Home » Política


SON DATOS ESPECIALMENTE SENSIBLES
Las diez normas que debe seguir todo sanitario para asegurar la privacidad de los pacientes

Entre los aspectos que se pueden y deben mejorar hay que destacar los relacionados con la información ofrecida a los pacientes. (iStock)

Un informe de la Agencia Española de Protección de Datos detecta diversos fallos de seguridad en el tratamiento de la información de los pacientes en los hospitales
27/09/2017 11:02 h. imprimir


Miguel Ayuso Twitter email


Protección de datos Privacidad Hospitales Informática Innovación

El respeto a la intimidad de los pacientes siempre ha sido una de las máximas deontológicas de la profesión médica. Uno de los nueve artículos del juramento hipocrático es taxativo al respecto –“Lo que acaso en el ejercicio de la profesión, y aún fuera de ésta, viere u oyera acerca de la vida de las personas, y que no deba alguna vez ser revelado, callaré, considerándolo secreto”– y el Reglamento General de Protección de Datos considera la información sanitaria como una categoría especial, con garantías reforzadas.

Pero, si bien todo sanitario es consciente de la importancia de la privacidad, las nuevas tecnologías abren un campo abonado a los fallos de seguridad, que pueden ser utilizados en detrimento del paciente, de forma consciente o inconsciente.  

Como señala la Agencia Española de Protección de Datos (Aepd) en su informe sectorial sobre los hospitales públicos –que acaba de publicarse–, “los tratamientos de datos de salud se enfrentan hoy a una revolución digital en la que la cantidad de datos que se acumulan sobre las personas crece enormemente y con una conectividad sin precedentes”.

“Todo ello”, prosigue el informe, “plantea nuevos retos para la protección de datos de carácter personal, más aún cuando el acceso a la Historia Clínica y su compartición entre diferentes instituciones sanitarias se considera imprescindible para prestar una mejor asistencia médica”.

SE HA MEJORADO, PERO SIGUE HABIENDO FALLOS
La evaluación de la Aepd se ha realizado en hospitales públicos gestionados de forma directa e indirecta, si bien las conclusiones y las más de 35 recomendaciones extraídas son aplicables a todo tipo de centros sanitarios.

El informe está centrado en la auditoría de los aspectos en los que se detectaron carencias en los planes de inspección realizados en 1995 y 2010 y, en concreto, en las medidas de seguridad implementadas. Para ello, se han auditado hospitales que, partiendo de una situación de historia clínica en papel, la han transferido a formato electrónico; hospitales que conservan todavía la historia clínica en papel y que están inmersos en procesos de automatización, y hospitales que cuentan con historia clínica electrónica desde su creación. 

El informe pone de manifiesto que los errores detectados en el tratamiento de los datos no constituyen comportamientos generales
Entre las principales conclusiones del análisis se ha constatado, en líneas generales, una tendencia favorable a la progresiva asunción no sólo de la normativa sino de los principios y la cultura de protección  de datos. El informe pone de manifiesto que los errores detectados en el tratamiento de los datos no constituyen comportamientos generales, lo que supone una mejoría en comparación con las situaciones anteriores.

Entre los aspectos que se pueden y deben mejorar hay que destacar los relacionados con la información ofrecida a los pacientes o el refuerzo de las medidas de seguridad. Como ejemplo, respecto al consentimiento, la Agencia recoge en el informe que es necesario recabarlo para saber si el paciente desea que su presencia y ubicación en el hospital sea comunicada a las personas o familiares que pregunten por ello y, si este no se opone, el hospital puede informar de si se encuentra en urgencias o ingresado y el número de habitación, sin indicar datos de salud o la atención médica prestada.

El documento también alerta de determinadas prácticas que pueden provocar graves fallos de seguridad, como es que “en la mayoría de los centros inspeccionados” no se verifica la identidad del paciente solicitando el DNI y la tarjeta sanitaria. Esto, asegura el informe, “da lugar a que se produzcan casos de suplantación de identidad que, si bien son muy escasos, pueden suponer un alto riesgo para la salud de los pacientes, ya que la información contenida en la HC a la que se accede con la tarjeta sanitaria presentada no corresponde a la patología del paciente”.

Mención aparte merece un error común a todo tipo de instituciones, como es la gestión de las contraseñas, que no se cambian en años, se apuntan en un papel junto al ordenador, o se comparten entre todo tipo de perfiles.

DECÁLOGO DE LA PRIVACIDAD EN CENTROS SANITARIOS
La publicación de este Plan de inspección está acompañada de un decálogo básico que recoge los puntos más relevantes de la normativa de protección de datos orientados al personal sanitario y administrativo de los centros, con el objetivo final de elevar el nivel de cumplimiento y generar confianza en las actuaciones de las instituciones sanitarias tanto en el ámbito asistencial como en el de la investigación.

1. Trata los datos de los pacientes como querrías que tratasen los tuyos.

2. ¿Estás seguro de que tienes que acceder a esa historia clínica? Piénsalo. Solo debes acceder si es necesario para los fines de tu trabajo.

3. Recuerda: tus accesos a la documentación clínica quedan registrados en el sistema. Se sabe en qué momento y a qué información has accedido. Los accesos son auditados posteriormente.

4. Evita informar a terceros sobre la salud de tus pacientes, salvo que estos lo hayan consentido o tengas una justificación lícita.

5. Cuando salgas del despacho, asegúrate de cerrar la sesión abierta en tu ordenador. No facilites a nadie tu clave y contraseña; si necesitas un acceso urgente, contacta con el departamento de informática.

6. No envíes información con datos de salud por correo electrónico o por cualquier red pública o inalámbrica de comunicación electrónica; si fuera imprescindible, no olvides cifrar los datos.

7. No tires documentos con datos personales a la papelera; destrúyelos tú mismo o sigue el procedimiento implantado en tu centro.

8. Cuando termines de pasar consulta, cierra con llave los armarios o archivadores que contengan documentación clínica.

9. No dejes las historias clínicas a la vista sin supervisión.

10. No crees tu propia cuenta de ficheros con datos personales de pacientes; consulta siempre antes con el departamento de informática.