Procedimientos utilizados en hospitales de Cantabria, La

Anuncio
originales
Procedimientos utilizados en hospitales de
Cantabria, La Rioja, Navarra y País Vasco
para proteger la confidencialidad de los datos
personalesª
González Fraile E.*
Artetxe García A.**
Yetano Laguna J.***
Seoane Rodríguez J.A.****
* Instituto de Investigaciones Psiquiátricas. Fundación
María Josefa Recio.
** Centro Menni de Bioética.
*** Hospital de Galdakao.
**** Universidade da Coruña. Dep. Filosofía del Derecho.
Autor responsable de la correspondencia
ª Este estudio forma parte del proyecto de investigación
“Evaluación de la protección de la intimidad, de la
Dirección de correspondencia
confidencialidad de los datos personales relativos a la
Eduardo González Fraile
salud y de las condiciones de acceso a dicha información
Centro Menni de Bioética
en los hospitales españoles” (PI061758). En colaboración
C/ Egaña, Nº 10
con NORDOC.
Bilbao, 48010
Tfn: 944434927 Fax: 944437131
Documentación disponible en:
e-mail: [email protected]
RESUMEN
Las diferentes leyes que regulan la protección
de datos y su tratamiento han experimentado una evolución progresiva que se remonta
desde 1992 con la Ley Orgánica 5/1992 de
Regulación del Tratamiento Automatizado
de los Datos de Carácter Personal (LORTAD)
hasta nuestros días con el RD 1720/2007 de
aprobación del Reglamento de Desarrollo de
la Ley Orgánica 15/1999. De la misma forma,
el procedimiento para proteger esta información y su acceso ha variado. El uso de nuevas
tecnologías y la informatización de la Historia Clínica han incrementado el riesgo de incumplir las medidas de seguridad destinadas a
su protección. El objetivo de nuestro trabajo
ha sido estudiar y valorar los procedimientos
utilizados en los hospitales de Cantabria, La
Rioja, Navarra y País Vasco para proteger la
confidencialidad de los datos personales. Mediante una encuesta anónima dirigida a 26
centros sanitarios se valoró el nivel de cumplimentación del Real Decreto 994/1999 por el
papeles médicos 2009; VOL. 18 Núm. 2
que se aprueba el Reglamento de medidas de
seguridad de los ficheros automatizados que
contengan datos de carácter personal.
Palabras clave:
protección de datos, datos de carácter personal, confidencialidad, datos sanitarios, datos
de salud, historia clínica.
11
originales
Procedures used in hospitals from Cantabria,
La Rioja, Navarra, and the Basque Country
to guarantee the confidentiality of individual
health data
ABSTRACT
Legal norms regulating data protection
and confidentiality have been developed in
Spain since 1986 until now (LO 15/1999; RD
1720/2007). In parallel technical procedures
guaranteeing these issues have been developed. Nevertheless, the risk of breaching safety
measures has increased due to the generalized
use of the new information technologies and
the computerization of individual clinical records. Our aim is to assess the safety procedures and protocols implemented by hospitals
from northern Spain (Cantabria, La Rioja,
Navarra, and the Basque Country) in order to
protect the confidentiality of individual data
and clinical records. We submit here the results produced by an anonymous test sent to
and answered by 26 hospitals to gather information about procedures implemented to fulfill RD 994/1999 regarding the safety directives promulgated to protect computerized files
including sensible individual data.
Key words
data protection; personal data; confidentiality;
individual health data; clinical records.
papeles médicos 2009; VOL. 18 Núm. 2
12
originales
INTRODUCCIÓN
El problema principal con el que se enfrentan los sistemas de información de nuestros
hospitales es el de la seguridad, integridad y
protección de los datos personales que contienen, fundamentalmente los referidos a la documentación clínica.
El deber de secreto ha sido siempre un principio fundamental de la ética médica y tradicionalmente el profesional sanitario ha sido
quien ha decidido las condiciones que regían
su protección. La historia de la confidencialidad está determinada por el cambio de enfoque de entender la intimidad como privilegio
del profesional sanitario a entenderla bajo la
óptica del derecho a la protección de datos personales1. Este cambio tiene su origen en tres
factores fundamentales: la aparición de la nuevas tecnologías de la información, el desarrollo
de la bioética y el nuevo marco legislativo2.
Las nuevas tecnologías de la información, especialmente el masivo proceso de informatización de la historia clínica (HC), junto con
la conexión de nuestros hospitales a las grandes redes de comunicación, han incrementado
el riesgo de que grandes cantidades de datos
asistenciales sean almacenados y procesados
sin las adecuadas medidas de seguridad. Este
hecho ha sido decisivo para que la sociedad
se sensibilice ante el problema y para que los
legisladores desarrollen durante los últimos
años un nuevo marco legislativo. Las dos leyes
recientes más importantes son la Ley Orgánica
de Protección de Datos3 y la Ley de Autonomía
del Paciente4. Esta última no se puede entender sin el desarrollo de la bioética en nuestro
país, que ha creado el ambiente interpretativo
de defensa de la autonomía de los pacientes y
su intimidad que se refleja en los “Principios
básicos” de dicha ley.
Desde la aparición de la LORTAD5 en 1992
los responsables de los ficheros con datos personales de nuestros hospitales estaban obligados a adoptar las medidas de índole técnica y
organizativa que garanticen la protección de
dichos datos. Durante esos primeros años, la
falta de conciencia respecto al problema de
la protección de datos del personal sanitario,
especialmente de los directivos, llevó a que
papeles médicos 2009; VOL. 18 Núm. 2
la aplicación de la LORTAD en los hospitales
españoles fuese escasa6. Este hecho fue favorecido por la ausencia de desarrollo reglamentario. Hasta junio de 1999, meses antes de la publicación de la Ley Orgánica de Protección de
Datos, no aparece el Real Decreto 994/19997
por el que se aprueba el Reglamento de medidas de seguridad de los ficheros automatizados que contengan datos de carácter personal.
A partir de este marco jurídico de referencia
los responsables de los hospitales españoles
comienzan a implementar los procedimientos
prácticos necesarios para proteger la confidencialidad de los datos personales que gestionan.
Ya la Ley General de Sanidad de 19868 regulaba de manera básica los derechos de los usuarios a que se reflejara de forma escrita todo
su proceso asistencial. Durante los 15 años
siguientes, a pesar del trabajo de un grupo de
expertos9 del Ministerio de Sanidad y Consumo y de la aparición de diversas leyes autonómicas que regulaban el manejo de la documentación clínica10,11,12, la legislación en torno
a la HC estaba diversificada, dispersa y limitada a determinados aspectos organizativos13.
Esta situación ha cambiado con la Ley 41/2002,
básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de
información y documentación clínica. Posteriormente, la legislación de las comunidades
autónomas se ha adaptado a dicha ley.
En la actualidad, siguen existiendo áreas poco
claras en la legislación: las anotaciones subjetivas14, los límites de la cancelación de datos o la
adaptación legislativa a la realidad del manejo
de la documentación clínica en nuestros hospitales por parte del personal administrativo,
el acceso de familiares o allegados de un fallecido a la HC. Además, continúa destacando un
cierto desconocimiento en el ámbito sanitario
del significado y alcance del derecho a la protección de datos personales15.
El objetivo de este trabajo es estudiar los
procedimientos utilizados en los hospitales
de Cantabria, La Rioja, Navarra y País Vasco
para proteger la confidencialidad de los datos personales. Todo el repertorio normativo
descrito no tiene sentido si no es traducido de
manera efectiva en procedimientos prácticos
13
originales
de actuación que ayuden en el día a día de
nuestra labor clínica a proteger la seguridad
y confidencialidad de la información sobre la
vida de las personas a las que asistimos.
MATERIAL Y MÉTODOS
El diseño utilizado corresponde al de un estudio multicéntrico y transversal mediante
una encuesta dirigida a los responsables de la
documentación clínica de los centros (servicio
de documentación, servicio de admisión e historia clínica y directores médicos).
En el estudio participaron profesionales pertenecientes a la Sociedad Norte de Documentación Clínica (NORDOC), la cual agrupa a
profesionales vinculados con la documentación clínica y los servicios de admisión hospitalarios de Cantabria, La Rioja, Navarra y País
Vasco.
La encuesta propuesta consta de 20 preguntas
referidas a los procedimientos (reglamentos,
instrucciones, recomendaciones y normativas
internas) utilizados para proteger la confidencialidad de los datos personales de los pacientes. De las 20 preguntas, las 19 primeras
contaban con tres opciones de respuesta (Sí /
No/Parcialmente) y un espacio referido a “comentarios” donde el encuestado podía anotar
alguna indicación referente a la pregunta. La
última de las 20 cuestiones era una pregunta
abierta referida a otros posibles documentos
relevantes en el funcionamiento de cada hospital. Esta misma pregunta fue excluida del
análisis por no aportar información relevante
para el estudio.
Si atendemos al contenido temático de las mismas, 10 corresponden a aspectos referidos a la
historia y documentación clínica, 7 corresponden a aspectos relacionados con la seguridad
de los sistemas de información y finalmente 2
relacionadas con los procedimientos de información a pacientes y personal de los centros.
Con el objetivo de anonimizar los resultados, no se recogió ningún dato referente a las
características de la muestra (nombre de la
persona, del centro, número de camas, etc.).
Tras ponernos en contacto vía telefónica con
papeles médicos 2009; VOL. 18 Núm. 2
los responsables de cada centro, se les envió el
documento a rellenar por la persona referente
(encargado de la documentación clínica, jefe
de admisión o director médico) además de un
breve documento donde se especificaban los
objetivos, confidencialidad y finalidad del estudio. Este mismo procedimiento se repitió en
tres ocasiones con el objetivo de aumentar el
tamaño muestral.
Una vez rellenados los cuestionarios estos
fueron devueltos al Centro Menni de Bioética
mediante correo postal o electrónico. La recogida de datos tuvo lugar durante los meses de
noviembre y diciembre del 2007. El análisis
estadístico se llevó a cabo mediante el software informático Stata versión 10.0. Los datos
se tabularon como frecuencias y porcentajes.
RESULTADOS
De las 26 encuestas enviadas, se recibieron 17
contestadas, respondiendo al cuestionario 2
directores médicos, 3 gerentes y 12 profesionales dedicados a la gestión de datos y documentación clínica (Jefes de admisión, atención al
paciente, documentalistas, gestión sanitaria).
1. Resultados de las preguntas relacionadas
con la HC y los procedimientos de acceso:
En los resultados obtenidos destaca que el
88,2% de los centros no cuentan con recomendaciones del uso de las anotaciones subjetivas
en la HC informatizada. Llama también la
atención que casi la mitad de los centros no
dispongan de procedimientos para la corrección de errores en la HC. (Ver Tabla 1).
Más preocupantes son los datos recogidos en
relación con el personal administrativo. La
mitad de los centros cuentan con un procedimiento regulador del acceso a la HC del personal administrativo con funciones específicas en
el manejo de documentación clínica, a pesar de
lo cual el personal administrativo sin funciones específicas en el manejo de la documentación clínica puede acceder a la misma en una
tercera parte de los centros. (Ver Tabla 2).
2. Resultados de las preguntas relacionadas con
los sistemas de información y su seguridad:
El 76,5% de los centros ha declarado sus fiche-
14
originales
ros con datos personales a la Agencia de protección de datos, pero tan sólo una tercera parte de los centros tienen definidas las funciones
y obligaciones del personal con relación a la
protección de datos en una norma específica
del hospital.
Observando los datos recogidos de las preguntas que atienden a aspectos relacionados con la
seguridad de los sistemas de información nos
encontramos que el 70,6% de los encuestados cuentan con un reglamento de seguridad
de los sistemas de información, pero apenas
aparecen centros que realizan una auditoría
de seguridad de los sistemas de información
cada dos años, tal y como marca la ley. Destaca también un porcentaje próximo al 60%
de centros que no regulan el uso seguro de la
información clínica en dispositivos móviles
informáticos.
Resultados de las preguntas que analizan los
procedimientos de información al personal y
pacientes:
Una tercera parte no dispone de un procedimiento regulador de la información que se
le da al personal de sus obligaciones con respecto a la protección de datos y casi la mitad
carece de un procedimiento de información a
los pacientes de sus derechos con relación a la
protección de datos. (Ver tabla 3.)
DISCUSIÓN
El estudio presentado cuenta con la limitación
de una muestra escasa, lo cual no nos permite
inferir datos más generales acerca de la adecuación de los procedimientos formativos a nivel
estatal. Por otra parte, la “no contestación” de
más del 20% de la muestra seleccionada resta
cierta validez metodológica a nuestro estudio.
rrollo de la Ley Orgánica 15/1999 de protección de datos de carácter personal, que contiene relevantes novedades en relación con los
datos de carácter personal relacionados con la
salud. Un aspecto importante de la aplicación
del nuevo reglamento será la supervisión de
que las empresas externas encargadas de determinados servicios relacionados con el tratamiento de datos, formalicen un contrato en el
que se comprometan a cumplir con sus obligaciones en relación a la protección de datos
personales17.
Los resultados del estudio indican que se ha
avanzado en la utilización de procedimientos para la protección de datos personales en
nuestros hospitales, pero también que todavía
queda mucho por hacer. En algunos casos,
como los procedimientos de información al
personal y pacientes, la realización de auditorías de seguridad o la definición de funciones
y obligaciones del personal con respecto a la
protección de datos, los datos negativos deberían mover a preocupación, pues se trata de
materias en las que la tutela de valores o derechos como la autonomía y la intimidad de
los pacientes y usuarios y la confidencialidad
de la información concitan un notable acuerdo ético, están reguladas jurídicamente con
bastante claridad desde hace tiempo y no exigen procedimientos especialmente costosos ni
difíciles de poner en práctica. En tal sentido
cabría hablar de responsabilidades individuales y colectivas y de la necesidad de cambios
por parte tanto de los profesionales como de
las administraciones sanitarias. En general
parece urgente promover la formación o simplemente la toma de conciencia sobre estos
aspectos, y aprovechar las nuevas tecnologías
para reforzar las garantías de protección de la
información y documentación, así como de los
derechos de los pacientes y usuarios.
Es conveniente apuntar en la discusión la necesaria aplicación de los reglamentos a ficheros
no automatizados desde octubre del 2007 y la
necesidad de continuar haciendo estudios y
refinar las ya existentes para comprobar el impacto en los procedimientos utilizados en los
hospitales para la protección de la confidencialidad del nuevo Real Decreto 1720/200716
por el que se aprueba el Reglamento de desa-
papeles médicos 2009; VOL. 18 Núm. 2
15
originales
Preguntas relacionadas
con la protección de
la HC.
No
(n, %)
Parcialmente
(n, %)
NS / C
(n, %)
1
¿Existe un reglamento de uso
de la HC en el hospital?
15 (88,2)
2 (11,8)
-
-
2
¿Existen recomendaciones
de uso de las anotaciones
subjetivas en la HC
informatizada?
1 (5,9)
15 (88,2)
1 (5,9)
-
3
¿Existe un procedimiento de
bloqueo de HC?
7 (41,2)
5 (29,4)
5 (29,4)
-
4
¿Existe un procedimiento que
permite a los profesionales
la corrección de errores en la
HC?
7 (41,2)
8 (47)
2 (11,8)
-
5
¿Existe una unidad de
admisión y documentación
clínica?
14 (82,4)
2 (11,8)
1 (5,8)
-
No
(n, %)
Parcialmente
(n, %)
NS / C
(n, %)
Tabla 2
Preguntas relacionadas
con el acceso a la
información y con
los sistemas de
información y su
seguridad.
Sí
(n, %)
Pregunta
Tabla 1
Sí
(n, %)
Pregunta
6
¿Existe un procedimiento de
acceso a la documentación
clínica?
15 (88,2)
-
2 (11,8)
-
7
¿Existe un registro de accesos
al archivo de HC en papel ?
14 (82,3)
3 (17,7)
-
-
8
¿Existe un procedimiento que
regula el acceso del personal
administrativo, con funciones
específicas en el manejo de
documentación clínica, a dicha
información?
10 (58,9)
5 (29,4)
2 (11,7)
-
9
¿Existe personal
administrativo, sin funciones
específicas en el manejo
de documentación clínica,
que puede acceder a la
información clínica?
6 (35,3)
11 (64,7)
-
-
10
¿Existe un procedimiento
que regule el uso seguro
de información clínica
en dispositivos móviles
informáticos?
9 (53)
4 (23,5)
4 (23,5)
-
11
¿Los ficheros con datos
personales están declarados
a la Agencia de Protección de
Datos?
13 (76,5)
-
4 (23,5)
-
papeles médicos 2009; VOL. 18 Núm. 2
16
originales
Pregunta
Tabla 2
Preguntas relacionadas
con el acceso a la
información y con
los sistemas de
información y su
seguridad.
No
(n, %)
Parcialmente
(n, %)
NS / C
(n, %)
12
¿Están definidas las funciones
y obligaciones del personal
con relación a la protección de
datos en una norma específica
del hospital?
6 (35,3)
8 (47)
3 (17,7)
-
13
¿Existe un procedimiento que
regule la cesión de datos a
terceros?
10 (58,8)
4 (23,5)
1 (5,9)
2 (11,8)
14
¿Existe un reglamento de
seguridad de los sistemas de
información?
12 (70,6)
4 (23,5)
1 (5,9) %
15
¿Existe un procedimiento
que regule el uso seguro
de información clínica
en dispositivos móviles
informáticos?
4 (23,5)
10 (58,8)
2 (11,8)
1 (5,9)
16
¿existe un procedimiento
que regule la transferencia
de ficheros con datos
clínicos a través de redes de
telecomunicaciones que se
realizan en el hospital?
8 (47,1)
5 (29,5)
2 (11,7)
2 (11,7)
17
¿Se realizan auditorias de
seguridad de los sistemas de
información cada 2 años, tal
como marca la ley?
5 (29,4)
10 (58,8)
1 (5,9)
1 (5,9)%
Sí
(n, %)
No
(n, %)
Parcialmente
(n, %)
NS / C
(n, %)
Pregunta
Tabla 3
Resultados de las
preguntas relacionadas
con los procedimientos
de información al
personal y pacientes.
Sí
(n, %)
18
¿Existe un procedimiento
que regule la información al
personal de sus obligaciones
con relación a la protección de
datos?
6 (35,3)
5 (29,4)
6 (35,3)
-
19
¿Existe un procedimiento de
información a los pacientes de
sus derechos con relación a la
protección de datos?
6 (35,3)
7 (41,2)
3 (17,6)
1 (5,9)
papeles médicos 2009; VOL. 18 Núm. 2
17
originales
BIBLIOGRAFÍA
1.- Seoane J.A., Artetxe A. De la intimidad
como privilegio a la intimidad como derecho:
el derecho a la protección de datos personales
en materia de salud, en La Bioética, diálogo
verdadero. IV Congreso Nacional; 2000 Nov
6-10; Madrid: Asociación de Bioética Fundamental y Clínica. 2002: 355-370.
2.- Artetxe A. Confidencialidad en psiquiatría.
Una perspectiva desde la bioética. Revista
Colombiana de psiquiatría. 2007; 36, (1): 111122.
3.- Ley Orgánica 15/1999, de 13 de diciembre,
de Protección de Datos de Carácter Personal
BOE 298 (14 Diciembre 1999).
4.- Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y
de derechos y obligaciones en materia de información y documentación clínica,
BOE 274 (15 Noviembre 2002).
5.- Real Decreto 994/1999 de 11 de junio, por
el que se aprueba el Reglamento de medidas
de seguridad de los ficheros automatizados
que contengan datos de carácter personal,
BOE 151 (25 Junio 1999).
6.- Martín-Casallo Lopez, J. J. La Lortad y el
área sanitaria. 2º Congreso nacional de Derecho Sanitario; 1995 Nov 23-25; Madrid, España: Asociación Española de Derecho Sanitario.
http://www.aeds.org/congreso2/2congre-4.
htm
7.- Real Decreto 1720/2007 de 21 de diciembre por el que se aprueba el Reglamento de
desarrollo de la Ley Orgánica 15/1999, de 13
de diciembre, de protección de datos de carácter personal, BOE 17 (19 Enero 2008).
8.- Ley 14/1986, de 25 de abril, General de Sanidad. BOE 102 (29 Abril 1986).
10.- Ley 21/2000, de 29 de diciembre, de Cataluña, sobre los derechos de información
concerniente a la salud y a la autonomía del
paciente y a la documentación clínica. BOE 21
(2 Febrero 2001).
11.- Ley 3/2001, de 28 de mayo, de Galicia, reguladora del consentimiento informatizado y
de la historia clínica de los pacientes. BOE 158
(3 julio 2001).
12.- Ley Foral de Navarra, de 25 de abril de
2002, sobre los derechos del paciente a las
voluntades anticipadas, a la información y a
la documentación clínica. BON 58 (13 Mayo
2002).
13.- Vigueras, P. La nueva regulación de la historia clínica. Revista General de Legislación y
Jurisprudencia. 2002; 17: 469-502.
14.- Hernando P, Seoane JA, Cubas JF. La reserva de las anotaciones subjetivas: ¿derecho
o privilegio? Revista de Calidad Asistencial.
2006;21(1), 31-38.
15.- Iraburu Elizondo, M. Estudio multicéntrico para investigación de la confidencialidad
(EMIC). Medicina Clínica. 2007; 128 (15):
575-578.
16.- Ley Orgánica 5/1992 de 29 de octubre de
Regulación del Tratamiento Automatizado de
los Datos de Carácter Personal, BOE 262 (31
Octubre 1992).
17.- Real Decreto 1720/2007 de 21 de diciembre por el que se aprueba el Reglamento de
desarrollo de la Ley Orgánica 15/1999, de 13
de diciembre, de protección de datos de carácter personal, BOE 17 (19 Enero 2008). (Artículo 21. Posibilidad de subcontratación de los
servicios.)
9.- Grupo de Expertos en Información y Documentación Clínica. Informe Final. Colección
de Normas y Textos Jurídicos. Subsecretaría
de Sanidad y Consumo. Ministerio de Sanidad y Consumo, Madrid, 1998.
papeles médicos 2009; VOL. 18 Núm. 2
18
Descargar