Confidencialidad y trabajo remoto durante la pandemia COVID-19

El Comité de Confidencialidad de la API ha preparado este breve consejo para los miembros de la API que pueden ser
preocupado por la confidencialidad mientras trabaja de forma remota

Debido a la pandemia de COVID-19, muchos psicoanalistas han tenido que adaptarse rápidamente al uso de tecnología remota, sin ninguna preparación o advertencia, para mantenerse en contacto con sus pacientes y continuar ofreciendo atención médica mental. Los analistas y los pacientes utilizan una variedad de dispositivos físicos (teléfonos, tabletas, computadoras, enrutadores, etc.) y servicios de software (Skype, FaceTime, WhatsApp, Zoom, etc.), a menudo sin acceso a soporte técnico. En el estrés, la incertidumbre y la extrañeza de esta situación, los miembros de la API tienen que recurrir a su capacidad de recuperación interna, así como al apoyo de sus colegas. 

La confidencialidad está en el corazón del psicoanálisis. Desafortunadamente, ninguna tecnología es completamente segura. El riesgo de una violación de la confidencialidad a menudo puede ser pequeño, pero prácticamente todas las comunicaciones de Internet pueden ser interceptadas, el material puede ser robado o alterado, y las consecuencias de una violación pueden ser graves. Cumplir con los requisitos reglamentarios como HIPAA (en los EE. UU.) O GDPR (en Europa) puede ayudar, pero no hace que la tecnología sea completamente segura. 

Se pueden tomar pasos simples para reducir el riesgo

Éstos incluyen:

• usando contraseñas seguras y cambiándolas a menudo; 
• usando un cortafuegos; instalar software antivirus y mantenerlo actualizado; 
• habilitando cualquier característica de seguridad opcional del servicio de comunicación que está utilizando.

Pasos como estos reducirán el riesgo de confidencialidad, al igual que el lavado de manos y el distanciamiento social reducen el riesgo de infección, pero no pueden reducirlo a cero. Si no sabe cómo hacer ninguno de ellos, busque ayuda, si es posible, de alguien que lo haga.

Estar mejor informado
Mientras más miembros de la IPA puedan averiguar sobre seguridad cibernética, mejor podrán protegerse a sí mismos y a sus pacientes. Hay más información útil disponible en la web, incluida la Sección 4 del Informe del Comité de Confidencialidad de IPAey en el Página de autodefensa de vigilancia de la Electronic Frontier Foundation.


Transparencia
Los miembros pueden querer discutir la situación de la confidencialidad con sus pacientes. Una opción podría ser reconocer abiertamente tanto la imposibilidad de garantizar la confidencialidad como los límites de su comprensión de la tecnología.

Más recomendaciones para mejorar la seguridad:

Para aquellos miembros que ya tienen algún conocimiento de la tecnología remota, las siguientes notas adicionales pueden ser útiles:

• Fuerte cifrado de extremo a extremo de todos los datos (incluidos audio y video en vivo) es una característica deseable de cualquier software o servicio de comunicación. Esto significa que la información está disfrazada ('encriptada') mientras se transmite por Internet de una manera que dificulta que cualquier persona (por ejemplo, un proveedor de software, proveedor de servicios, 'pirata informático' o agencia gubernamental) tenga acceso al contenido inteligible de una comunicación, incluso si pueden interceptarla con éxito.

• El software de código abierto es preferible. Esto significa que el código fuente del software ha sido publicado y está abierto al escrutinio de la comunidad global de profesionales de ciberseguridad. Por lo tanto, es menos probable que albergue vulnerabilidades ocultas, como una 'puerta trasera' incorporada, que el software cuyo código fuente se mantiene privado por razones comerciales. 

• La seguridad efectiva del punto final es importante. Esto se refiere a la seguridad de los dispositivos físicos utilizados tanto por el analista como por el paciente, y es independiente de cualquier software o servicio en particular que se utilice para la comunicación. En un entorno corporativo como un hospital o una universidad, donde los dispositivos son suministrados y administrados por un servicio central de TI, la seguridad del punto final puede controlarse relativamente bien. Para la mayoría de los analistas y pacientes, este no es el caso, por lo que su seguridad de punto final es ad hoc y depende de lo que ellos mismos puedan proporcionar. Los simples pasos descritos anteriormente, de usar contraseñas, un firewall y antivirus, y mantener el control exclusivo de dispositivos personales, cerrarán algunas de las lagunas.

• Cumplimiento regulatorio (por ejemplo, HIPAA o GDPR) deben tratarse con precaución como indicadores de seguridad relativa. Por ejemplo, la regla de seguridad de HIPAA solo protege la e-PHI (información de salud protegida electrónica), que no incluye comunicaciones de audio o video en vivo. El cumplimiento genuino de HIPAA también puede imponer considerables cargas administrativas y técnicas al profesional, aunque estas se relajaron parcialmente durante la emergencia de COVID-19.
  
  ¿Consultas o comentarios?
  Si tiene alguna pregunta o comentario sobre este consejo, envíelo por correo electrónico al Comité de Confidencialidad de IPA: GME@dhr-rgv.com
  
  Publicado por primera vez el 27 de abril de 2020