas y pacientes se han familiarizado con el trabajo a distancia y se han adaptado a él en diversos grados, pero aún se experimentan muchas dificultades y el entorno de comunicación está en constante evolución. Los analistas y pacientes de todo el mundo utilizan una variedad de dispositivos físicos (teléfonos, tabletas, computadoras, enrutadores, etc.), sistemas operativos (Windows, MacOS, iOS, Android, Chrome, etc.) y servicios de software (Skype, FaceTime, WhatsApp, Teams, Zoom, Signal, etc.), a menudo con poco o ningún acceso al soporte técnico.

La confidencialidad es fundamental para el psicoanálisis. Mantener la confidencialidad depende de proteger la privacidad de las comunicaciones entre el paciente y el analista, y también entre analistas cuando discuten material clínico. Desafortunadamente, ninguna tecnología de comunicaciones es completamente segura. La probabilidad de que se pierda la privacidad a menudo puede ser pequeña, pero prácticamente todas las comunicaciones de Internet pueden ser interceptadas, el material puede ser robado o alterado y las consecuencias de una infracción pueden ser graves. El cumplimiento de requisitos reglamentarios como HIPAA (en los EE. UU.) O GDPR (en Europa) puede ayudar, pero no hace que la tecnología sea completamente segura. La interceptación de cualquier modalidad de comunicación es posible: video, audio, correo electrónico, mensajes de texto, redes sociales, etc. La privacidad puede violarse ya sea dentro de Internet o en los 'puntos finales' donde analista y paciente (o analista y analista) se encuentran respectivamente:

Los riesgos de interceptación en Internet pueden mitigarse en gran medida mediante el "cifrado de extremo a extremo" (E2EE). Esto significa que el contenido de la comunicación está encriptado en todas partes de Internet, excepto en los puntos finales, donde tiene que ser inteligible. Administrado correctamente, esto asegura que las comunicaciones interceptadas en Internet no serán inteligibles para ningún tercero. Algunos sistemas usan E2EE y otros no. Ha habido afirmaciones falsas para usarlo (por ejemplo, por Zoom a principios de 2020), por lo que si se puede confiar en un proveedor es una consideración importante al elegir qué sistema usar.

Los puntos finales de la comunicación, donde el contenido no está encriptado, son más difíciles de proteger. La seguridad del punto final implica proteger los dispositivos que utiliza cada persona (sus computadoras, tabletas, teléfonos inteligentes, etc.), así como los entornos locales en los que se están utilizando (por ejemplo, una casa u oficina), y restringir quién tiene acceso a ellos. En un entorno corporativo como un hospital o una universidad, donde los dispositivos son suministrados y administrados por un servicio de TI central, la seguridad de los puntos finales puede controlarse relativamente bien. Para la mayoría de los analistas y pacientes, sin embargo, este no es el caso; la seguridad de su punto final es ad hoc y depende del equipo que puedan proporcionar y de los arreglos que puedan hacer para protegerse. Por ejemplo, se puede obtener fácilmente un software que puede registrar las pulsaciones de teclas realizadas en un dispositivo, o el audio o video capturado por su micrófono o cámara. Instalado de forma encubierta en un dispositivo, dicho 'stalkerware' puede violar la seguridad del punto final.

Consejos generales para mejorar la protección de la confidencialidad en Internet

Asegúrese de que el entorno físico en ambos extremos es privado, sin riesgo de que el analista o el paciente sean escuchados o entrometidos. Esto puede ser más difícil de arreglar para el paciente que para el analista, dependiendo de sus circunstancias.
Si es posible, utilice solo sistemas que proporcionen encriptación de extremo a extremo (E2EE).
Si es posible, utilice software de código abierto, es decir, software cuyo código se hace público y, por tanto, está abierto al escrutinio de la comunidad global de ingenieros de software. Es menos probable que el software de código abierto incluya 'puertas traseras' ocultas que podrían permitir la escucha clandestina.
Mantenga todo el software actualizado. Los proveedores de software generalmente tratan de "parchear" las nuevas vulnerabilidades tan pronto como las detectan; los piratas informáticos explotarán cualquier archivo.
Habilitar cualquiera características de seguridad opcionales del servicio de comunicación que está utilizando, como: en videoconferencias, bloquear reuniones después de que todos hayan llegado; usar salas de espera para examinar a los asistentes; requiriendo contraseñas para ingresar a las reuniones.
Uso Contraseñas seguras, tanto para sus dispositivos como para cualquier aplicación o servicio que utilice. Sus intuiciones sobre la solidez de las contraseñas memorables y no aleatorias pueden ser incorrectas. Nunca use una contraseña simple y obvia, por más conveniente que sea. Considere almacenar sus contraseñas en un administrador de contraseñas o en su navegador. Se pueden encontrar más consejos sobre contraseñas en varios de los enlaces que se mencionan a continuación.
Si es posible, utilice un dispositivo dedicado para la comunicación con los pacientes y un dispositivo separado, que nunca está conectado a Internet o solo brevemente según sea necesario, para la administración, el almacenamiento de notas, la contabilidad, etc.
Mantenga al mínimo cualquier información confidencial y / o de identificación que se comunique a través de Internet. Siempre que sea posible, utilice seudónimos o códigos numéricos en lugar de nombres reales u otros detalles identificativos.
Limite el riesgo de acceso no autorizado a dispositivos o software utilizando autenticación de dos factores (2FA) cuando sea posible. Por ejemplo, esto implica requerir que un usuario inicie sesión tanto en el dispositivo que se está utilizando como en un dispositivo separado, como un teléfono celular.
Cuando trabaje en persona en la oficina / sala de consulta, tenga en cuenta la posibilidad de que cualquier teléfono celular en la habitación, ya sea del paciente o del analista, pueda usarse de manera encubierta como un dispositivo de monitoreo o registro, sin el conocimiento del propietario, y posiblemente incluso después de que se haya apagado.
Piense en sus arreglos para la copia de seguridad y la recuperación, y pruébelos para asegurarse de que funcionen. Es posible que los necesite algún día si su sistema es pirateado. Las copias de seguridad deben estar encriptadas.

Medidas como estas reducirán los riesgos para la confidencialidad, al igual que el lavado de manos, el distanciamiento social y la ventilación reducen los riesgos de infección viral, pero no pueden reducirlos a cero. Si no está seguro de cómo hacer alguno de ellos, busque ayuda si es posible de alguien que lo haga.

Estar mejor informado

En general, la situación es complicada y cambia constantemente. Las sugerencias hechas anteriormente reflejan nuestro mejor pensamiento actual, pero podrían quedar desactualizadas en cualquier momento. Por esta razón, y debido a que el asesoramiento de expertos disponible no siempre es unívoco, cuanto más puedan obtener los miembros de la API sobre ciberseguridad en general, mejor podrán protegerse a sí mismos y a sus pacientes. Hay más orientación útil disponible en la web de manera amplia y fácil, y se adjunta una selección de enlaces relevantes.

Enfoques clínicos alternativos para la gestión de los riesgos

Los psicoanalistas siguen siendo responsables de garantizar la confidencialidad clínica, incluso cuando carecen de un conocimiento relevante de la tecnología. La tecnología introduce un parámetro que puede afectar la confianza del paciente en que se puede mantener la confidencialidad. Cada analista debe emitir un juicio clínico sobre cómo abordar estas preguntas con cada paciente. Algunos desearán discutir la situación con el paciente, quizás reconociendo tanto la imposibilidad de garantizar la confidencialidad como los límites de su propia comprensión de la tecnología. Otros preferirán la escucha, la exploración y la interpretación abiertas como formas de abordar estos problemas, al igual que con cualquier otro aspecto de la situación analítica. El tratamiento psicoanalítico en línea es demasiado reciente, y todavía está en proceso de cambio, para que podamos estar seguros de establecer reglas generales sobre cómo tomar esas decisiones en el aquí y ahora de los tratamientos en curso.

¿Consultas o comentarios?

Si tiene alguna pregunta o comentario sobre este consejo, envíelo por correo electrónico al Comité de Confidencialidad de IPA: GME@dhr-rgv.com

Algunos enlaces útiles

BSI (Alemania): Oficina en casa aBSIchern? Geht ganz einfach.
https://www.bsi.bund.de/DE/Themen/Kampagne-einfach-absichern/Home-Office/home-office_node.html

CCCS (Canadá): Seguridad cibernética en el hogar y en la oficina
https://www.cyber.gc.ca/en/guidance/cyber-security-home-and-office-secure-your-devices-computers-and-networks-itsap00007

Ciberseguridad.com: Guía de Ciberseguridad en el Sector Sanitario
https://ciberseguridad.com/guias/sanidad/

CNCS (Portugal): Cidadão Ciberinformado
https://www.cncs.gov.pt/recursos/cidadao-ciberseguro/

EFF: Autodefensa de vigilancia
https://ssd.eff.org/

ESET: Cómo crear una contraseña fuerte en un minuto y proteger tu identidad digital
https://www.welivesecurity.com/la-es/2016/05/06/crear-contrasena-fuerte-un-minuto/

Gobierno (Francia): Conseil aux usuarios
https://www.gouvernement.fr/risques/conseils-aux-usagers

API: Informe del Comité de Confidencialidad de IPAe (2018)
https://www.ipa.world/IPA/en/IPA1/Confidentiality_Report_public_.aspx

NCSA (EE.UU): Mantengase Seguro En Línea
https://staysafeonline.org/stay-safe-online/

NCSC (REINO UNIDO): Cyber Aware
https://www.ncsc.gov.uk/section/information-for/individuals-families

NSA (EE.UU): Orientación sobre teletrabajo y seguridad móvil
https://www.nsa.gov/What-We-Do/Cybersecurity/Telework-and-Mobile-Security-Guidance/

OSI (España): Empodérate: mantén seguros tus dispositivos y protege en Internet
https://www.osi.es/es/actualidad/blog/2021/03/08/empoderate-manten-seguros-tus-dispositivos-y-protegete-en-internet

Publicado por primera vez el 27 de abril de 2020; esta versión revisada publicada el 10 de mayo de 2021

1 Disponible aquí. Esta versión revisada tiene en cuenta los consejos proporcionados por Ross Anderson FRS, profesor de ingeniería de seguridad en la Universidad de Cambridge. El informe completo del profesor Anderson está disponible aquí.

Bienvenido al área de miembros de IPA

Miembros y contando!

Candidatos y creciendo!

API

Psicoanálisis

Investigación

Como ayudar

Recursos

Eventos

Junta de representantes

2023 - 2025

Póngase en contacto

¿Cómo podemos ayudarle?

Noticias

FORO AMÉRICA LATINA