Volver a página de inicio

I. Introducción y metodología

La digitalización en salud ha avanzado rápidamente en las últimas décadas, y la inteligencia artificial se ha convertido en uno de sus componentes principales. Esto ha permitido a los hospitales y centros de salud almacenar, gestionar y analizar una cantidad masiva de datos médicos, como resultados de pruebas, imágenes de diagnóstico y registros clínicos, de una forma que antes no era posible. Por ejemplo, los hospitales en toda España están adoptando plataformas digitales que les permiten compartir información médica de los pacientes de manera segura y rápida. Esto es útil para una atención más coordinada y precisa, pero también implica que los datos están en formatos que pueden ser vulnerables a ataques si no se gestionan correctamente; actualmente, el mundo digitalizado ya ha fusionado el acceso remoto a datos a través de internet con el uso de la IA para la interpretación y gestión de dichos datos, algo especialmente importante en el caso de los datos sanitarios. Esa transformación digital ha traído muchos beneficios, pero la dependencia de datos digitales también significa que hay más puntos de entrada potenciales para amenazas de ciberseguridad, algo que exploraremos más adelante, utilizando noticias de prensa, para elaborar, a partir de literatura gris, una instantánea del momento presente, que nos llevará a una discusión en la que presentaremos un decálogo de posibles estrategias que coadyuven a una mayor protección de datos personales tan delicados como sensibles.

II. Discusión

1. Beneficios de la salud digital para pacientes y proveedores de atención médica

— Acceso fácil y conveniente a servicios médicos: Mediante la telemedicina, los pacientes pueden realizar consultas sin necesidad de desplazarse, ideal para quienes residen en zonas alejadas o tienen limitaciones de movilidad (Zafra et al., 2024). Análisis de retos y dilemas que deberá afrontar la bioética del siglo XXI, en la era de la salud digital. Atención Primaria, 56(7), 102901.).

— Mayor autogestión y control sobre su salud: Las aplicaciones y dispositivos de monitoreo permiten a los pacientes rastrear sus signos vitales, registrar actividad física, controlar la dieta, y gestionar la medicación, promoviendo un papel más activo en su salud.

— Comunicación fluida y directa con el personal médico: Con herramientas digitales, los pacientes pueden enviar mensajes, resolver dudas y recibir orientación de forma rápida, lo que fortalece la relación médico-paciente y apoya una atención continua.

— Por su parte, la Carpeta Ciudadana, gestionada por el Ministerio para la Transformación Digital y de la Función Pública (MTDFP, 2024), permite el acceso a la Historia Clínica Digital del Sistema Nacional de Salud (HCDSNS) facilitándoles la consulta de sus datos clínicos con independencia de la comunidad autónoma donde éstos se hayan creado (Pedrero, 2013).

2. Beneficios para los proveedores de atención médica

— Mejora en la eficiencia de los procesos: Los profesionales de salud pueden acceder a los datos del paciente de manera ágil, compartir información y coordinar tratamientos de manera más eficaz, ahorrando tiempo y recursos.

— Toma de decisiones más informada: El análisis de datos y la inteligencia artificial facilitan la identificación de patrones y la previsión de diagnósticos, permitiendo tratamientos más precisos y ajustados a las necesidades de cada paciente.

— Facilitar del trabajo colaborativo: Plataformas de comunicación y colaboración digital permiten a los proveedores discutir casos, compartir conocimientos y trabajar en equipo en tiempo real, mejorando los resultados y la calidad de la atención.

3. Desafíos Principales en la Protección de Datos con IA

La protección de datos en un entorno de IA plantea algunos desafíos específicos (Kesa et al., 2020):

1. Privacidad y confidencialidad: Cuando usamos IA en salud, tratamos con datos personales de extrema sensibilidad. Estos datos incluyen información como diagnósticos, tratamientos y, en algunos casos, incluso detalles genéticos. Es esencial garantizar que el procesamiento de esta información no comprometa la identidad de los pacientes.

2. Cumplimiento normativo: La implementación de IA debe cumplir con el Reglamento General de Protección de Datos (GDPR) (LA LEY 6637/2016) en Europa. El GDPR establece requisitos estrictos sobre el uso y almacenamiento de datos personales. Por ejemplo, exige que los datos personales sean anonimizados o seudonimizados y que los pacientes den su consentimiento o que haya bases legales para su uso. Este cumplimiento es obligatorio, y los hospitales y centros de salud enfrentan multas si no siguen estas normativas.

3. Amenazas cibernéticas: Uno de los mayores riesgos para la protección de datos en el entorno de la IA es el aumento de ataques cibernéticos. Al digitalizarse los sistemas de salud y aumentar la dependencia en los datos digitales, la exposición a ataques como ransomware y phishing también aumenta.

4. La Ciberseguridad en IA y Salud

Las amenazas cibernéticas van en aumento y afectan a instituciones de salud en todo el mundo, incluyendo España.

— Agencia de la Unión Europea para la Ciberseguridad (ENISA) publicó en 2023 su primer informe sobre el panorama de amenazas cibernéticas para el sector de la salud.

El análisis integral mapea y estudia los ataques cibernéticos, identificando las principales amenazas, actores, impactos y tendencias durante un período de más de 2 años, proporcionando información valiosa para la comunidad de atención médica y los responsables políticos. El análisis se basa en un total de 215 incidentes notificados públicamente en la UE y los países vecinos. El informe de ENISA revelaba una realidad preocupante de los retos a los que se enfrentó el sector sanitario de la UE durante el período que abarca el informe.

5. Algunos Incidentes

El sector sanitario europeo experimentó un número significativo de incidentes, y los proveedores de atención médica representaron el 53% del total de incidentes. Los hospitales, en particular, se llevaron la peor parte, con el 42% de los incidentes reportados. Además, las autoridades, organismos y agencias de salud (14%), y la industria farmacéutica (9%) fueron atacadas. Los incidentes examinados en el informe tuvieron consecuencias significativas para las organizaciones de salud, lo que resultó principalmente en violaciones o robo de datos (43%) interrumpió los servicios de atención médica (22%) e interrumpió los servicios no relacionados con la atención médica (26%). El informe también destaca las pérdidas financieras sufridas, con un coste medio de un incidente de seguridad importante en el sector sanitario estimado en 300.000 euros, según el estudio ENISA NIS Investment 2022 (S2 Grupo, 2024).

1. Ransomware: Este tipo de ataque bloquea el acceso a los datos y exige un rescate para liberarlos. El ransomware surgió como una de las principales amenazas en el sector de la salud (54% de los incidentes). Se considera probable que esta tendencia continúe. Solo el 27% de las organizaciones encuestadas en el sector de la salud tienen un programa de defensa contra ransomware dedicado. Impulsados por las ganancias financieras, los ciberdelincuentes extorsionan tanto a las organizaciones sanitarias como a los pacientes, amenazando con revelar datos, personales o de naturaleza sensible. Los datos de los pacientes, incluidos los registros electrónicos de salud, fueron los activos más seleccionados (30%). De manera alarmante, casi la mitad de todos los incidentes (46%) tenían como objetivo robar o filtrar datos de organizaciones de salud. Las principales amenazas incluyen:

2. Phishing: Los ataques de phishing intentan engañar a los usuarios para que revelen sus credenciales de acceso o información confidencial. Por ejemplo, en 2021, hospitales en la Comunidad Valenciana fueron blanco de ataques de phishing que usaban correos electrónicos falsos. Este tipo de ataque subraya la importancia de formar al personal en reconocer correos sospechosos y en prácticas de seguridad.

3. Accesos no autorizados: Los atacantes también pueden intentar explotar vulnerabilidades en los sistemas de los hospitales para acceder a datos sin permiso.

«Un incidente de seguridad detectado el pasado 9 de julio en las páginas web de los hospitales Clínico San Cecilio y Virgen de las Nieves, en la capital granadina, así como en las del Área de Gestión Sanitaria Sur de la provincia y del Distrito Granada-Metropolitano ha afectado a datos como DNI o correos electrónicos de unos 50.000 profesionales sanitarios, sin impactar en infraestructuras críticas ni en servicios asistenciales. No hay comprometida información de pacientes ni de carácter bancario. Todo ello después de que el atacante pidiera un rescate por valor de 2.500 dólares en bitcoin que no se pagó.» (Redacción Médica, 2024).

Era la mañana de un domingo de marzo de 2023 en el Hospital Clínic de Barcelona. Más de 300 personas que esperaban someterse ese día a una cirugía no pudieron. Se dejaron de hacer más de 4.000 análisis de pacientes y más de 11.000 visitas de consultas externas, así como el aplazamiento de sesiones de radioterapia oncológica que estaban programadas. Un ciberataque al hospital había afectado gravemente los servicios de urgencias, laboratorios y farmacia. Poco después, la empresa de ciberdelincuentes Ransom House se atribuyó la autoría del delito. El ciberataque le costó caro al Clínic: intervenciones aplazadas, días sin conexión a Internet, comunicaciones interrumpidas entre departamentos, imposibilidad de acceso a historiales de los pacientes... Aunque lo más crítico fue, sin duda, el robo de información tanto de los pacientes como de los trabajadores del centro, desde datos personales hasta de salud y tratamientos adecuados. El Hospital Clínic de Barcelona incumplía las medidas de seguridad informática cuando recibió el ciberataque del grupo RansomHouse; una intrusión que acabó con la filtración de miles de datos personales de pacientes, trabajadores, estudios médicos y del mismo centro. Ante estos hechos la Autoridad Catalana de Protección de Datos (APDCAT) ha sancionado al hospital porque no evaluó correctamente el riesgo asociado a los datos sanitarios que trata ni tomó. las medidas que se le requieren. En concreto, este organismo que cuelga del Gobierno determina que el Clínic infringió la normativa de protección de datos y también su responsabilidad en el tratamiento de datos confidenciales (Borrás Abelló, 2024).

En la Unión Europea, según Protección Data, no se sanciona administrativamente el pago de un rescate, ya que no existe una estrategia común. En el caso de España, ninguna norma prohíbe expresamente este pago. No obstante, se podría perseguir penalmente a quien atienda finalmente a estas peticiones al considerarse colaboración con un grupo u organización criminal, un acto contrario a la Ley 10/2010, de 28 de abril (LA LEY 8368/2010), de Prevención del Blanqueo de Capitales y la Financiación del Terrorismo. De ahí el secretismo que rodea al pago de un rescate (Osuna, 2024).

4. Uso no aceptable de IA generativa: Este es tal vez el asunto más preocupante, por ser una tecnología en amplio desarrollo en la actualidad, de alcance aún insospechado. Los modelos generativos son vulnerables a ataques que corrompen su entrenamiento. Un ciberdelincuente podría introducir datos adulterados (p. ej., asociar síntomas falsos a fármacos específicos) para alterar sus salidas. El caso de PoisonGPT (Kempen, 2024; Easttom, 2025) —donde se manipuló un modelo para generar desinformación médica— ilustra cómo estos ataques pueden convertirse en amenazas para la salud pública.

6. Estrategias de Protección de Datos y Seguridad

Para proteger los datos en sistemas de IA, es esencial implementar una combinación de medidas tecnológicas y operativas. Algunas de las estrategias más efectivas son (Naseer, 2023):

• 1. Encriptación de datos: Encriptar los datos significa que, si alguien accede a ellos sin autorización, no podrá leer la información a menos que tenga la clave de desencriptado. Esta práctica es crucial para proteger la información médica en su almacenamiento y durante su transmisión.
• 2. Autenticación multifactor (MFA): La MFA añade varias capas de seguridad en el acceso a los sistemas. Esto se aplica ya en hospitales como el Hospital Clínic de Barcelona, donde el personal médico utiliza varios métodos de autenticación para acceder a los datos de los pacientes, como contraseñas y tokens.
• 3. Monitoreo constante y alertas de seguridad: Es fundamental que los sistemas de IA en hospitales sean monitoreados de forma continua para detectar cualquier actividad sospechosa y responder rápidamente. Esto puede incluir el uso de sistemas de detección de intrusos y alertas de seguridad que avisen a los administradores de TI ante posibles ataques.
• 4. Simulacros de ciberataques y formación: Los simulacros de ciberataques permiten evaluar la respuesta del equipo en caso de un ataque. En el sector salud español, algunos centros están ya adoptando estas prácticas para reforzar su capacidad de respuesta ante incidentes reales.

Pasemos a algunos casos prácticos de implementación de IA en la sanidad española que han logrado avances significativos manteniendo la seguridad de los datos.

El Hospital Universitario La Paz ha incorporado a la práctica clínica la caracterización del metiloma con técnicas de inteligencia artificial (IA). Esta tecnología proporciona una mayor precisión en el diagnóstico del cáncer del sistema nervioso central. Su incorporación a la práctica clínica ha brindado apoyo al diagnóstico de 33 pacientes hasta la fecha. El complejo de la Comunidad de Madrid ha dado así un paso significativo en el diagnóstico de tumores SNC.

El Hospital Universitario Fundación Alcorcón, centro público de la Comunidad de Madrid, ha incorporado hasta el momento cinco aplicaciones de Inteligencia Artificial, que inciden en los ámbitos de asistencia sanitaria, investigación y en la gestión.

La IA ya salva vidas en un hospital de Mallorca con un algoritmo que pronto se extenderá a otros. La inteligencia artificial es capaz de detectar la sepsis 24 horas antes que con los protocolos habituales, tal y como indica Linde, 2024.

El Hospital Universitario Ramón y Cajal va a desarrollar una herramienta basada en inteligencia artificial para identificar el riesgo de cáncer, a través de la Unidad de Cáncer Hereditario gracias a un acuerdo de colaboración con la Fundación Sener. Dicha iniciativa será desarrollada conjuntamente entre ambas instituciones, a partir de información anonimizada de 10.000 árboles genealógicos familiares (abarcando tres o más generaciones) y datos clínicos individuales —incluyendo datos de diagnóstico, presencia y tipología de tumores o patologías benignas relevantes, entre otros— (Gaceta Médica, 2024).

Estos casos demuestran que, con las medidas de seguridad adecuadas, es posible aprovechar las ventajas de la IA en salud sin comprometer la privacidad ni la seguridad.

7. Formación y Concienciación del Personal Sanitario

Un aspecto fundamental es la educación y concienciación del personal sanitario sobre las buenas prácticas de seguridad. Las instituciones de salud deben invertir en la formación continua de su personal para que conozcan los riesgos y se sientan capacitados para actuar de forma segura. Los elementos clave incluyen:

• 1. Identificación de intentos de phishing: A través de la formación, los empleados aprenden a detectar correos electrónicos sospechosos y a manejar adecuadamente los intentos de phishing.
• 2. Conciencia sobre la importancia de la privacidad: El personal médico debe ser consciente de la importancia de la protección de datos y de cómo mantener la privacidad de los pacientes en sus actividades diarias. Esto implica manejar los datos con precaución y evitar acciones que puedan ponerlos en riesgo.
• 3. Respuestas ante incidentes: Los simulacros y la formación específica preparan al personal para responder de forma rápida y efectiva en caso de un ataque. Estos ejercicios refuerzan la cultura de seguridad dentro de las organizaciones.

El futuro de la IA en salud es prometedor, pero trae desafíos. La IA tiene un enorme potencial para mejorar el diagnóstico y la atención, pero es esencial que siga desarrollándose de una manera ética y segura. Algunos de los desafíos y perspectivas incluyen:

• • Desarrollo ético de la IA: La IA debe desarrollarse de manera que respete los derechos de los pacientes. Esto incluye la transparencia en cómo se usan sus datos y el derecho a ser olvidado.
• • Adaptación continua de las normativas: Las leyes, como el GDPR (LA LEY 6637/2016), deben actualizarse periódicamente para hacer frente a los nuevos desafíos de privacidad que trae la IA.
• • Colaboración interdisciplinaria: Para implementar IA de manera segura, es esencial la colaboración entre profesionales médicos, ingenieros de IA y expertos en protección de datos.

8. Responsabilidad civil por incumplimiento

El RGPD garantiza a toda persona que haya sufrido daños y perjuicios, ya sean materiales o inmateriales, como resultado de una infracción de sus disposiciones, el derecho a recibir una indemnización efectiva y solidaria (art. 82.1 (LA LEY 6637/2016) y considerando 146 del RGPD).

Pero, no toda infracción en materia de protección de datos personales genera automáticamente un derecho a indemnización.

Los requisitos para que proceda una indemnización según las últimas resoluciones judiciales del Tribunal de Justicia de la Unión Europea (TJUE), son los siguientes:

• • Infracción del RGPD: Debe existir un tratamiento de datos personales que contravenga las disposiciones del Reglamento General de Protección de Datos (LA LEY 6637/2016).
• • Daños o perjuicios: Es necesario que el interesado sufra daños, ya sean materiales o inmateriales. Estos daños pueden incluir perjuicios insustanciales, pero deben ser concretos y demostrables.
• • Relación de causalidad: Debe establecerse un vínculo directo entre la infracción del RGPD y los daños sufridos por el interesado.

Por tanto, el simple temor a que los datos hayan sido divulgados no basta para justificar una indemnización, salvo que se pruebe que dicho temor ha generado consecuencias negativas.

El Tribunal Supremo, en sentencia de fecha 19/03/2024 (STS 398/2024 (LA LEY 40888/2024)), resuelve mencionando las resoluciones dictadas por el TJUE, recalcando que la necesidad de probar los daños y perjuicios que se han ocasionado, como consecuencia de la infracción del RGPD.

Con el escenario comentado, que implicará el uso de IA para el manejo de datos sensibles de índole sanitaria, amén de la necesidad de que esos datos, en cualquier caso, al formar parte de historiales médicos personales, sean salvaguardados de manera segura, los autores plantean y desarrollan varias facetas y soluciones para atajar tan importante problema, que se han introducido en el inicio de este artículo. A continuación, se presenta un decálogo de consideraciones críticas para mejorar la protección de datos en este ámbito tan delicado y fundamental:

1. Cifrado Integral de Datos

El cifrado de datos, tanto en tránsito como en reposo, garantiza que incluso si ocurre un acceso no autorizado, los datos permanezcan indescifrables sin la clave de descifrado. Se deben adoptar estándares avanzados de cifrado (AES-256) para el almacenamiento y transmisión de datos sanitarios (Scheibner et al., 2022).

El cifrado de datos es un pilar fundamental en la gestión segura de datos en el sector sanitario, especialmente con la creciente dependencia de sistemas digitales y análisis impulsados por IA. El cifrado transforma datos legibles en un formato ilegible, asegurando que solo las partes autorizadas con las claves de descifrado puedan acceder a la información. Esto es particularmente crítico para datos sanitarios sensibles, como registros electrónicos de salud (EHR), imágenes diagnósticas y perfiles genéticos, que, si fueran interceptados, podrían llevar a graves violaciones de privacidad o explotación. El Estándar de Cifrado Avanzado (AES) con claves de 256 bits es el enfoque más recomendado para proteger dichos datos debido a su robusta seguridad y amplia compatibilidad con sistemas modernos. El cifrado debe aplicarse tanto durante la transmisión como el almacenamiento de datos para prevenir brechas en cualquier etapa del manejo de datos. Por ejemplo, los protocolos de comunicación cifrada como HTTPS y SSL/TLS son indispensables para asegurar los datos transmitidos por internet. Sin embargo, tal cifrado por sí solo es insuficiente sin prácticas integrales de gestión de claves. La generación, distribución, almacenamiento y rotación segura de claves de cifrado son esenciales para prevenir accesos no autorizados. Las soluciones de gestión de claves (KMS) deben incorporar características como rotación automática de claves, copias de seguridad seguras y módulos de seguridad hardware (HSMs) para una protección óptima. Además, las organizaciones deben integrar el cifrado con otras medidas de seguridad, como la autenticación multifactor (MFA) y la gestión de acceso e identidad (IAM), para crear un sistema de defensa por capas. Al asegurar que los datos cifrados permanezcan inaccesibles incluso si son vulnerados, las organizaciones sanitarias pueden mitigar significativamente los riesgos planteados por ciberataques como el ransomware y el robo de datos.

El cumplimiento normativo también juega un papel crucial en las prácticas de cifrado de datos. Regulaciones como el Ley Orgánica de Protección de Datos (LOPD) exigen el cifrado como medida de seguridad estándar para proteger los datos de los pacientes. El incumplimiento puede llevar a severas penalizaciones legales y daños reputacionales. Las organizaciones sanitarias deben realizar auditorías regulares para evaluar sus implementaciones de cifrado y asegurar que cumplen con los requisitos regulatorios. Además, los avances en computación cuántica plantean una potencial amenaza futura para los métodos tradicionales de cifrado, haciendo vital que las organizaciones exploren algoritmos de cifrado resistentes a la computación cuántica como parte de sus estrategias de protección de datos a largo plazo.

2. Autenticación Multifactor (MFA)

La implementación de MFA reduce significativamente los riesgos de acceso no autorizado. Los sistemas sanitarios deben integrar MFA combinando algo que los usuarios conocen (contraseñas), tienen (tokens de seguridad) y son (verificación biométrica) para todos los puntos de acceso (Suleski et al., 2023).

La MFA mejora la seguridad al requerir que los usuarios verifiquen su identidad mediante múltiples credenciales independientes, haciendo significativamente más difícil el acceso no autorizado. Este método típicamente combina algo que el usuario conoce (contraseña), algo que tiene (token de seguridad o teléfono inteligente) y algo que es (datos biométricos como huellas dactilares o reconocimiento facial). En entornos sanitarios, la MFA es particularmente valiosa para controlar el acceso a datos sensibles de pacientes y sistemas críticos. Por ejemplo, un médico que accede a un sistema de historiales clínicos electrónicos podría necesitar proporcionar una contraseña y aprobar un intento de inicio de sesión a través de una aplicación móvil, asegurando que incluso si su contraseña se ve comprometida, el acceso permanece restringido. La implementación de MFA en el sector sanitario debe abordar los desafíos únicos del sector. Muchos profesionales sanitarios operan en entornos de alta presión donde el acceso rápido a los datos puede salvar vidas. Por lo tanto, las soluciones MFA deben equilibrar la seguridad con la usabilidad para evitar obstaculizar la eficiencia del flujo de trabajo. Los sistemas de autenticación adaptativa que ajustan los requisitos de seguridad según el comportamiento del usuario o el contexto, como la ubicación o el tipo de dispositivo, pueden ayudar a mantener este equilibrio. Por ejemplo, un sistema podría requerir MFA completa solo para accesos fuera de la red hospitalaria o para datos particularmente sensibles, mientras que confía en métodos menos intrusivos para el acceso rutinario dentro de instalaciones seguras.

A pesar de su efectividad, ninguna tecnología de protección es infalible y la MFA debe complementarse con otras medidas de seguridad. Los atacantes aún pueden explotar vulnerabilidades como el phishing o el intercambio de SIM para eludir ciertas implementaciones de MFA. Para contrarrestar esto, las organizaciones sanitarias deberían emplear salvaguardas adicionales, como el uso de claves de seguridad basadas en hardware (por ejemplo, YubiKeys) que son resistentes a ataques remotos. La formación regular del personal sanitario sobre el reconocimiento de intentos de phishing y la importancia de mantener la integridad de los dispositivos MFA también es crítica. Al integrar la MFA en una estrategia de seguridad más amplia, las organizaciones sanitarias pueden crear una defensa robusta contra el acceso no autorizado a sistemas y datos sensibles.

3. Arquitectura de ZTA

Emplear un Zeto Trust Architecture (ZTA), que implica que ningún usuario o dispositivo es automáticamente confiable, incluso dentro de la red (Syed et al., 2022). Cada solicitud de acceso debe verificarse, requiriendo protocolos estrictos de gestión de identidad y acceso para proteger los datos sanitarios sensibles. La ZTA representa un cambio de paradigma en la seguridad de redes al desafiar la noción tradicional de confianza implícita dentro de un perímetro de red. En un modelo de Confianza Cero, ningún usuario, dispositivo o aplicación es inherentemente confiable, independientemente de su ubicación dentro de la red. Esto es especialmente crítico en el sector sanitario, donde los datos sensibles se acceden cada vez más desde ubicaciones remotas, como plataformas de telemedicina, o se comparten entre múltiples organizaciones. ZTA impone una verificación estricta de identidad, monitorización continua y controles de acceso de mínimo privilegio para minimizar el riesgo de brechas. Por ejemplo, un proveedor sanitario que accede a datos de pacientes desde una red externa podría someterse a rigurosas comprobaciones de autenticación y cumplimiento del dispositivo antes de obtener acceso a recursos específicos.

La implementación de ZTA en entornos sanitarios involucra varios componentes clave. Los sistemas de Gestión de Identidad y Acceso (IAM) juegan un papel central, asegurando que solo los usuarios autenticados con credenciales verificadas puedan acceder a los recursos de la red. La micro-segmentación mejora aún más la seguridad al dividir la red en segmentos más pequeños y aislados, limitando el movimiento lateral en caso de una brecha. Por ejemplo, un atacante que comprometa un dispositivo en la red administrativa de un hospital no podría acceder a los sistemas clínicos que almacenan historiales clínicos electrónicos. Además, la monitorización y análisis en tiempo real son esenciales para detectar y responder a comportamientos anómalos indicativos de una potencial amenaza de seguridad. La adopción de ZTA requiere un cambio cultural y operativo dentro de las organizaciones sanitarias (Chinamanagonda, 2022). Los equipos de TI deben reevaluar los sistemas y procesos heredados para alinearse con los principios de Confianza Cero, lo que puede involucrar inversiones significativas en modernizar la infraestructura y recapacitar al personal. También debe considerarse el cumplimiento normativo, ya que ZTA debe implementarse de manera consistente con las leyes de protección de datos como GDPR (LA LEY 6637/2016). A pesar de estos desafíos, los beneficios de ZTA en el sector sanitario son inmensos, proporcionando un enfoque proactivo para asegurar datos y sistemas sensibles en un panorama digital cada vez más complejo e interconectado.

4. Auditorías de Seguridad Regulares

Realizar evaluaciones periódicas de seguridad para identificar vulnerabilidades en sistemas de IA, redes y bases de datos. Estas auditorías deben incluir pruebas de penetración y verificaciones de cumplimiento con regulaciones sanitarias como GDPR (LA LEY 6637/2016) o equivalentes nacionales (Shojaei et al., 2024). Las auditorías regulares de seguridad son un componente crítico para mantener la integridad de los sistemas de datos sanitarios, particularmente en entornos donde se gestiona información sensible de pacientes. Las auditorías de seguridad implican una evaluación exhaustiva de la infraestructura de TI, políticas y procedimientos de una organización para identificar vulnerabilidades y asegurar el cumplimiento de regulaciones como GDPR (LA LEY 6637/2016) u otras leyes regionales. Estas auditorías a menudo incluyen pruebas de penetración, escaneos de vulnerabilidades e inspecciones manuales de sistemas críticos. Por ejemplo, en un entorno hospitalario, una auditoría de seguridad podría evaluar si los sistemas de historiales clínicos electrónicos (EHR) tienen cifrado actualizado, controles de acceso adecuados y protección contra vulnerabilidades conocidas.

Más allá de identificar debilidades, las auditorías de seguridad también proporcionan perspectivas susceptibles de mejora. Destacan áreas donde los protocolos existentes pueden ser insuficientes, como software desactualizado, cortafuegos mal configurados o formación insuficiente de empleados. Estas perspectivas son esenciales para que las organizaciones implementen medidas específicas para fortalecer sus defensas. En el sector sanitario, las auditorías también pueden evaluar la efectividad de los planes de respuesta a incidentes mediante la simulación de escenarios de brecha, ayudando a las organizaciones a refinar sus estrategias para mitigar amenazas del mundo real. Al establecer un calendario rutinario de auditorías, las organizaciones pueden asegurar que permanecen vigilantes contra amenazas cibernéticas en evolución y mantienen una postura de seguridad sólida a lo largo del tiempo.

Los beneficios de las auditorías regulares de seguridad se extienden más allá de las mejoras técnicas inmediatas. También construyen confianza con pacientes, socios y organismos reguladores. Demostrar un compromiso con la seguridad proactiva a través de resultados documentados de auditorías puede mejorar la reputación de una organización y reducir el riesgo de penalizaciones legales o financieras debido al incumplimiento. Sin embargo, las auditorías no son una solución única para todos y deben adaptarse a las necesidades y riesgos específicos de la organización. Esto podría involucrar evaluaciones especializadas para sistemas de IA, entornos en la nube o dispositivos médicos IoT, asegurando una evaluación integral de todas las vulnerabilidades potenciales en el ecosistema sanitario.

5. Anonimización y Seudoanonimización de Datos

Antes del procesamiento, los datos sanitarios deben ser anonimizados o seudoanonimizados (seudonimizados) para eliminar identificadores. Esto garantiza la privacidad y reduce el riesgo de robo de identidad incluso si los datos son interceptados o filtrados. La anonimización y seudonimización de datos son técnicas esenciales para preservar la privacidad de los pacientes mientras se permite el uso de datos sanitarios en investigación, análisis y aplicaciones de IA. La anonimización implica eliminar toda la información personal identificable (PII con sus siglas en inglés) de los conjuntos de datos, haciendo imposible vincular los datos con un individuo. Esto es especialmente importante para el cumplimiento de regulaciones como GDPR (LA LEY 6637/2016), que requieren protecciones estrictas para datos personales. Por ejemplo, los conjuntos de datos anonimizados pueden usarse para entrenar modelos de IA para detectar patrones en imágenes médicas sin comprometer la privacidad del paciente. Sin embargo, lograr una verdadera anonimización puede ser desafiante, ya que los ataques de reidentificación usando fuentes de datos auxiliares son un riesgo potencial (Heurix et al., 2011).

La seudonimización, por otro lado, reemplaza la PII con identificadores únicos mientras mantiene la capacidad de reidentificar datos bajo condiciones estrictas, como mediante el uso de sistemas seguros de gestión de claves. Este enfoque equilibra la privacidad con la usabilidad, permitiendo a las organizaciones sanitarias vincular datos con individuos cuando sea necesario, como para tratamientos de seguimiento o estudios longitudinales. Por ejemplo, un registro de cáncer podría usar datos seudonimizados para rastrear resultados de tratamientos a través de múltiples instalaciones mientras protege las identidades de los pacientes. Ambas técnicas requieren salvaguardas robustas, como cifrado y acceso controlado a las claves de desidentificación, para prevenir la reidentificación no autorizada. Implementar la anonimización y seudonimización de manera efectiva requiere una planificación cuidadosa y herramientas técnicas avanzadas. Las organizaciones sanitarias deben adoptar métodos estandarizados para asegurar la consistencia y fiabilidad en su procesamiento de datos. Los algoritmos de IA también pueden ayudar a identificar y eliminar PII en datos no estructurados, como notas de médicos o comunicaciones con pacientes. Además, el cumplimiento normativo exige documentación exhaustiva de los métodos utilizados para la anonimización y/o seudonimización, así como auditorías regulares para verificar su efectividad. Al priorizar estas técnicas, las organizaciones pueden desbloquear el valor de los datos sanitarios mientras mantienen la confianza y privacidad de sus pacientes.

6. Infraestructura Cloud Robusta

Si los proveedores sanitarios dependen de servicios en la nube, deben exigir características específicas de seguridad a los proveedores:

• * Soluciones de redundancia y respaldo de datos.
• * Cumplimiento de estándares relevantes de protección de datos.
• * Sistemas avanzados de detección de amenazas y respuesta a incidentes. Los proveedores también deberían considerar usar soluciones de nube privada o híbrida para garantizar un mayor control sobre los datos.

El uso de infraestructura en la nube en el sector sanitario ha crecido significativamente debido a su escalabilidad, rentabilidad y capacidad para soportar análisis avanzados y aplicaciones de IA. Sin embargo, asegurar los datos sanitarios en la nube requiere una infraestructura robusta y medidas de seguridad estrictas. Un entorno en la nube seguro debe incluir características como cifrado para datos en tránsito y en reposo, redundancia para la disponibilidad de datos y copias de seguridad automatizadas para prevenir la pérdida de datos. Los proveedores de servicios en la nube también deben cumplir con estándares de la industria como ISO 27001 y certificaciones específicas del sector sanitario como HITRUST o GDPR (LA LEY 6637/2016), asegurando que cumplen con los más altos estándares de seguridad. Por ejemplo, los hospitales que adoptan sistemas de historiales clínicos electrónicos basados en la nube deben verificar que su proveedor cumpla con estos estándares (Alluhaidan, 2022)).

Los modelos de nube privada e híbrida son a menudo preferidos en el sector sanitario debido a sus características mejoradas de control y seguridad. Una nube privada ofrece un entorno dedicado sin recursos compartidos, reduciendo el riesgo de exposición de datos a usuarios no autorizados. Los modelos híbridos combinan la flexibilidad de las nubes públicas con la seguridad de las nubes privadas, permitiendo a las organizaciones almacenar datos sensibles de pacientes en entornos seguros mientras aprovechan las nubes públicas para aplicaciones menos críticas. Además, los sistemas avanzados de detección de amenazas integrados en infraestructuras en la nube pueden monitorizar actividades inusuales, como intentos de acceso no autorizado o filtración de datos, y proporcionar alertas en tiempo real.

La colaboración con proveedores de servicios en la nube es crucial para garantizar una seguridad robusta. Las organizaciones sanitarias deben definir claramente sus requisitos de seguridad en acuerdos de nivel de servicio (SLA), incluyendo estándares de cifrado de datos, protocolos de recuperación ante desastres y certificaciones de cumplimiento. Las auditorías regulares de la infraestructura y prácticas de seguridad del proveedor también son esenciales. Además, implementar controles de acceso, como sistemas de gestión de identidad y acceso (IAM), puede ayudar a restringir el acceso a recursos en la nube basado en roles y responsabilidades de usuarios. Al invertir en una infraestructura en la nube segura y bien gestionada, las organizaciones sanitarias pueden cosechar los beneficios de la computación en la nube mientras minimizan los riesgos para los datos de los pacientes.

En los casos examinados en este artículo, las infraestructuras que sufrieron ciberataques no estaban adecuadamente diseñadas ni tenían las salvaguardas mínimas para atender la seguridad de datos tan sensibles como los que almacenaban, algo que habla de la poca capacitación en algunos casos, que puede ser mitigada con subcontradas de servidores en la nube. La estructura cloud suele ser robusta, especialmente en casos de grandes servidores de servicio internacional, que además, por razones obvias se mantienen al día en los últimos avances de ciberseguridad. En cualquier caso, también tendría sentido, a la hora de contratar estos servicios, tener muy claro lo que se contrata, y disponer de seguros que permitan afrontar situaciones inesperadas.

7. Mitigación de Amenazas Específicas de la IA

Los sistemas de IA deberían asimismo someterse a pruebas rigurosas de vulnerabilidades de forma periódica y sistemática, especialmente en los casos de aquellas que podrían conducir a ataques adversarios o envenenamiento del modelo (Kaviani et al., 2022). Las actualizaciones y monitorización regulares del modelo son esenciales para mantener la integridad del sistema. Los sistemas de Inteligencia Artificial (IA) en el sector sanitario ofrecen oportunidades sin precedentes para mejorar la atención al paciente, desde análisis predictivos hasta diagnósticos automatizados. Sin embargo, estos sistemas también introducen vulnerabilidades únicas, como ataques adversarios y envenenamiento de modelos, que pueden comprometer su fiabilidad y seguridad. Los ataques adversarios implican manipular datos de entrada para engañar a los modelos de IA, como alterar imágenes médicas para producir diagnósticos falsos. El envenenamiento de modelos, por otro lado, ocurre cuando los atacantes introducen datos maliciosos durante el proceso de entrenamiento, corrompiendo el rendimiento del modelo. Para abordar estas amenazas, las organizaciones sanitarias deben implementar estrategias robustas de mitigación de amenazas específicas de IA, como entrenamiento adversario y validación regular de modelos.

Un aspecto clave de la seguridad en IA es asegurar la integridad de los conjuntos de datos de entrenamiento. Estos conjuntos de datos deben ser cuidadosamente curados, validados y almacenados en entornos seguros para prevenir modificaciones no autorizadas. Los modelos de IA también deben someterse a pruebas rigurosas para identificar vulnerabilidades a entradas adversarias o comportamientos inesperados. Técnicas como la IA explicable (XAI) pueden ayudar a desarrolladores y profesionales sanitarios a entender cómo los modelos toman decisiones, permitiéndoles detectar y abordar posibles anomalías (Angelov et al., 2021). Además, las organizaciones deberían establecer sistemas de monitorización que rastreen el rendimiento de los modelos desplegados en tiempo real, proporcionando advertencias tempranas de posible manipulación o degradación del rendimiento. La colaboración entre ingenieros de IA, expertos en ciberseguridad y profesionales sanitarios es esencial para implementar medidas efectivas de seguridad en IA. Este enfoque interdisciplinario asegura que los sistemas de IA se diseñen teniendo en cuenta tanto la robustez técnica como la usabilidad práctica. El cumplimiento normativo también es crítico, ya que marcos como GDPR (LA LEY 6637/2016) requieren transparencia en los procesos de toma de decisiones de IA y responsabilidad por sus resultados. Al abordar las amenazas únicas planteadas por la IA en el sector sanitario, las organizaciones pueden aprovechar su potencial transformador mientras salvaguardan la confianza y seguridad de los pacientes.

8. Educación y Formación para el Personal Sanitario

La formación continua sobre seguridad de datos y mejores prácticas garantiza que el personal pueda identificar intentos de phishing, gestionar datos sensibles de manera responsable y responder rápidamente a incidentes de seguridad (Khalid & Oluwadamilola, 2024).

Es una realidad que el error humano es una de las principales causas de violaciones de datos en el sector sanitario, lo que convierte a la educación y la capacitación del personal en un componente indispensable de las estrategias de seguridad de datos. Los profesionales de la salud, a menudo enfocados en brindar atención a los pacientes, pueden no ser plenamente conscientes de los riesgos de ciberseguridad a los que se enfrentan diariamente. Los programas de capacitación deben abordar esta brecha de conocimiento proporcionando orientación práctica sobre cómo reconocer intentos de phishing, evitar redes no seguras y manejar de manera segura datos sensibles. Por ejemplo, simulaciones interactivas de ataques de phishing pueden enseñar al personal a identificar correos electrónicos fraudulentos y a evitar compartir credenciales, un punto de entrada común para los atacantes.

Los programas de capacitación efectivos van más allá de la concienciación general al adaptar el contenido a los roles y responsabilidades de los miembros del personal. Los administradores de TI, por ejemplo, requieren formación detallada sobre configuraciones del sistema y herramientas de detección de amenazas, mientras que los trabajadores sanitarios de primera línea necesitan pautas más simples y prácticas, como evitar el uso de dispositivos personales para tareas laborales. La capacitación también debe incluir instrucciones sobre cómo responder a incidentes de seguridad, como reportar brechas sospechosas o infecciones por malware. Los cursos de actualización frecuentes aseguran que los empleados se mantengan alerta frente a nuevas amenazas. Las instituciones también pueden gamificar la capacitación para aumentar el compromiso y facilitar que el personal retenga conceptos clave de seguridad (Chaudhari et al., 2011).

El liderazgo directivo juega aquí un papel crucial, al deber fomentar una cultura de seguridad dentro de las organizaciones sanitarias. Cuando la gerencia enfatiza la importancia de la ciberseguridad y participa activamente en las iniciativas de capacitación, establece un tono de responsabilidad y seriedad en toda la organización. Las instalaciones de salud deben evaluar también la efectividad de sus programas de capacitación mediante métricas como las tasas de éxito en simulaciones de phishing o el número de incidentes reportados por el personal. Actualizaciones regulares del contenido de capacitación, informadas por las últimas tendencias de ciberseguridad, aseguran que el personal esté preparado para enfrentar desafíos actuales y futuros. Al priorizar la educación y la capacitación, las organizaciones sanitarias pueden reducir significativamente las vulnerabilidades humanas y fortalecer su postura de seguridad general.

9. Planes de Respuesta a Incidentes

Los planes de respuesta a incidentes (IRPs, por sus siglas en inglés) son esenciales para que las organizaciones sanitarias minimicen el impacto de violaciones de datos, ciberataques y otros incidentes de seguridad. Un IRP efectivo proporciona un marco estructurado para identificar, contener y mitigar amenazas de seguridad, garantizando que las operaciones críticas puedan reanudarse con interrupciones mínimas. En el contexto sanitario, esto es especialmente crucial, ya que las respuestas tardías pueden afectar la atención al paciente, interrumpir los servicios médicos y exponer datos sensibles de los pacientes. Por ejemplo, un plan de respuesta a incidentes puede definir pasos inmediatos para aislar sistemas infectados durante un ataque de ransomware, evitando que el malware se propague a otras partes de la red.

Desarrollar un IRP integral implica la colaboración entre departamentos para abordar todos los riesgos potenciales. Los componentes clave de un IRP incluyen protocolos claros de comunicación, roles y responsabilidades para los equipos de respuesta a incidentes y flujos de trabajo predefinidos para diversos tipos de incidentes, como violaciones de datos o ataques de denegación de servicio. El plan también debe incorporar procedimientos de escalamiento para incidentes graves, asegurando que los responsables de la toma de decisiones estén informados de manera oportuna. Las organizaciones sanitarias deben probar regularmente sus IRPs mediante simulacros de ataques o ejercicios teóricos para identificar debilidades y mejorar su preparación. Por ejemplo, un ataque de phishing simulado puede revelar qué tan bien los empleados siguen los procedimientos de reporte y si las salvaguardias técnicas funcionan como se espera. En ese sentido el AIP (Agile Incident Report) puede ofrecer interesantes resultados (He et al., 2022).

Más allá de la contención inmediata, un IRP debe incluir estrategias para la recuperación y el análisis posterior al incidente. Los planes de recuperación describen los pasos para restaurar los sistemas afectados, como implementar copias de seguridad o reinstalar software comprometido, minimizando la pérdida de datos y el tiempo de inactividad. El análisis posterior al incidente también es importante, ya que identifica la causa raíz del incidente e informa sobre mejoras futuras en las medidas de seguridad de la organización. La transparencia con los pacientes y los organismos reguladores también es esencial después de una brecha, ya que las organizaciones a menudo están obligadas a divulgar los incidentes según leyes como el GDPR (LA LEY 6637/2016) o HIPAA. Al implementar y refinar continuamente sus IRPs, las organizaciones sanitarias pueden responder de manera rápida y efectiva a incidentes de seguridad, protegiendo tanto sus operaciones como la confianza de sus pacientes.

10. Colaboración con Equipos Interdisciplinarios

Proteger los datos y sistemas sanitarios en la era de la inteligencia artificial (IA) y la digitalización requiere colaboración entre múltiples disciplinas. La complejidad de los desafíos de ciberseguridad modernos, que van desde amenazas persistentes avanzadas (APTs) hasta vulnerabilidades en modelos de IA, exige la participación de profesionales de TI, expertos en ciberseguridad, proveedores de atención médica, asesores legales e incluso especialistas en ética de IA. Cada disciplina aporta una experiencia única que contribuye a un enfoque de seguridad integral. Por ejemplo, mientras los especialistas en TI se enfocan en las configuraciones del sistema y la seguridad de la infraestructura, los profesionales sanitarios pueden identificar flujos de trabajo que requieren protección especial, como la transferencia de datos entre departamentos durante la atención al paciente (Ramirez & Choucri, 2016).

La interdisciplinariedad es especialmente crítica en el diseño e implementación de sistemas de IA. Los ingenieros y científicos de datos deben trabajar con los proveedores de atención médica para garantizar que los algoritmos sean sólidos, precisos y alineados con las necesidades clínicas. Los expertos en ciberseguridad, por su parte, evalúan estos sistemas para detectar vulnerabilidades, como la susceptibilidad a ataques adversariales o fugas de datos. Los equipos legales y de cumplimiento aseguran que todas las tecnologías cumplan con los requisitos regulatorios, como GDPR (LA LEY 6637/2016) o HIPAA, y abordan consideraciones éticas como el consentimiento del paciente y la transparencia en el uso de datos. Reuniones y talleres interdisciplinarios regulares facilitan la comunicación y la alineación entre estos equipos, ayudando a identificar y abordar posibles brechas de seguridad antes de que sean explotadas.

Los beneficios de la colaboración interdisciplinaria van más allá del cumplimiento técnico y regulatorio. Al fomentar la comunicación abierta y la responsabilidad compartida, las organizaciones pueden construir una cultura de seguridad que impregne todos los niveles de la institución. Los esfuerzos colaborativos también mejoran las capacidades de respuesta a incidentes, ya que la diversidad de experiencias permite una comprensión más integral de las amenazas y una toma de decisiones más rápida durante las crisis. Por ejemplo, durante un ataque de ransomware, los equipos de TI pueden centrarse en aislar la amenaza mientras los asesores legales coordinan con las autoridades y los proveedores de atención médica aseguran la continuidad del cuidado del paciente. Este enfoque integrado no solo fortalece la seguridad, sino que también mejora la confianza entre pacientes, personal y partes interesadas externas. Al adoptar la colaboración interdisciplinaria, las organizaciones sanitarias pueden abordar de manera efectiva los desafíos multifacéticos de la ciberseguridad en una era digital.

La implementación de este decálogo, que los autores someten a discusión y mejora de los lectores de este trabajo, permitiría una mejora porcentual de las respuestas a los peligros de mantener información sanitaria en línea, inherentes a la propia filosofía del carácter online de la información, y podrían llevar a mejoras considerables. Con todo, surgirán nuevas amenazas y nuevas soluciones, y esto es sólo una instantánea de soluciones posibles para los desafíos del momento actual.

11. Responsabilidad civil por incumplimiento del Reglamento de Protección de datos

El TJUE ha tratado diversos casos, como el tratamiento inconsentido de datos sensibles, ciberataques y divulgaciones accidentales de datos personales. En estas sentencias, se ha enfatizado que el daño inmaterial, como la pérdida de control sobre los datos, puede dar lugar a indemnización si se demuestra su existencia, aunque sea de escasa gravedad.

La interpretación del TJUE refuerza el derecho de los afectados, pero establece estándares claros para su ejercicio, evitando abusos y garantizando un equilibrio entre las protecciones ofrecidas por el RGPD y la responsabilidad civil de los que gestionan el tratamiento de datos (Ortega Jiménez, 2023).

El artículo 82 del RGPD (LA LEY 6637/2016) reconoce el derecho de los afectados a recibir una compensación por los daños materiales e inmateriales causados por el incumplimiento de la normativa de protección de datos. Este derecho abarca acciones individuales y colectivas, pero su alcance y aplicación han generado dudas que han sido resueltas, en parte, mediante pronunciamientos del TJUE.

• • No existe un derecho automático a la indemnización: El TJUE establece que no basta con probar la infracción del RGPD. Es necesario demostrar también daños sufridos y la relación de causalidad entre la infracción y estos daños.
• • Regulación de los daños indemnizables: Mientras que los conceptos de «daños materiales e inmateriales» se interpretan uniformemente bajo el derecho de la Unión, la cuantificación de la indemnización queda bajo las leyes nacionales de cada Estado miembro.
• • Función compensatoria de la indemnización: Las indemnizaciones deben compensar íntegramente los daños sufridos, pero no tienen carácter punitivo, separándose así de las multas administrativas.
• • Causas de exoneración: Corresponde al responsable del tratamiento de datos demostrar la ausencia de culpa para evitar la indemnización, dado que se presume la responsabilidad en caso de incumplimiento (Garrigues, 2024).

III. Conclusiones

La IA tiene un gran potencial en el sector salud, pero debe utilizarse de manera que respete la privacidad y la seguridad de los pacientes. Los ataques cibernéticos, como el ransomware y el phishing, representan riesgos graves. A través de estrategias como la encriptación y la autenticación multifactor, así como los diez puntos planteados en la discusión, se puede y debe proteger la información. La educación del personal y la colaboración entre especialistas serán claves para integrar de forma segura la IA en la atención médica futura y en mantener los datos sanitarios siempre en las mejores manos; no olvidemos que el desarrollo informático siempre busca una mejora. En caso de incumplimiento del RGPD, podría derivarse una responsabilidad civil y una obligación de indemnizar los daños y perjuicios causados si se prueba la relación de causalidad entre la infracción y estos daños.

IV. Bibliografía

Alluhaidan, Ala Saleh (2022). Secure medical data model using integrated transformed paillier and klein algorithm encryption technique with elephant herd optimization for healthcare applications. Journal of Healthcare Engineering, 2022(1), 3991295.

Angelov, Plamen et al. (2021). Explainable artificial intelligence: an analytical review. Wiley Interdisciplinary Reviews: Data Mining and Knowledge Discovery, 11(5), e1424.

Borrás Abelló, Enric (2024). Informes, incidents mèdics i números de compte: la nova filtració dels ciberdelinqüents del Clínic. Diari Ara. https://www.ara.cat/societat/salut/ciberdelinquents-clinic-anuncien-filtracio-totes-dades-robades-l-hospital_1_4747040.html

Chaudhari, Swati, Tomar, Shailendra Singh & Rawat, Anil. (2011, April). Design, implementation and analysis of multi layer, multi factor authentication (mfa) setup for webmail access in multi trust networks. En 2011 International Conference on Emerging Trends in Networks and Computer Communications (ETNCC) (pp. 27-32). IEEE.

Chinamanagonda, Sandeep. (2022). Zero Trust Security Models in Cloud Infrastructure-Adoption of zero-trust principles for enhanced security. Academia Nexus Journal, 1(2).

Easttom, C. (2025, January). Malicious Use of Artificial Intelligence. In 2025 IEEE 15th Annual Computing and Communication Workshop and Conference (CCWC) (pp. 00499-00507). IEEE.

Gaceta Médica. (2024). El Ramón y Cajal desarrollará una herramienta de IA para identificar el riesgo de cáncer hereditario. Gaceta Médica. 08 julio 2024.

Garrigues. (2024). ¿Cuándo existe el derecho —y cuándo no— a una indemnización de daños y perjuicios por infracción de la normativa de datos personales según el TJUE? https://www.garrigues.com/es_ES/noticia/cuando-existe-derecho-cuando-no-indemnizacion-danos-perjuicios-infraccion-normativa-datos

He, Ying, et al. (2022). Agile incident response (AIR): Improving the incident response process in healthcare. International Journal of Information Management, 62, 102435.

Heurix, Johannes, et al. (2011). A hybrid approach integrating encryption and pseudonymization for protecting electronic health records. En Proceedings of the Eighth IASTED International Conference on Biomedical Engineering (pp. 117-124).

Kaviani, Sara, Han, Ki Jin, & Sohn, Insoo. (2022). Adversarial attacks and defenses on AI in medical imaging informatics: A survey. Expert Systems with Applications, 198, 116815.

Kesa, Aleksander, Kerikmae, Tanel, & Troitiño, David Ramiro. (2020). Inteligencia artificial y protección de datos en Europa¿ Conflicto por defecto? En Inteligencia artificial: de la discrepancia regional a las reglas universales: integración de percepciones políticas, económicas y legales (pp. 407-430). Thomson Reuters Aranzadi.

Khalid, Nazish, & Oluwadamilola, Akinlua. (2024). Enhancing Data Security in Healthcare Using Multi-Factor Authentication (MFA) Implementation. ResearchGate.

Linde, Pablo (2024). La IA ya salva vidas en un hospital de Mallorca con un algoritmo que pronto se extenderá a otros. El País. 01 sept 2024.

MTDFP. (2024). Mi carpeta ciudadana. https://carpetaciudadana.gob.es/

Naseer, Iqra. (2023). How Cyber Security Can Be Ensured While Reducing Data Breaches: Pros and Cons of Mitigating a Data Breach? Cyber Law Reporter, 2(3), 16-22.

Pedrero, Roberto Bethencourt. (2013). Historia clínica digital del sistema nacional de salud de Canarias. I+ S: Revista de la Sociedad Española de Informática y Salud (100), 17-21.

Redacción Médica. (2024). Los datos de 50.000 sanitarios españoles, en riesgo por un ciberataque. https://www.redaccionmedica.com/autonomias/andalucia/los-datos-de-50-000-sanitarios-espanoles-en-riesgo-por-un-ciberataque-3741

S2 Grupo. (2024). Ciberseguridad en el sector salud: radiografía y cómo protegerse. https://s2grupo.es/ciberseguridad-en-el-sector-salud-radiografia-y-como-protegerse/

Ortega Jiménez, Alfonso. (2023). Derecho a indemnización por los daños y perjuicios causados por un tratamiento de datos en infracción del RGPD, tras la STJ de 4 de mayo de 2023. Revista Española de Derecho Europeo (REDE).

Osuna, Amanda. (2024). Los hospitales españoles tienen una cuenta pendiente con la ciberseguridad: «Los datos médicos confidenciales pueden estar en peligro». Infobae. https://www.infobae.com/espana/2024/03/24/los-hospitales-espanoles-tienen-una-cuenta-pendiente-con-la-ciberseguridad-los-datos-medicos-confidenciales-pueden-estar-en-peligro/

Ramirez, Robert, & Choucri, Nazli. (2016). Improving interdisciplinary communication with standardized cyber security terminology: a literature review. IEEE Access, 4, 2216-2243.

Scheibner, James, Ienca, Marcello, & Vayena, Effi. (2022). Health data privacy through homomorphic encryption and distributed ledger computing: an ethical-legal qualitative expert assessment study. BMC Medical Ethics, 23(1), 121.

Shojaei, Parisasadat, Vlahu-Gjorgievska, Elena, & Chow, Yang Wai. (2024). Security and privacy of technologies in health information systems: A systematic literature review. Computers, 13(2), 41.

STS 398/2024 de 19 de marzo de 2024 (LA LEY 40888/2024).

STJUE de 4 de mayo de 2023 (UI contra Österreichische Post AG).

STJUE de 20 de junio de 2024 (petición de decisión prejudicial planteada, con arreglo al artículo 267 TFUE (LA LEY 6/1957), por el Amtsgericht Wesel. Tribunal de lo Civil y Penal de Wesel, Alemania.

Suleski, Tance, et al. (2023). A review of multi-factor authentication in the Internet of Healthcare Things. Digital health, 9, 20552076231177144.

Syed, Naeem Firdous, et al. (2022). Zero trust architecture (zta): A comprehensive survey. IEEE access, 10, 57143-57179.

Kempen, A. (2024). WormGPT/FraudGPT The ugly, dangerous» cousin» of ChatGPT. Servamus Community-based Safety and Security Magazine, 117(11), 19-21.

Zafra, Robert Panadés, et al. (2024). Análisis de retos y dilemas que deberá afrontar la bioética del siglo XXI, en la era de la salud digital. Atencion Primaria, 56(7), 102901.

Unión Europea. RGPD. (2016). Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril de 2016 (LA LEY 6637/2016), relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.