La Agencia Española de Protección de Datos (AEPD) ha publicado el ‘Plan de Inspección Sectorial de Oficio realizado a Hospitales Públicos’ en el que, entre otros aspectos, se avisa de la necesidad de que estos centros sanitarios públicos, gestionados de forma directa o indirecta, mejoren la calidad y confidencialidad de los datos que manejan sobre los pacientes.
Los datos de salud se encuentran incluidos en el Reglamento General de Protección de Datos (RGPD), que será aplicable el 25 de mayo de 2018, entre los catalogados como ‘categorías especiales’, lo que hace que su tratamiento exija garantías «reforzadas».
Con el diagnóstico de este informe, la AEPD, que ya lo ha presentado a las comunidades autónomas en el marco de la Subcomisión de Sistemas de Información del Sistema Nacional de Salud, ofrece un «punto de referencia» para que el sector sanitario aborde la adaptación de sus sistemas y procedimientos a los nuevos requerimientos que impone el RGPD.
En concreto, el informe está centrado en la auditoría de los aspectos en los que se detectaron carencias en los planes de inspección realizados en 1995 y 2010 y, especialmente, en las medidas de seguridad implementadas.
Para ello, se han auditado hospitales que, partiendo de una situación de historia clínica en papel, la han transferido a formato electrónico; hospitales que conservan todavía la historia clínica en papel y que están inmersos en procesos de automatización, y hospitales que cuentan con historia clínica electrónica desde su creación.
Entre los servicios hospitalarios inspeccionados se encuentran: Admisión, Urgencias, Consultas Externas, Anatomía Patológica, Unidad de Cuidados Intensivos, Laboratorio de Análisis Clínicos, Farmacia Hospitalaria, Departamento de Informática, Atención al Paciente, Servicios Sociales y Biobanco.
De esta forma, y aunque se constata una tendencia «en general favorable» a la progresiva asunción de la normativa y de los principios y cultura de la relevancia que tiene el tratamiento de los datos en el sector sanitario y la debida protección que tienen los mismos.
No obstante, la agencia ha constatado que, respecto a la confidencialidad de los datos, en la mayoría de los centros inspeccionados no se pide al paciente el DNI junto con la tarjeta sanitaria, lo que provoca que se den «casos de suplantación de identidad».
Y es que, aunque la agencia reconoce que hechos así son «muy escasos», pueden suponer un «alto riesgo» para la salud de los enfermos, ya que la información contenida en la historia clínica a la que se accede con la tarjeta sanitaria presentada no corresponde a la patología del paciente.
Asimismo, se ha comprobado que varios de los hospitales analizados no hay carteles informativos en las áreas donde se recaban datos de los pacientes (por ejemplo, en Admisión o Urgencias), no informándose tampoco verbalmente o por escrito sobre los derechos de protección de datos de los pacientes y usuarios del centro.
«Si bien algunos centros hospitalarios sí disponen de carteles informativos sobre los derechos de los pacientes a ser informados, estos no recogen todos los aspectos previstos en el artículo 5 de la Ley Orgánica de Protección de Datos (LOPD), al estar más alineados con la ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, o al tener referencias obsoletas, por ejemplo a la Agencia de Protección de Datos de la Comunidad de Madrid», ha alertado el organismo en el informe.
Mejorar la información sobre los ensayos clínicos
La información sobre los ensayos clínicos también debe de mejorarse o, al menos, así lo considera la AEPD, tras constatar en los contratos con el investigador principal no se especifican aspectos «importantes» como la prohibición de tratar los datos personales de los sujetos para otras finalidades; qué ocurre con los datos al acabar el ensayo; las medidas de seguridad aplicables; así como la obligación de que en las publicaciones de los resultados deba mantenerse la anonimización de los datos.
«Sería recomendable que en el contrato se incluyera la prohibición de tratar los datos personales de los sujetos para otras finalidades distintas a la investigación. Asimismo, sería recomendable especificar qué ocurre con los datos al acabar el ensayo, las medidas de seguridad a aplicar a los datos, y la anonimización de los datos necesaria en las publicaciones de los resultados. El compromiso de confidencialidad debe abarcar sin excepciones toda información que contenga datos personales de los sujetos participantes», ha aconsejado la agencia.
Del mismo modo, se han encontrado consentimientos informados por parte de los pacientes con información «confusa» con respecto a los tratamientos, refiriéndose, por ejemplo, expresamente a datos de salud asociados a datos identificativos, y a que el personal del estudio estará autorizado a revelar esa información a diferentes actores, entre ellos el promotor. Sin embargo, posteriormente, en el cuerpo del documento se indica que los datos comunicados al promotor son «codificados».
También se han encontrado «imprecisiones» como, por ejemplo, que se mantendrá la confidencialidad de los datos «siempre que no sean imprescindibles para el desarrollo del proyecto». Por ello, la agencia ha aconsejado que la información que se facilite a los participantes en un ensayo clínico sea lo «más clara posible y sin ambigüedades».
«Deberá informarse asimismo de las consecuencias especiales de la salida voluntaria del sujeto del ensayo clínico (al revocar su consentimiento) y, en su caso, que los datos recogidos hasta la fecha serán conservados para no desvirtuar la investigación, si bien no se tratarán ni recogerán más datos después de la retirada del consentimiento. Por último, se deberá informar al sujeto sobre la publicación de los resultados de la investigación. En caso de que no sea posible la publicación sin datos identificativos del sujeto, éstos solo podrán ser publicados cuando haya mediado el consentimiento previo y expreso del sujeto», ha detallado.
Para la Agencia Española de Protección de Datos los hospitales públicos también deben reforzar sus medidas de seguridad, potenciando con carácter general los mecanismos de control de acceso. Además, subraya la importancia de preguntar al paciente si desea que su presencia y ubicación en el hospital sea comunicada a las personas o familiares que pregunten por ello y, si éste no se opone, el hospital informe si se encuentra en Urgencias o ingresado y el número de habitación, pero nunca sobre el estado de salud o la atención médica prestada.
Finalmente, el plan va acompañado de un decálogo básico en el que se aconseja tratar los datos de los pacientes como le gustaría que se tratasen los suyos propios; acceder a la historia clínica sólo por requerimiento del trabajo; no dar información a terceros salvo que haya una justificación lícita o el paciente lo haya consentido; cerrar la sesiones de los ordenadores; no enviar información con datos de salud por correo electrónico o por cualquier red pública o inalámbrica y, en el caso de tener que hacerlo, cifrar los datos; no tirar documentos con datos personales a la papelera; cerrar con llave los armarios que contengan documentación clínica; y no crear por cuenta ajena ficheros con datos personales de pacientes.