1. PROTECCIÓN DE DATOS E INFORMACIÓN SANITARIA
El Reglamento General de Protección de Datos define «datos personales» como “toda información sobre una persona física identificada o identificable («el interesado»); se considerará persona física identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un identificador, como por ejemplo un nombre, un número de identificación, datos de localización, un identificador en línea o uno o varios elementos propios de la identidad física, fisiológica, genética, psíquica, económica, cultural o social de dicha persona.”
Los «datos relativos a la salud» se definen como “los datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud”. También son datos de salud los datos genéticos que son aquellos datos personales relativos a las características genéticas heredadas o adquiridas de una persona física que proporcionen una información única sobre la fisiología o la salud de esa persona, obtenidos en particular del análisis de muestras biológicas.
En España, la protección de datos personales está regulada por la Ley Orgánica 3/2018, de 5 de diciembre, de Protección de Datos Personales y garantía de los derechos digitales. Esta ley incorpora al ordenamiento jurídico español el Reglamento (UE) 2016/679 del Parlamento Europeo y el Consejo, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y a la libre circulación de estos datos, pero además desarrolla el derecho recogido en el artículo 18.4 de la Constitución Española: el derecho fundamental de las personas físicas a la protección de datos personales.
Se trata de una ley amplia y compleja, por lo que vamos a comentar algunos conceptos generales para posteriormente desarrollar los principios esenciales de la protección de datos que se aplican a la información sanitaria.
2. DERECHOS DEL CIUDADANO EN MATERIA DE PROTECCIÓN DE DATOS
Además de conocer las obligaciones de las organizaciones sanitarias, es esencial conocer los derechos del ciudadano en materia de protección de datos en relación a la salud. Estos derechos se enumeran en el Reglamento (UE) 2016/679 y se desarrollan en el Título III de la Ley.
Los derechos clásicos en España eran conocidos como ARCO (derechos de Acceso, Rectificación, Cancelación y Oposición). Sin embargo, el cambio en la normativa los modificó y amplió siendo actualmente los siguientes: Acceso, Rectificación, Supresión, Limitación del tratamiento, Portabilidad y Oposición. Vamos a analizarlos uno a uno.
2.1. Derecho de acceso
Regulación: Artículo 15 Reglamento (UE) 2016/679 y artículo 13 Ley Orgánica 3/2018.
Este derecho permite al usuario obtener acceso a sus datos personales recogidos en la historia clínica, así como a obtener una copia gratuita de los datos o documentos que allí figuran (documentación en soporte papel, electrónico, audiovisual, etc.). El derecho específico de acceso a la historia clínica se recoge en el artículo 18 de la Ley 41/2002.
2.2. Derecho de rectificación
Regulación: Artículo 16 Reglamento (UE) 2016/679 y artículo 14 Ley Orgánica 3/2018.
Este derecho permite al usuario solicitar que se modifiquen los datos que resulten ser inexactos o incompletos. No olvidemos que la normativa indica que la historia clínica debe permitir el “conocimiento veraz y actualizado del estado de salud del paciente” por lo que el derecho de rectificación es totalmente necesario.
2.3. Derecho de supresión
Regulación: Artículo 17 Reglamento (UE) 2016/679 y artículo 15 Ley Orgánica 3/2018.
El usuario tendrá derecho a solicitar al responsable del tratamiento la supresión de sus datos personales cuando los datos no sean necesarios para la finalidad, cuando se retire el consentimiento, cuando el interesado se oponga al tratamiento o cuando exista un tratamiento ilícito de la información.
2.4. Limitación del tratamiento
Regulación: Artículo 18 Reglamento (UE) 2016/679 y artículo 16 Ley Orgánica 3/2018.
Cuando exista un conflicto entre el paciente y un centro sanitario.
2.5. Derecho a la portabilidad
Regulación: Artículo 20 Reglamento (UE) 2016/679 y artículo 17 Ley Orgánica 3/2018.
Este derecho permite que el usuario reciba sus datos y los transfiera a otro responsable de tratamiento, es decir, derecho a recibir los datos personales que le incumban, que haya facilitado a un responsable del tratamiento, en un formato estructurado, de uso común y lectura mecánica, y a transmitirlos a otro responsable del tratamiento sin que lo impida el responsable al que se los hubiera facilitado.
2.6. Derecho de oposición
Regulación: Artículos 21 y 22 Reglamento (UE) 2016/679 y artículo 18 Ley Orgánica 3/2018.
Se refiere al derecho del usuario a que no se lleve a cabo el tratamiento de sus datos de carácter personal o se cese en el mismo en los supuestos en que no sea necesario su consentimiento para el tratamiento, se trate de ficheros de prospección comerciales o tengan la finalidad de adoptar decisiones referidas al interesado y basadas únicamente en el tratamiento automatizado de sus datos.
3. SEGURIDAD DE LA INFORMACIÓN EN ORGANIZACIONES SANITARIAS
La seguridad de la información suele definirse como la suma de tres conceptos básicos:
- Disponibilidad: la información debe estar disponible en el momento y lugar en que sea necesaria, independientemente del momento y lugar en el que se haya generado.
- Integridad: la información registrada debe ser veraz y completa, y para ello debe estar protegida contra accidentes y ataques. Si los datos no son fiables o están incompletos, no son útiles.
- Confidencialidad: el acceso a la información debe ser restringido en función de la persona que intenta acceder y de la pertinencia de dicho acceso.
El gran dilema es que disponibilidad y confidencialidad son requisitos casi contradictorios. Facilidad de acceso y restricción, todo en uno.
¿Por qué es tan importante la seguridad de la información? Además del componente tecnológico para evitar robo de datos, virus, etc., es esencial que la organización garantice que solo puedan acceder a los datos clínicos las personas que tengan bajo su responsabilidad la atención sanitaria al paciente en cuestión. El acceso por curiosidad o para facilitar información de un paciente a un conocido es totalmente ilegal. Sin embargo, en el caso de accesos ilegales a datos clínicos por parte de profesionales sanitarios, la Agencia Española de Protección de Datos suele sancionar directamente a los Servicios de Salud ya que se entiende que, como responsable del tratamiento, no se han establecido las medidas de seguridad adecuadas para evitar dicho acceso.
Si además se considera que se ha cometido un delito de descubrimiento y revelación de secretos, los órganos jurisdiccionales correspondientes (juzgado o tribunal) pueden imponer penas de privación de libertad ya que el profesional ha descubierto datos personales especialmente protegidos (salud) y, por tanto, se ha vulnerado su derecho constitucional a la intimidad personal.
La evaluación de impacto para la protección de datos (EIPD) es una obligación del responsable cuando, en el marco de la gestión del riesgo, se determine que el tratamiento suponga un alto riesgo para los derechos y libertades de los afectados. Entre los factores de riesgo que hay que tener en cuenta están los derivados de la naturaleza del tratamiento, como sistemas de monitorización remota, telediagnóstico, toma de decisiones automatizadas , etc., el ámbito y la extensión, como abarcar gran parte de la población, colectivos vulnerables, datos genéticos, menores, etc., el contexto, como brechas en el entorno sanitario, sensibilidad social, etc., y los fines directos y colaterales, como perfilado, decisiones automatizadas sin intervención humana, etc.
4. ÉTICA E INFORMACIÓN SANITARIA
Los sistemas electrónicos de historia clínica han mejorado la facilidad y la calidad del acceso a la información de pacientes y profesionales y ha universalizado la posibilidad de acceso. Sin embargo, también ha incrementado el riesgo de accesos indebidos al poner al alcance de miles de profesionales sanitarios información clínica confidencial. La mera aplicación de medidas técnicas de seguridad no basta para resolver este problema.
Para que la tecnología no condicione el cumplimiento de las obligaciones jurídicas y los deberes éticos es necesario que tales medidas vayan acompañadas de un compromiso con el respeto a la confidencialidad contraído por profesionales, usuarios, instituciones y también la Administración.