Download DIARIO MÉDICO

DIARIO MÉDICO
IGOR PINEDO, RESPONSABLE DEL DEPARTAMENTO DATA DE ASJUSA
LETRAMED
Tribuna: Un informe sobre protección de datos para reflexionar
El autor analiza los resultados del informe que la semana pasada hizo público la Agencia
Española de Protección de Datos sobre el cumplimiento de la ley en 605 centros hospitalarios y
la necesidad de que se cumplan las auditorías para valorar si se cumplen las medidas legales
de seguridad.
Igor Pinedo
Jueves, 21 de Octubre de 2010
La semana pasada la Agencia Española de Protección de Datos publicó un informe de
resultados sobre una serie de inspecciones realizadas a distintos centros hospitalarios de la
sanidad española, públicos y privados (605 centros, 313 privados y 292 públicos), y como era
de esperar, al menos en lo que a la sanidad publica se refiere, el resultado del informe de la
agencia fue contundente. La mitad de los hospitales públicos incumplen la Ley Orgánica de
Protección de Datos (ver DM del 14-X-2010).
Como infracciones se destacaban dos fundamentalmente: la falta de medidas de seguridad en
la custodia de las historias clínicas y la de auditorias para controlar su funcionamiento. Sin
embargo, lejos de entender ambas infracciones como separadas e independientes, lo cierto es
que son consecuencia la una de la otra, toda vez que si se cumpliera la obligación de realizar
las auditorias bienales que marca la normativa en materia de protección de datos, los defectos
en la custodia de los historiales clínicos se pondrían de manifiesto.
Basándonos en la experiencia profesional dentro del asesoramiento jurídico en el mundo
sanitario, podemos afirmar que el resultado de este estudio era esperable. En la actualidad
subsiste un desconocimiento de las obligaciones reales que la normativa en materia de
protección de datos impone a los centros sanitarios para la recolección y tratamiento de los
datos de salud integrantes de las historias clínicas de pacientes.
1
Existe un desconocimiento sobre la justificación. contenido y alcance
de los informes de auditoría; en qué consisten y qué consecuencias
tienen las conclusiones alcanzadas
Estas obligaciones reales, al menos en lo que a la seguridad se refiere, vienen descritas en el
Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de
desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter
Personal. Este cuerpo legal dispone de forma palmaria que aquellos centros que lleven a cabo
tratamientos de información concerniente a la salud de las personas deben de someterse, al
menos cada dos años, a una auditoría externa o interna de los sistemas de seguridad que
tienen implantados para la gestión y custodia de los distintos historiales clínicos de los
pacientes que acudan a ellos.
Dictámenes evaluadores
Normativamente, dichas auditorías se concretan en dictámenes que evalúan la adecuación de
las medidas de seguridad de los centros sanitarios a la normativa, identificando deficiencias y
proponiendo las medidas correctoras o complementarias necesarias para el aseguramiento de
la información personal registrada en sus archivos. Esta custodia segura implica que, para el
caso de pérdida, alteración o destrucción, la información pueda ser recuperada, revelando la
causa, motivo o autoría.
El asesoramiento legal a instituciones de este tipo nos ha revelado un desconocimiento sobre
la justificación, contenido y alcance de los informes de auditoría; en qué consisten, qué
consecuencias tienen las conclusiones alcanzadas y quién es su destinatario. Los informes de
auditoría se constituyen como documentos de carácter interno que han de custodiarse dentro
del propio centro hospitalario a disposición de las autoridades inspectoras en materia de
protección de datos; concretamente, dichos informes habrán de ser analizados por el
responsable de seguridad del centro hospitalario, quien elevará las conclusiones a la gerencia
o dirección médica del centro para que adopte las medidas correctoras propuestas, para con
posterioridad quedar archivados en el propio centro a disposición de la Agencia Española de
Protección de Datos o, en su caso, de las autoridades de control de las comunidades
autónomas para los casos de inspección.
La necesidad de pasar auditorías debe obedecer, al margen de una
obligación legal, a una finalidad de reducción de un eventual riesgo
sanitario como el que puede implicar la pérdida de una historia clínica
2
Optimización de recursos
La comunicación o envío de los informes de auditoría a las autoridades competentes en
materia de protección de datos constituye, aparte de una obligación legal, un instrumentos de
control y optimización de recursos por parte de los centros, así como garantes, incluso, de la
seguridad de los propios pacientes. La no implantación de un sistema de seguridad acorde con
los postulados marcados por la normativa en materia de protección de datos puede conllevar
riesgos incluso para la seguridad de los pacientes, toda vez que hemos de ser conscientes de
lo que puede implicar la imposibilidad de recuperar, en caso de pérdida, una historia clínica:
desconocimiento de antecedentes, repetición de pruebas invasivas, retrasos diagnósticos
etcétera.
La detección de distintas irregularidades en los sistemas de seguridad de los centros sanitarios,
y como tal recogidos en un informe de auditoría, implica exclusivamente un deber de su
corrección al objeto de impedir que se produzcan accesos, alteraciones y tratamientos no
autorizados al contenido de las historias clínicas, máxime cuando en la actualidad dentro de los
centros sanitarios las historias clínicas, al margen de un instrumento esencial para el
desempeño de la labor asistencial, se han convertido en auténticos medios para la
investigación epidemiológica, sirviendo como base para desarrollar estudios científicos de
carácter retrospectivo y prospectivo.
Reducción de riesgos
El informe publicado por la Agencia Española de Protección de Datos debe llevar a la reflexión
respecto de la necesidad imperiosa de pasar auditorías en materia de protección de datos por
parte de los centros públicos sanitarios.
Dicha necesidad responde, al margen de a una obligación legal, a una finalidad de reducción
de un eventual riesgo sanitario que puede implicar la pérdida de una historia clínica o de un
borrado de su contenido para el paciente titular de la información, máxime cuando la evidencia
de defectos en el sistema de registro y custodia de los historiales clínicos propicia igualmente
una mejora en la calidad asistencial, así como una interacción segura de los distintos
profesionales médicos intervinientes en un mismo proceso asistencial.
3