Emisión de licencias médicas: Suseso instruye a Imed y Medipass implementar medidas de seguridad al enrolar a médicos
Esos son los dos operadores de Licencia Médica Electrónica (LME) que hay en el país, que son entidades privadas que prestan el servicio de emisión, tramitación y pronunciamiento de LME por medio de sus sistemas de información. Hasta ahora no existía una exigencia regulatoria sobre las medidas de seguridad que debían implementar, pero eso ahora cambió, ya que la Suseso emitió una circular que lo regula.
Desde hace algunos años en el país las autoridades han estado poniendo foco en combatir desde distintos frentes la emisión de licencias médicas fraudulentas. Es que para el Estado los desembolsos que debe hacer por el Subsidio por Incapacidad Laboral (SIL) significan grandes sumas de dinero, en medio de un sistema de salud al cual le faltan recursos.
Sin ir más lejos, en 2022 el sistema en su conjunto pagó un total de $3.074.721 millones (US$3.617 millones) por concepto de SIL. De este total, el 66,2% corresponde a gasto hecho por Fonasa y el 33,8% restante de isapres.
La Superintendencia de Seguridad Social (Suseso) es una de las entidades que ha estado tomando cartas en el asunto. Y ahora tomó una adicional: dictó una circular que instruye medidas de seguridad que deben implementar los operadores de Licencia Médica Electrónica (LME), por ejemplo, en cuanto al enrolamiento de los profesionales de la salud habilitados para emitir una LME, estableciendo los actores que participan y la exigencia de protocolos, requisitos y controles que deben cumplir los operadores para estos efectos.
Contexto: actualmente existen dos operadores de LME en el país, que son entidades privadas que prestan el servicio de emisión, tramitación y pronunciamiento de LME por medio de sus sistemas de información. Estos son Imed (que concentró el 60% de las emisiones de 2023) y Medipass (40% de las emisiones en 2023).
Es mediante esos dos operadores que los médicos emiten licencias, pero antes de poder hacerlo, deben enrolarse en uno de ellos (o ambos), esto es el procedimiento de registro y habilitación de un profesional en el sistema de LME.
Pero hasta ahora las medidas de seguridad que implementaban Imed y Medipass eran voluntarias, no existía una exigencia regulatoria, y por eso mismo también diferían entre ambas. Ahora, en cambio, la Suseso dictó una circular que regula eso, la cual entrará en vigencia en enero de 2025.
La superintendenta de Seguridad Social, Pamela Gana, comenta que “el objetivo de esta nueva regulación es cautelar el adecuado uso de la LME, considerando la relevancia de este instrumento de la seguridad social, que permite la recuperación de la persona trabajadora y, al mismo tiempo, recibir un subsidio por el periodo que necesite para su completa recuperación y reintegro al trabajo”
Agrega que “como Superintendencia creemos que las nuevas instrucciones que deberán implementar desde el 1 de enero de 2025 los actuales operadores Imed y Medipass, son básicas y necesarias para fortalecer el sistema de LME, cautelando la seguridad y continuidad del proceso de emisión y tramitación de licencias médicas, a través de actividades permanentes de prevención, monitoreo y actuación proactiva que deben ser desarrolladas por éstos”.
Los detalles
Entre otras cosas, la circular establece como exigencia que los operadores mantengan un modelo de gestión de riesgos de fraude, que permita identificar, evaluar, monitorear y detectar en el menor tiempo posible aquellas operaciones con patrones de fraude, con el objetivo de que puedan marcar o abortar actividades u operaciones potencialmente fraudulentas.
En paralelo, también se establece como obligación para los operadores de LME la exigencia de efectuar consulta en el registro nacional de prestadores individuales una vez al día cuando el profesional enrolado acceda al sistema a fin de verificar que éste mantiene registro vigente. Esto, como una medida de seguridad.
Asimismo, ahora se crea una modalidad de seguridad que permite a los operadores de LME activar una inhabilitación preventiva del registro del profesional emisor cuando se observa cualquier anomalía respecto de la autenticidad de la información registrada por el profesional o bien cuando éste presente un comportamiento inhabitual en la emisión de licencias, ya sea por su cantidad, frecuencia de emisión o anulación, o lugar desde el que se otorga.
En ese sentido, los operadores de LME estarán obligados a realizar un bloqueo preventivo del registro del profesional enrolado al aplicarse las sanciones establecidas en la Ley N° 20.585, que tiene que ver con emisión de licencias fraudulentas.
Por otro lado, la circular entrega la responsabilidades en la gestión de seguridad de la información a los operadores de LME, para lo cual deberán implementar medidas técnicas y de organización para gestionar los riesgos de seguridad de la información y ciberseguridad de las redes, equipos y sistemas que utilizan para la administración del sistema de LME, especialmente en lo referente al enrolamiento de profesionales y en la emisión de LME.
El CEO de Imed, Federico Helman, valora la circular de la Suseso, y señala que algunas de esas medidas ya las tenían implementadas, mientras que hay otras que no. Entre las que sí tienen, menciona que “realizamos recurrentemente un monitoreo de comportamiento y contamos con protocolos establecidos para enrolar y re enrolar médicos bajo ciertas características. Además, contamos con modelos de prevención del delito, modelos de políticas de riesgo, y políticas de ciberseguridad, por nombrar algunas de las exigencias que están en esta circular”.
Por otro lado, entre los asuntos que ahora tendrán que implementar, apunta a “temas como la captura del IP (dirección de internet desde donde se está emitiendo la licencia) es algo que no estaba regulado, y ahora que la normativa lo establece lo debemos incorporar en nuestros desarrollos. Otro ejemplo de algo nuevo es que solo los prestadores institucionales podrán enrolar médicos para emitir licencias, lo que genera un cambio relevante frente a la operatoria actual”.
Helman comenta que “hay distintos desarrollos técnicos que se deben implementar y en eso estamos trabajando, pero también algunas medidas que son más bien administrativas. Por ejemplo, la circular establece que cada prestador institucional debe tener un administrador que será responsable por el enrolamiento en dicho prestador, y para ello deberá suscribir un acuerdo de confidencialidad y de fiel cumplimiento de sus funciones. Esto implica una gran tarea de coordinación de nosotros como operador con muchos prestadores del sistema para designar estos administradores y firmar acuerdos, siendo necesaria bastante coordinación y tareas que no dependen puramente de nosotros. En ese caso la complejidad no es técnica, pero hay que movilizar a todos los emisores de Chile”.
Comenta
Los comentarios en esta sección son exclusivos para suscriptores. Suscríbete aquí.