originales Procedimientos utilizados en hospitales de Cantabria, La Rioja, Navarra y País Vasco para proteger la confidencialidad de los datos personalesª González Fraile E.* Artetxe García A.** Yetano Laguna J.*** Seoane Rodríguez J.A.**** * Instituto de Investigaciones Psiquiátricas. Fundación María Josefa Recio. ** Centro Menni de Bioética. *** Hospital de Galdakao. **** Universidade da Coruña. Dep. Filosofía del Derecho. Autor responsable de la correspondencia ª Este estudio forma parte del proyecto de investigación “Evaluación de la protección de la intimidad, de la Dirección de correspondencia confidencialidad de los datos personales relativos a la Eduardo González Fraile salud y de las condiciones de acceso a dicha información Centro Menni de Bioética en los hospitales españoles” (PI061758). En colaboración C/ Egaña, Nº 10 con NORDOC. Bilbao, 48010 Tfn: 944434927 Fax: 944437131 Documentación disponible en: e-mail: [email protected] RESUMEN Las diferentes leyes que regulan la protección de datos y su tratamiento han experimentado una evolución progresiva que se remonta desde 1992 con la Ley Orgánica 5/1992 de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal (LORTAD) hasta nuestros días con el RD 1720/2007 de aprobación del Reglamento de Desarrollo de la Ley Orgánica 15/1999. De la misma forma, el procedimiento para proteger esta información y su acceso ha variado. El uso de nuevas tecnologías y la informatización de la Historia Clínica han incrementado el riesgo de incumplir las medidas de seguridad destinadas a su protección. El objetivo de nuestro trabajo ha sido estudiar y valorar los procedimientos utilizados en los hospitales de Cantabria, La Rioja, Navarra y País Vasco para proteger la confidencialidad de los datos personales. Mediante una encuesta anónima dirigida a 26 centros sanitarios se valoró el nivel de cumplimentación del Real Decreto 994/1999 por el papeles médicos 2009; VOL. 18 Núm. 2 que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. Palabras clave: protección de datos, datos de carácter personal, confidencialidad, datos sanitarios, datos de salud, historia clínica. 11 originales Procedures used in hospitals from Cantabria, La Rioja, Navarra, and the Basque Country to guarantee the confidentiality of individual health data ABSTRACT Legal norms regulating data protection and confidentiality have been developed in Spain since 1986 until now (LO 15/1999; RD 1720/2007). In parallel technical procedures guaranteeing these issues have been developed. Nevertheless, the risk of breaching safety measures has increased due to the generalized use of the new information technologies and the computerization of individual clinical records. Our aim is to assess the safety procedures and protocols implemented by hospitals from northern Spain (Cantabria, La Rioja, Navarra, and the Basque Country) in order to protect the confidentiality of individual data and clinical records. We submit here the results produced by an anonymous test sent to and answered by 26 hospitals to gather information about procedures implemented to fulfill RD 994/1999 regarding the safety directives promulgated to protect computerized files including sensible individual data. Key words data protection; personal data; confidentiality; individual health data; clinical records. papeles médicos 2009; VOL. 18 Núm. 2 12 originales INTRODUCCIÓN El problema principal con el que se enfrentan los sistemas de información de nuestros hospitales es el de la seguridad, integridad y protección de los datos personales que contienen, fundamentalmente los referidos a la documentación clínica. El deber de secreto ha sido siempre un principio fundamental de la ética médica y tradicionalmente el profesional sanitario ha sido quien ha decidido las condiciones que regían su protección. La historia de la confidencialidad está determinada por el cambio de enfoque de entender la intimidad como privilegio del profesional sanitario a entenderla bajo la óptica del derecho a la protección de datos personales1. Este cambio tiene su origen en tres factores fundamentales: la aparición de la nuevas tecnologías de la información, el desarrollo de la bioética y el nuevo marco legislativo2. Las nuevas tecnologías de la información, especialmente el masivo proceso de informatización de la historia clínica (HC), junto con la conexión de nuestros hospitales a las grandes redes de comunicación, han incrementado el riesgo de que grandes cantidades de datos asistenciales sean almacenados y procesados sin las adecuadas medidas de seguridad. Este hecho ha sido decisivo para que la sociedad se sensibilice ante el problema y para que los legisladores desarrollen durante los últimos años un nuevo marco legislativo. Las dos leyes recientes más importantes son la Ley Orgánica de Protección de Datos3 y la Ley de Autonomía del Paciente4. Esta última no se puede entender sin el desarrollo de la bioética en nuestro país, que ha creado el ambiente interpretativo de defensa de la autonomía de los pacientes y su intimidad que se refleja en los “Principios básicos” de dicha ley. Desde la aparición de la LORTAD5 en 1992 los responsables de los ficheros con datos personales de nuestros hospitales estaban obligados a adoptar las medidas de índole técnica y organizativa que garanticen la protección de dichos datos. Durante esos primeros años, la falta de conciencia respecto al problema de la protección de datos del personal sanitario, especialmente de los directivos, llevó a que papeles médicos 2009; VOL. 18 Núm. 2 la aplicación de la LORTAD en los hospitales españoles fuese escasa6. Este hecho fue favorecido por la ausencia de desarrollo reglamentario. Hasta junio de 1999, meses antes de la publicación de la Ley Orgánica de Protección de Datos, no aparece el Real Decreto 994/19997 por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal. A partir de este marco jurídico de referencia los responsables de los hospitales españoles comienzan a implementar los procedimientos prácticos necesarios para proteger la confidencialidad de los datos personales que gestionan. Ya la Ley General de Sanidad de 19868 regulaba de manera básica los derechos de los usuarios a que se reflejara de forma escrita todo su proceso asistencial. Durante los 15 años siguientes, a pesar del trabajo de un grupo de expertos9 del Ministerio de Sanidad y Consumo y de la aparición de diversas leyes autonómicas que regulaban el manejo de la documentación clínica10,11,12, la legislación en torno a la HC estaba diversificada, dispersa y limitada a determinados aspectos organizativos13. Esta situación ha cambiado con la Ley 41/2002, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. Posteriormente, la legislación de las comunidades autónomas se ha adaptado a dicha ley. En la actualidad, siguen existiendo áreas poco claras en la legislación: las anotaciones subjetivas14, los límites de la cancelación de datos o la adaptación legislativa a la realidad del manejo de la documentación clínica en nuestros hospitales por parte del personal administrativo, el acceso de familiares o allegados de un fallecido a la HC. Además, continúa destacando un cierto desconocimiento en el ámbito sanitario del significado y alcance del derecho a la protección de datos personales15. El objetivo de este trabajo es estudiar los procedimientos utilizados en los hospitales de Cantabria, La Rioja, Navarra y País Vasco para proteger la confidencialidad de los datos personales. Todo el repertorio normativo descrito no tiene sentido si no es traducido de manera efectiva en procedimientos prácticos 13 originales de actuación que ayuden en el día a día de nuestra labor clínica a proteger la seguridad y confidencialidad de la información sobre la vida de las personas a las que asistimos. MATERIAL Y MÉTODOS El diseño utilizado corresponde al de un estudio multicéntrico y transversal mediante una encuesta dirigida a los responsables de la documentación clínica de los centros (servicio de documentación, servicio de admisión e historia clínica y directores médicos). En el estudio participaron profesionales pertenecientes a la Sociedad Norte de Documentación Clínica (NORDOC), la cual agrupa a profesionales vinculados con la documentación clínica y los servicios de admisión hospitalarios de Cantabria, La Rioja, Navarra y País Vasco. La encuesta propuesta consta de 20 preguntas referidas a los procedimientos (reglamentos, instrucciones, recomendaciones y normativas internas) utilizados para proteger la confidencialidad de los datos personales de los pacientes. De las 20 preguntas, las 19 primeras contaban con tres opciones de respuesta (Sí / No/Parcialmente) y un espacio referido a “comentarios” donde el encuestado podía anotar alguna indicación referente a la pregunta. La última de las 20 cuestiones era una pregunta abierta referida a otros posibles documentos relevantes en el funcionamiento de cada hospital. Esta misma pregunta fue excluida del análisis por no aportar información relevante para el estudio. Si atendemos al contenido temático de las mismas, 10 corresponden a aspectos referidos a la historia y documentación clínica, 7 corresponden a aspectos relacionados con la seguridad de los sistemas de información y finalmente 2 relacionadas con los procedimientos de información a pacientes y personal de los centros. Con el objetivo de anonimizar los resultados, no se recogió ningún dato referente a las características de la muestra (nombre de la persona, del centro, número de camas, etc.). Tras ponernos en contacto vía telefónica con papeles médicos 2009; VOL. 18 Núm. 2 los responsables de cada centro, se les envió el documento a rellenar por la persona referente (encargado de la documentación clínica, jefe de admisión o director médico) además de un breve documento donde se especificaban los objetivos, confidencialidad y finalidad del estudio. Este mismo procedimiento se repitió en tres ocasiones con el objetivo de aumentar el tamaño muestral. Una vez rellenados los cuestionarios estos fueron devueltos al Centro Menni de Bioética mediante correo postal o electrónico. La recogida de datos tuvo lugar durante los meses de noviembre y diciembre del 2007. El análisis estadístico se llevó a cabo mediante el software informático Stata versión 10.0. Los datos se tabularon como frecuencias y porcentajes. RESULTADOS De las 26 encuestas enviadas, se recibieron 17 contestadas, respondiendo al cuestionario 2 directores médicos, 3 gerentes y 12 profesionales dedicados a la gestión de datos y documentación clínica (Jefes de admisión, atención al paciente, documentalistas, gestión sanitaria). 1. Resultados de las preguntas relacionadas con la HC y los procedimientos de acceso: En los resultados obtenidos destaca que el 88,2% de los centros no cuentan con recomendaciones del uso de las anotaciones subjetivas en la HC informatizada. Llama también la atención que casi la mitad de los centros no dispongan de procedimientos para la corrección de errores en la HC. (Ver Tabla 1). Más preocupantes son los datos recogidos en relación con el personal administrativo. La mitad de los centros cuentan con un procedimiento regulador del acceso a la HC del personal administrativo con funciones específicas en el manejo de documentación clínica, a pesar de lo cual el personal administrativo sin funciones específicas en el manejo de la documentación clínica puede acceder a la misma en una tercera parte de los centros. (Ver Tabla 2). 2. Resultados de las preguntas relacionadas con los sistemas de información y su seguridad: El 76,5% de los centros ha declarado sus fiche- 14 originales ros con datos personales a la Agencia de protección de datos, pero tan sólo una tercera parte de los centros tienen definidas las funciones y obligaciones del personal con relación a la protección de datos en una norma específica del hospital. Observando los datos recogidos de las preguntas que atienden a aspectos relacionados con la seguridad de los sistemas de información nos encontramos que el 70,6% de los encuestados cuentan con un reglamento de seguridad de los sistemas de información, pero apenas aparecen centros que realizan una auditoría de seguridad de los sistemas de información cada dos años, tal y como marca la ley. Destaca también un porcentaje próximo al 60% de centros que no regulan el uso seguro de la información clínica en dispositivos móviles informáticos. Resultados de las preguntas que analizan los procedimientos de información al personal y pacientes: Una tercera parte no dispone de un procedimiento regulador de la información que se le da al personal de sus obligaciones con respecto a la protección de datos y casi la mitad carece de un procedimiento de información a los pacientes de sus derechos con relación a la protección de datos. (Ver tabla 3.) DISCUSIÓN El estudio presentado cuenta con la limitación de una muestra escasa, lo cual no nos permite inferir datos más generales acerca de la adecuación de los procedimientos formativos a nivel estatal. Por otra parte, la “no contestación” de más del 20% de la muestra seleccionada resta cierta validez metodológica a nuestro estudio. rrollo de la Ley Orgánica 15/1999 de protección de datos de carácter personal, que contiene relevantes novedades en relación con los datos de carácter personal relacionados con la salud. Un aspecto importante de la aplicación del nuevo reglamento será la supervisión de que las empresas externas encargadas de determinados servicios relacionados con el tratamiento de datos, formalicen un contrato en el que se comprometan a cumplir con sus obligaciones en relación a la protección de datos personales17. Los resultados del estudio indican que se ha avanzado en la utilización de procedimientos para la protección de datos personales en nuestros hospitales, pero también que todavía queda mucho por hacer. En algunos casos, como los procedimientos de información al personal y pacientes, la realización de auditorías de seguridad o la definición de funciones y obligaciones del personal con respecto a la protección de datos, los datos negativos deberían mover a preocupación, pues se trata de materias en las que la tutela de valores o derechos como la autonomía y la intimidad de los pacientes y usuarios y la confidencialidad de la información concitan un notable acuerdo ético, están reguladas jurídicamente con bastante claridad desde hace tiempo y no exigen procedimientos especialmente costosos ni difíciles de poner en práctica. En tal sentido cabría hablar de responsabilidades individuales y colectivas y de la necesidad de cambios por parte tanto de los profesionales como de las administraciones sanitarias. En general parece urgente promover la formación o simplemente la toma de conciencia sobre estos aspectos, y aprovechar las nuevas tecnologías para reforzar las garantías de protección de la información y documentación, así como de los derechos de los pacientes y usuarios. Es conveniente apuntar en la discusión la necesaria aplicación de los reglamentos a ficheros no automatizados desde octubre del 2007 y la necesidad de continuar haciendo estudios y refinar las ya existentes para comprobar el impacto en los procedimientos utilizados en los hospitales para la protección de la confidencialidad del nuevo Real Decreto 1720/200716 por el que se aprueba el Reglamento de desa- papeles médicos 2009; VOL. 18 Núm. 2 15 originales Preguntas relacionadas con la protección de la HC. No (n, %) Parcialmente (n, %) NS / C (n, %) 1 ¿Existe un reglamento de uso de la HC en el hospital? 15 (88,2) 2 (11,8) - - 2 ¿Existen recomendaciones de uso de las anotaciones subjetivas en la HC informatizada? 1 (5,9) 15 (88,2) 1 (5,9) - 3 ¿Existe un procedimiento de bloqueo de HC? 7 (41,2) 5 (29,4) 5 (29,4) - 4 ¿Existe un procedimiento que permite a los profesionales la corrección de errores en la HC? 7 (41,2) 8 (47) 2 (11,8) - 5 ¿Existe una unidad de admisión y documentación clínica? 14 (82,4) 2 (11,8) 1 (5,8) - No (n, %) Parcialmente (n, %) NS / C (n, %) Tabla 2 Preguntas relacionadas con el acceso a la información y con los sistemas de información y su seguridad. Sí (n, %) Pregunta Tabla 1 Sí (n, %) Pregunta 6 ¿Existe un procedimiento de acceso a la documentación clínica? 15 (88,2) - 2 (11,8) - 7 ¿Existe un registro de accesos al archivo de HC en papel ? 14 (82,3) 3 (17,7) - - 8 ¿Existe un procedimiento que regula el acceso del personal administrativo, con funciones específicas en el manejo de documentación clínica, a dicha información? 10 (58,9) 5 (29,4) 2 (11,7) - 9 ¿Existe personal administrativo, sin funciones específicas en el manejo de documentación clínica, que puede acceder a la información clínica? 6 (35,3) 11 (64,7) - - 10 ¿Existe un procedimiento que regule el uso seguro de información clínica en dispositivos móviles informáticos? 9 (53) 4 (23,5) 4 (23,5) - 11 ¿Los ficheros con datos personales están declarados a la Agencia de Protección de Datos? 13 (76,5) - 4 (23,5) - papeles médicos 2009; VOL. 18 Núm. 2 16 originales Pregunta Tabla 2 Preguntas relacionadas con el acceso a la información y con los sistemas de información y su seguridad. No (n, %) Parcialmente (n, %) NS / C (n, %) 12 ¿Están definidas las funciones y obligaciones del personal con relación a la protección de datos en una norma específica del hospital? 6 (35,3) 8 (47) 3 (17,7) - 13 ¿Existe un procedimiento que regule la cesión de datos a terceros? 10 (58,8) 4 (23,5) 1 (5,9) 2 (11,8) 14 ¿Existe un reglamento de seguridad de los sistemas de información? 12 (70,6) 4 (23,5) 1 (5,9) % 15 ¿Existe un procedimiento que regule el uso seguro de información clínica en dispositivos móviles informáticos? 4 (23,5) 10 (58,8) 2 (11,8) 1 (5,9) 16 ¿existe un procedimiento que regule la transferencia de ficheros con datos clínicos a través de redes de telecomunicaciones que se realizan en el hospital? 8 (47,1) 5 (29,5) 2 (11,7) 2 (11,7) 17 ¿Se realizan auditorias de seguridad de los sistemas de información cada 2 años, tal como marca la ley? 5 (29,4) 10 (58,8) 1 (5,9) 1 (5,9)% Sí (n, %) No (n, %) Parcialmente (n, %) NS / C (n, %) Pregunta Tabla 3 Resultados de las preguntas relacionadas con los procedimientos de información al personal y pacientes. Sí (n, %) 18 ¿Existe un procedimiento que regule la información al personal de sus obligaciones con relación a la protección de datos? 6 (35,3) 5 (29,4) 6 (35,3) - 19 ¿Existe un procedimiento de información a los pacientes de sus derechos con relación a la protección de datos? 6 (35,3) 7 (41,2) 3 (17,6) 1 (5,9) papeles médicos 2009; VOL. 18 Núm. 2 17 originales BIBLIOGRAFÍA 1.- Seoane J.A., Artetxe A. De la intimidad como privilegio a la intimidad como derecho: el derecho a la protección de datos personales en materia de salud, en La Bioética, diálogo verdadero. IV Congreso Nacional; 2000 Nov 6-10; Madrid: Asociación de Bioética Fundamental y Clínica. 2002: 355-370. 2.- Artetxe A. Confidencialidad en psiquiatría. Una perspectiva desde la bioética. Revista Colombiana de psiquiatría. 2007; 36, (1): 111122. 3.- Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal BOE 298 (14 Diciembre 1999). 4.- Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, BOE 274 (15 Noviembre 2002). 5.- Real Decreto 994/1999 de 11 de junio, por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal, BOE 151 (25 Junio 1999). 6.- Martín-Casallo Lopez, J. J. La Lortad y el área sanitaria. 2º Congreso nacional de Derecho Sanitario; 1995 Nov 23-25; Madrid, España: Asociación Española de Derecho Sanitario. http://www.aeds.org/congreso2/2congre-4. htm 7.- Real Decreto 1720/2007 de 21 de diciembre por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, BOE 17 (19 Enero 2008). 8.- Ley 14/1986, de 25 de abril, General de Sanidad. BOE 102 (29 Abril 1986). 10.- Ley 21/2000, de 29 de diciembre, de Cataluña, sobre los derechos de información concerniente a la salud y a la autonomía del paciente y a la documentación clínica. BOE 21 (2 Febrero 2001). 11.- Ley 3/2001, de 28 de mayo, de Galicia, reguladora del consentimiento informatizado y de la historia clínica de los pacientes. BOE 158 (3 julio 2001). 12.- Ley Foral de Navarra, de 25 de abril de 2002, sobre los derechos del paciente a las voluntades anticipadas, a la información y a la documentación clínica. BON 58 (13 Mayo 2002). 13.- Vigueras, P. La nueva regulación de la historia clínica. Revista General de Legislación y Jurisprudencia. 2002; 17: 469-502. 14.- Hernando P, Seoane JA, Cubas JF. La reserva de las anotaciones subjetivas: ¿derecho o privilegio? Revista de Calidad Asistencial. 2006;21(1), 31-38. 15.- Iraburu Elizondo, M. Estudio multicéntrico para investigación de la confidencialidad (EMIC). Medicina Clínica. 2007; 128 (15): 575-578. 16.- Ley Orgánica 5/1992 de 29 de octubre de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal, BOE 262 (31 Octubre 1992). 17.- Real Decreto 1720/2007 de 21 de diciembre por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal, BOE 17 (19 Enero 2008). (Artículo 21. Posibilidad de subcontratación de los servicios.) 9.- Grupo de Expertos en Información y Documentación Clínica. Informe Final. Colección de Normas y Textos Jurídicos. Subsecretaría de Sanidad y Consumo. Ministerio de Sanidad y Consumo, Madrid, 1998. papeles médicos 2009; VOL. 18 Núm. 2 18