Download DIARIO MÉDICO
Document related concepts
no text concepts found
Transcript
DIARIO MÉDICO IGOR PINEDO, RESPONSABLE DEL DEPARTAMENTO DATA DE ASJUSA LETRAMED Tribuna: Un informe sobre protección de datos para reflexionar El autor analiza los resultados del informe que la semana pasada hizo público la Agencia Española de Protección de Datos sobre el cumplimiento de la ley en 605 centros hospitalarios y la necesidad de que se cumplan las auditorías para valorar si se cumplen las medidas legales de seguridad. Igor Pinedo Jueves, 21 de Octubre de 2010 La semana pasada la Agencia Española de Protección de Datos publicó un informe de resultados sobre una serie de inspecciones realizadas a distintos centros hospitalarios de la sanidad española, públicos y privados (605 centros, 313 privados y 292 públicos), y como era de esperar, al menos en lo que a la sanidad publica se refiere, el resultado del informe de la agencia fue contundente. La mitad de los hospitales públicos incumplen la Ley Orgánica de Protección de Datos (ver DM del 14-X-2010). Como infracciones se destacaban dos fundamentalmente: la falta de medidas de seguridad en la custodia de las historias clínicas y la de auditorias para controlar su funcionamiento. Sin embargo, lejos de entender ambas infracciones como separadas e independientes, lo cierto es que son consecuencia la una de la otra, toda vez que si se cumpliera la obligación de realizar las auditorias bienales que marca la normativa en materia de protección de datos, los defectos en la custodia de los historiales clínicos se pondrían de manifiesto. Basándonos en la experiencia profesional dentro del asesoramiento jurídico en el mundo sanitario, podemos afirmar que el resultado de este estudio era esperable. En la actualidad subsiste un desconocimiento de las obligaciones reales que la normativa en materia de protección de datos impone a los centros sanitarios para la recolección y tratamiento de los datos de salud integrantes de las historias clínicas de pacientes. 1 Existe un desconocimiento sobre la justificación. contenido y alcance de los informes de auditoría; en qué consisten y qué consecuencias tienen las conclusiones alcanzadas Estas obligaciones reales, al menos en lo que a la seguridad se refiere, vienen descritas en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal. Este cuerpo legal dispone de forma palmaria que aquellos centros que lleven a cabo tratamientos de información concerniente a la salud de las personas deben de someterse, al menos cada dos años, a una auditoría externa o interna de los sistemas de seguridad que tienen implantados para la gestión y custodia de los distintos historiales clínicos de los pacientes que acudan a ellos. Dictámenes evaluadores Normativamente, dichas auditorías se concretan en dictámenes que evalúan la adecuación de las medidas de seguridad de los centros sanitarios a la normativa, identificando deficiencias y proponiendo las medidas correctoras o complementarias necesarias para el aseguramiento de la información personal registrada en sus archivos. Esta custodia segura implica que, para el caso de pérdida, alteración o destrucción, la información pueda ser recuperada, revelando la causa, motivo o autoría. El asesoramiento legal a instituciones de este tipo nos ha revelado un desconocimiento sobre la justificación, contenido y alcance de los informes de auditoría; en qué consisten, qué consecuencias tienen las conclusiones alcanzadas y quién es su destinatario. Los informes de auditoría se constituyen como documentos de carácter interno que han de custodiarse dentro del propio centro hospitalario a disposición de las autoridades inspectoras en materia de protección de datos; concretamente, dichos informes habrán de ser analizados por el responsable de seguridad del centro hospitalario, quien elevará las conclusiones a la gerencia o dirección médica del centro para que adopte las medidas correctoras propuestas, para con posterioridad quedar archivados en el propio centro a disposición de la Agencia Española de Protección de Datos o, en su caso, de las autoridades de control de las comunidades autónomas para los casos de inspección. La necesidad de pasar auditorías debe obedecer, al margen de una obligación legal, a una finalidad de reducción de un eventual riesgo sanitario como el que puede implicar la pérdida de una historia clínica 2 Optimización de recursos La comunicación o envío de los informes de auditoría a las autoridades competentes en materia de protección de datos constituye, aparte de una obligación legal, un instrumentos de control y optimización de recursos por parte de los centros, así como garantes, incluso, de la seguridad de los propios pacientes. La no implantación de un sistema de seguridad acorde con los postulados marcados por la normativa en materia de protección de datos puede conllevar riesgos incluso para la seguridad de los pacientes, toda vez que hemos de ser conscientes de lo que puede implicar la imposibilidad de recuperar, en caso de pérdida, una historia clínica: desconocimiento de antecedentes, repetición de pruebas invasivas, retrasos diagnósticos etcétera. La detección de distintas irregularidades en los sistemas de seguridad de los centros sanitarios, y como tal recogidos en un informe de auditoría, implica exclusivamente un deber de su corrección al objeto de impedir que se produzcan accesos, alteraciones y tratamientos no autorizados al contenido de las historias clínicas, máxime cuando en la actualidad dentro de los centros sanitarios las historias clínicas, al margen de un instrumento esencial para el desempeño de la labor asistencial, se han convertido en auténticos medios para la investigación epidemiológica, sirviendo como base para desarrollar estudios científicos de carácter retrospectivo y prospectivo. Reducción de riesgos El informe publicado por la Agencia Española de Protección de Datos debe llevar a la reflexión respecto de la necesidad imperiosa de pasar auditorías en materia de protección de datos por parte de los centros públicos sanitarios. Dicha necesidad responde, al margen de a una obligación legal, a una finalidad de reducción de un eventual riesgo sanitario que puede implicar la pérdida de una historia clínica o de un borrado de su contenido para el paciente titular de la información, máxime cuando la evidencia de defectos en el sistema de registro y custodia de los historiales clínicos propicia igualmente una mejora en la calidad asistencial, así como una interacción segura de los distintos profesionales médicos intervinientes en un mismo proceso asistencial. 3