Acceso injustificado a la HC y obligaciones ante el ramsonware

El profesional sanitario (PS) que accede a una HC injustificadamente puede verse sujeto a distintos tipos de responsabilidad penal, disciplinaria, laboral y administrativa – de acuerdo a la normativa de protección de datos que en algunos casos pueden darse, incluso de modo conjunta.

Tratamos con detalle dichas repercusiones profesionales en este post . Desde entonces han pasado unos años y empieza a ser más común que los tribunales se pronuncien sobre ello – dado que hace unos años era un tipo de delito relativamente nuevo e inherente al uso de de la historia clinica electrónica / compartida.

En primer lugar, este tipo de accesos está sancionado en el Código Penal (CP) como delito de descubrimiento y revelación de secretos. En el CP se prevén penas de hasta 5 años de prisión según los casos, a las que se suman penas de multa, suspensión de empleo y sueldo o inhabilitación profesional.

Por otro lado, cuando la infracción cometida no tenga cuando no tengan la suficiente gravedad como para ser delito, estas conductas se podrán castigar como una sanción administrativa.

En el caso de las entidades públicas, dicha sanción podrá consistir en él apercibimiento de la administración o entidad pública para la que se trabaje y, en su caso, se dará publicidad de la infracción cometida.

Si se trata de centros privados se aplicarán las correspondientes sanciones previstas en la normativa de Protección de Datos (entre ellas, la imposición de multas).

En el caso del profesional que realice su actividad para un centro se le podrá imponer una sanción disciplinaria. Además, la vulneración del deber de confidencialidad que supone el acceso injustificado a la historia clínica es contemplada en la mayor parte de códigos deontológicos de la profesión es sanitarias como falta grave o muy grave acarreando consecuencias que llegan hasta la inhabilitación profesional.

Por otro lado, el acceso indebido a la historia clínica puede dar lugar al deber de abonar a la víctima una indemnización de carácter civil, cuya cantidad dependerá de la valoración de los tribunales, se considera un daño moral por vulneración del derecho a la intimidad.

Es importante recordar que la responsabilidad por el acceso indebido a los datos de la HC surge como no solo por la revelación a terceros de los datos conocidos a propósito del acceso a la misma; qué es lo que – en un primer momento – pudiera parecer más grave. Si no que el PS puede enfrentarse a todas o alguna de las consecuencias descritas simplemente por el mero acceso injustificado a la historia clínica, incluida la pena de prisión.

Para ser meridianos, si se accede sin el consentimiento del paciente, o sin que concurra alguna de las finalidades protegidas por la ley entre ellas la más habitual la prestación del servicio que determina la consulta de los datos precisos para efectuarla, ese acceso ya es indebido y susceptible de conllevar la consecuencia grave para el profesional. Sin perjuicio de que si, además, la información indebidamente consultada es revelada las consecuencias legales tan todas vía más grave si cabe.

Brechas de Seguridad y Obligaciones del PS

Debe tenerse en cuenta, que este tipo de conductas inciden también en las obligaciones relacionadas con la notificación de brechas de seguridad a las Autoridades (AEPD) de Protección de Datos, y en su caso, la comunicación a los propios interesados .

Y debe señalarse en el contexto de brechas de datos personales en el ámbito de salud, la Agencia ha constatado que se están produciendo brechas de confidencialidad causadas por el acceso indebido de miembros de la organización a datos de la HC de pacientes.

Otras brechas de datos personales similares notificadas con frecuencia en el ámbito sanitario son el envío de documentación con datos de salud o datos genéticos a destinatarios incorrectos coma la destrucción sin garantías de confidencialidad de soportes de datos, o el extravío de muestras biológicas que permitan identificar al paciente.

Uno de los tipos de incidentes que están causando brechas de datos personales capaces de paralizar por completo la actividad sanitaria de un centro o de un profesional y que ocasionan un daño muy alto para los derechos y libertades de las personas son los ciber incidentes del tipo ransomware.

El ransomware puede cifrar datos personales y sistemas informáticos, afectando a la disponibilidad de los datos y de los medios para tratarlos. En muchas ocasiones se produce también la exfiltración de los datos personales, lo que afecta la confidencialidad.

Estos incidentes suelen ir acompañados de intentos de extorsión tanto al profesional sanitario como a los pacientes afectados por la brecha, solicitando cantidades elevadas de dinero por recuperar y no hacerlos públicos.

La aplicación de medidas de seguridad preventivas específicamente destinadas a evitar este tipo de incidentes y disponer de sistemas de respaldo, no solo de los datos sino también de los servicios es vital para minimizar el riesgo sobre las personas afectadas y dar cumplimiento a las obligaciones del Reglamento de Protección de Datos.

Fuente : AEPD  –

Imagen de jcomp en Freepik

¿Quién, cuándo y cómo puede acceder a la historia clínica (HC)?

¿Puede cualquier médico sea residente o senior acceder a una HC? ¿Puede acceder el personal administrativo? ¿y si fuera con fines docentes, en qué condiciones? ¿Estudiantes en prácticas y becarios? ¿Autoridades judiciales?  Quien, cuándo y cómo puede acceder a la HC, es lo que vamos a tratar en este tercer o la agencia tributaria? Este es el 3er post sobre la normativa de protección de datos adaptada a los profesionales sanitarios.

En el primer post hablamos del concepto de datos clínicos y en el 2º la legitimación para tratar los datos.

No es lo mismo acceder a una HC si se trata de un paciente tuyo, que si no lo es. El acceso a la HC con el propósito de asistir a un paciente – legitima el acceso. Especialmente en situaciones de emergencia vital – no puede limitarse el acceso a la HC bajo el apercibimiento del cumplimiento de la normativa de protección de datos.  

De otra parte, el responsable de la guardia y custodia de los datos – la institución asistencial – tiene la obligación de adoptar medidas que garanticen el control del acceso, el registro, la trazabilidad de dichos accesos y de auditoría de los registros para prevenir, detectar y/o corregir cualquier acceso o uso indebido de la HC.

El acceso a la HC está limitado

No cualquier profesional (sea sanitario o no) y ante cualquier circunstancia puede acceder – ni está legitimado para hacerlo. El profesional sanitario y el que no lo es – podrán acceder a ella únicamente en el desempeño de sus funciones – sin que puedan revelar los datos a un tercero ajeno a estas.

Las posibilidades para acceder a la HC son distintas – dependiendo del tipo de función profesional y de la finalidad del acceso a dichos datos:

a.- Acceso por profesionales sanitarios

La finalidad de la historia clínica es fundamentalmente asistencial. Puede acceder a la HC el profesional sanitario o el equipo directamente implicado en la asistencia al paciente o aquellos que sean consultados por este con la finalidad de mejorar la atención terapéutica. En todo caso, el acceso estará limitado únicamente a los datos precisos y si no fuera necesario conocer la identidad del paciente no se deberá acceder a la misma.

Pueden acceder a la HC los residentes

El residente puede acceder a los datos de la HC en los términos antes descritos, es decir, cuando sea necesario por razón de la atención sanitaria que está prestando. Los residentes tienen la consideración de profesional sanitario mientras dure su vinculación con el centro hay normativa al respecto fehaciente e indubitada.

¿Puede accederse a la historia clínica desde centros sociosanitarios?

Los profesionales sanitarios en centros sociosanitarios también deben poder acceder a la HC de los pacientes que están tratando, para poder prestar una correcta asistencia sanitaria.

¿Se puede acceder desde centros privados concertados?

Los profesionales sanitarios de centros privados concertados deben poder acceder si es necesario para prestar la atención sanitaria a un paciente derivado a ese centro, pero con acceso limitado a los datos necesarios para cumplir la función que le haya sido encomendada. Para ello deberán arbitrarse las medidas oportunas de modo que el centro de destino tenga conocimiento actualizado del estado de salud del paciente.

¿Podrá acceder por parte de los miembros de un Comité de Ética Asistencial?

Los miembros de los CEA algunos de los cuales pueden no ser profesionales sanitarios, accederán a la información que sea estrictamente necesaria para emitir la correspondiente opinión ética que sea sometida a su consideración. Están obligados por el deber de secreto y además deben firmar un acuerdo de confidencialidad.

¿Pueden acceder las empresas prestadoras de servicios a pacientes?

Las empresas proveedoras de servicios o equipos a los pacientes en domicilio, tendrán acceso a los datos estrictamente necesarios para el cumplimiento de sus funciones. Como encargados del tratamiento están obligados a cumplir con la normativa de Protección de Datos y solo utilizarán dichos datos siguiendo las instrucciones del responsable.

b.- Acceso por personal administrativo y de gestión

El personal de gestión y administrativo solo puede acceder a los datos de la HC necesarios para el ejercicio de sus funciones.

En esta situación se encuentra en general el personal de administración y servicios: servicio de admisión, personal encargado de atención al paciente, gestión de citas, gestión administrativa, de personal del centro, informática, etc, así como los cargos de dirección de un centro.

Todo el personal que acceda a los datos de una HC en el ejercicio de sus funciones está sujeto al deber de secreto. Se considera que el deber de secreto es compartido por todo el equipo del centro – sean estos sanitario asistencial o no.

c.- Acceso por Inspección, evaluación o acreditación

El personal con función de funciones de inspección, evaluación, acreditación y planificación sanitariatiene acceso a las HC en la medida necesaria para cumplir sus funciones (acreditación de la calidad de la asistencia respeto a los derechos de los pacientes u otras obligaciones del centro en relación con los pacientes o la administración sanitaria)

Un inspector sanitario podría por ejemplo acceder a la HC de pacientes para comprobar el proceso asistencial realizado por el profesional que lo hubiera tratado, o si está acreditado un determinado tipo de tratamiento que tiene un costo elevado.

Este acceso está igualmente sujeto al deber de secreto – por parte del inspector.

d.- Acceso con fines docentes

Los estudiantes, cuando resulte necesario para su actividad docente o para la realización de sus práctica deberían tener acceso limitado con un perfil de estudiante, como en cuanto al tiempo de acceso y las funciones que pueden ser empeñar. Sólo deben acceder, con la oportuna autorización a aquellos datos necesarios para su correcta formación y han de firmar el correspondiente compromiso de confidencialidad.

Para la realización de trabajos de fin de grado y de fin de máster la regla general debe ser el acceso a datos disociados (separados los datos identificativos de los datos clínicos).

El profesional sanitario puede utilizar los datos clínicos de pacientes con fines docentes, por ejemplo : para impartir clases, cursos, etc… siempre que no sea posible la identificación del paciente. Esto implica, no solo la separación entre datos identificativos y clínicos, sino también evitar su utilización en la medida de lo posible cuando, por las características del caso concreto, sea fácilmente identificable la persona de que se trate. Por ejemplo, con trascendencia pública, casos raros que padezcan personas o en lugares geográficamente pequeños, etc.

Esto mismo se aplicará cuando se quieran utilizar algunos datos en congresos, conferencias y similares para que se puedan utilizar datos en los que el paciente es identificable es necesario su consentimiento expreso en este extremo.

e.- Acceso con fines de salud pública y epidemiológicos

Los estudios epidemiológicos son necesarios para la prevención de los riesgos para la salud , para la planificación y evaluación sanitaria y para ello requieren el tratamiento de datos de carácter personal y sobre la salud. El acceso a la HC con estos fines se debe llevar a cabo, separando los datos de identificación personal de los de carácter clínico asistencial, salvo que el paciente haya proporcionado su consentimiento expreso para no separarlos.

Aun así, en este ámbito, podría accederse a los datos identificativos por razones de interés público como cuando exista un riesgo o peligro grave para la salud de la población(por ejemplo ante amenazas transfronterizas graves para la salud control de epidemias, enfermedades transmisibles,etc

En estos casos, deberán aplicarse garantías específicas, como que la persona que accede estará sujeta al secreto profesional y la administración debe motivar la solicitud del acceso y otros principios de protección de datos como la minimización de los datos.

f.- Acceso con fines de investigación

El acceso a la HC con fines de investigación científica, como regla general, debe hacerse con datos disociados (separados los identificativos de los clínicos) y con las garantías adicionales que se establecen en la Ley de Protección de Datos personales (Disposición Adicional 17. 2º).

Podrán utilizarse los datos de salud de personas identificadas para investigar si se cuenta con su consentimiento. Este consentimiento puede ser amplio (puede solicitarse para áreas generales vinculadas a una determinada especialidad o servicio así por ejemplo en el ámbito de cardiología, ginecológico y de la reproducción,etc.

También cuando el consentimiento se hubiera dado anteriormente para una determinada investigación y se quiera volver a utilizar los datos para una nueva investigación en un área relacionada con la anterior.

Estas reglas también serán aplicables a la investigación en salud pública y epidemiológica. Si bien, las autoridades con competencia en vigilancia de la salud pública podrán llevar a cabo estudios científicos sin necesidad de consentimiento de los interesados en situaciones de excepcional relevancia y gravedad para la salud pública ( Ej Pandemia de Covid 19).

Cuando sea necesario la para la prevención de un riesgo o peligro grave para la salud de la población, las administraciones sanitarias a las que se refiere la Ley 32/ 2011 General de Salud Pública, podrán acceder a los datos identificativos de los pacientes por razones epidemiológicas o de protección de la salud pública. El acceso deberá realizarse en todo caso por un profesional sanitario sujeto al secreto profesional o por personas y sujeta, asimismo, a una obligación equivalente de secreto previa motivación por parte de la administración que solicite el acceso a los datos.

El Reglamento Europeo de Protección de Datos y la nueva Ley Orgánica de Protección de Datos y Garantía de los Derechos Digitales establecer criterios más flexibles que la legislación anterior para promover la investigación sanitaria (AEPD)

g.- Acceso con fines judiciales

Cuando se solicite el acceso a la HC por parte de la autoridad judicial se le proporcionará a esta los datos que soliciten al proceso correspondiente, pudiendo darse el acceso a datos no disociados, cuando considere imprescindible la unificación de datos identificativos y clínico asistenciales.

No obstante solo debe darse acceso a los datos imprescindibles para el caso de qué se trate, evitando comunicar otros datos del propio sujeto, o de terceros que no sean relevantes para el caso. A estos efectos, el órgano judicial debería tener en cuenta la necesidad o no de conocer datos que obren en la HC y que no tengan relación directa con el asunto a resolver. Así como por ejemplo como si se trata de un procedimiento de responsabilidad profesional médica de traumatología, nada tiene que si además tiene datos correspondientes a psiquiatría.

En resumen, deberá ponderarse por parte de la autoridad judicial la pertinencia o no de acceder incorporar al expediente judicial la HC completa de una persona.

h.- Acceso por autoridades administrativas

Al margen del acceso con fines epidemiológicos o de salud pública a los que se refiere la legislación sanitaria, las autoridades administrativas solo pueden obtener datos de la HC cuando cuente con el consentimiento del titular o asi esté previsto en una norma legal de modo específico.

Así, por lo que se refiere a la Dirección General de Tráfico (DGT) ni la regulación general de Protección de Datos ni la de la autonomía del paciente contemplan medida alguna al respecto, sin que tampoco se establezca la normativa vigente en materia de circulación de vehículos a motor. En consecuencia, no se puede ceder a las autoridades administrativas los datos personales relativos a la salud, salvo consentimiento de la persona afectada de modo expreso.

En relación con las actuaciones de la Agencia Estatal de Administración Tributaria, existe una obligación legal de proporcionar datos, informes, antecedentes y justificantes con trascendencia tributaria es decir relacionados con el cumplimiento de sus propias obligaciones tributarias o deducidos de sus relaciones económicas profesionales o financieras con otras personas. Sin embargo, esta obligación no se extiende a los datos de salud. De modo que en el caso que se requiera el acceso a la HC, será necesario eliminar la identificación de su titular.

Resumiendo – los profesionales que accedemos a la HC – seamos profesionales sanitarios o no – tenemos SIEMPRE obligación de secreto – que no decae, aunque cambiemos de lugar de trabajo. La obligación de secreto es compartida por todo el personal de los centros asistenciales.

Imagen freepik

Fuentes http://www.aepd.es

¿Quién tiene legitimación para tratar los datos personales en la asistencia sanitaria ?

Hace 15 días hablamos de datos en el ámbito asistencial y su concepto. Hoy a fin de contestar a las consultas de otros profesionales sanitarios y no sanitarios – avanzamos un poco más.

¿Quién debe solicitar el consentimiento para el tratamiento de los datos o cómo hacerlo ; o que hacer en el caso de menores ?

El tratamiento de datos personales – incluidos los de salud – es cualquier operación que podamos realizar con los datos: recogida, utilizarlos para prestar un servicio, el acceso a los datos; su extracción, conexión o intercomunicación o cesión a un 3º, la publicación de los datos, su conservación, modificación o supresión.

¿Debe el profesional sanitario solicitar consentimiento a los pacientes para el tratamiento de sus datos personales?

Debemos diferenciar el – Consentimiento Informado para una actuación sanitaria (CI) – que se rige por la normativa básica sanitaria – Ley 41/2002 – del consentimiento para el tratamiento de los datos personales – al que le son aplicables la normativa general de protección de datos.
Únicamente hablaremos de estos últimos. El tratamiento de los datos de un paciente puede basarse en dicho consentimiento como en otras causas prevista en una ley.

1.-Por ejemplo – cuando el tratamiento es necesario para fines de medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, un diagnóstico médico, la prestación de asistencia o tratamiento sanitario o social gestión de los sistemas y servicios de asistencia sanitaria o de servicios sociales, sobre la base de la legislación correspondiente o en virtud de un contrato con un profesional sanitario. Los datos deberán ser tratados por profesionales sujetos al secreto profesional o por alguien que esté bajo su responsabilidad.

Ello incluye los estudiantes en prácticas. Debemos recordar que el concepto de secreto médico – es una obligación compartida por el equipo asistencial e incluye a todos sus miembros – sean o no profesionales sanitarios.

Aquí cabrían tratamientos de datos que se realizan cuando se presta asistencia sanitaria por parte de centros o de profesionales sanitarios públicos o privados, incluidos los socio sanitarios. También abarca las actuaciones en materia de salud laboral conforme a la normativa de prevención de riesgos laborales con un acceso limitado por parte del empresario sobre la aptitud o no del trabajador.

2.- Siempre que el tratamiento de los datos sea necesario para proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado física o jurídicamente para dar su consentimiento. Ejemplo: un accidente o emergencia cuando haya pérdida de consciencia del interesado.

3.- Cuando sea necesario para la formulación, el ejercicio o la defensa de reclamaciones o que los datos se requieran judicialmente.

Por tanto, pueden tratarse datos de salud a propósito de un procedimiento judicial en el que dichos datos sean precisos (reclamación por negligencia médica o para la modificación de la capacidad de la persona), pero también para formular reclamaciones ante órganos administrativos u otros órganos no jurisdiccionales (arbitraje o mediación).

4.- Si el tratamiento de ciertos datos es necesario por razones de interés público en el ámbito de la salud pública, en los términos establecidos en la ley, como control de las emisiones, epidemias, amenazas transfronterizas etc. Recuerden el Covid – 19¡

5.- Cuando se realice con fines de investigación científica de archivo en interés público o estadísticos en los términos que se establecen en la ley.

En lo expuesto en los epígrafes anteriores pueden tratarse los datos de salud sin necesidad de consentimiento del interesado. Aunque será necesario informarle de determinados aspectos (por parte del profesional sanitario del hospital público o del servicio de salud correspondiente etc); entre otros de los siguientes: identidad y datos del contacto del responsable; datos de contacto del delegado de Protección de Datos cuando éste exista; fines del tratamiento de los datos asistencia sanitaria investigación u otros y su base legítima (prestación de asistencia sanitaria, protección intereses vitales, etc); destinatarios a quienes serán entregados los datos; plazo de conservación de los mismos; posibilidad de ejercitar los derechos reconocidos normativa de Protección de Datos o de presentar reclamación ante la Agencia de Protección de Datos que corresponda. Y sí; además, los datos no se han obtenido del propio interesado es preciso informarle de las fuentes y las categorías de datos suyos que han sido recopilados hasta el momento.

¿Cómo podemos informar al paciente de que sus datos están siendo recopilados? visualmente mediante señales o infografías, verbalmente en procesos de atención telefónica o por escrito. En todo caso es fundamental que la información sea veraz de fácil lectura y comprensión aquí les dejo una guía modelo de cláusula informativa de la AEPD.

Respecto a la información que se facilita al paciente – la Ley 41/2002 de Autonomía del Paciente incluye un capítulo sobre el respeto a la autonomía que contiene una serie de informaciones garantías y derechos que tiene el paciente desde la perspectiva sanitaria y también señala que con carácter general el tratamiento de la información de esta perspectiva sanitaria se basa en su consentimiento.

Sin embargo, en lo que se refiere al tratamiento de los datos personales del paciente puede haber legitimaciones distintas de su consentimiento para el tratamiento de sus datos e informaciones específicas sobre los mismos. Por ello, con el fin de evitar confusiones respecto a la toma de decisiones sobre los derechos de autonomía del paciente y sobre todo sus datos personales: la información relacionada con estos últimos debería facilitarse de forma diferenciada y posterior a la que se haya facilitado respecto a la toma de decisiones sobre la autonomía del paciente.

En otras actuaciones, como puede ser el envío de publicidad, o el ofrecimiento de servicios no programados ( ejemplo: revisión dental en una clínica que ya fui atendido) o similares debe buscarse una legitimación específica como puede ser el consentimiento o también el interés legítimo del profesional sanitario de la clínica siempre que se le haya informado sobre esta posibilidad, esté dentro de las expectativas razonables del paciente recibir la publicidad y garantizar que puede oponerse a su recepción en cualquier momento.

Los menores de edad y a partir de cuándo pueden prestar consentimiento ellos mismos para el tratamiento de sus datos

El tratamiento de los datos de un menor de edad únicamente podrá fundarse en su consentimiento cuando sea mayor de 14 años (art. 7 Ley 3/2018).

El consentimiento para las actuaciones sanitarias que lo exijan debe ser informado y por escrito. Ya hemos comentado que para el tratamiento de datos personales con la finalidad de prestar asistencia sanitaria no es preciso solicitar el consentimiento del paciente, pero sí es obligatorio informarle sobre el responsable del tratamiento la posibilidad de ejercer sus derechos, las finalidades del tratamiento y todas las informaciones exigidas en el art. 13 Reglamento General de Protección de Datos. Si se facilitase esa información por escrito, es recomendable que vayan separadas la hoja de consentimiento (CI) dirigida al paciente – de la hoja de información referida al tratamiento de sus datos personales.

¿Pueden tratarse los datos con finalidades distintas a la asistencia sanitaria?

Si los datos se han recabado en el marco de asistencia sanitaria y se han incorporado a la historia clínica (HC) su finalidad principal será la de facilitar dicha asistencia sanitaria.

No obstante, la ley permite en ciertos casos el tratamiento de datos incorporados a una HC con otros fines: judiciales, epidemiológicos, de salud pública, de investigación o de docencia.
La regla general en estos casos será la separación de los datos identificativos del clínico asistenciales – en otro post trataremos este aspecto en el acceso a la HC.

El tratamiento posterior de los datos con fines de investigación científica incluida la investigación de salud podrá llevarse a cabo conforme lo establecido en la norma sectorial basado en el análisis que el propio responsable ha de realizar con relación a la compatibilidad de fines y la aplicación de las necesarias medidas y garantías para la aplicación del principio de minimización.

En particular para la utilización de datos en materia de investigación de salud debe tenerse en cuenta lo previsto en la propia Ley 3/2018 Orgánica de Protección de Datos – Disposición Adicional 17º.

^{Fuente de la información AEPD
Imagen Freepik}

BigData sanitario y dignidad personal

Los datos masivos están presentes cada vez más en nuestras vidas, y sin embargo apenas nos damos cuenta de sus aplicaciones. Cuando empiezas a conocer cómo funcionan, qué posibilidades se abren y cómo se están usando ya, no puedes dejar de verlos en todas partes, o mejor dicho, en muchos sitios donde no te imaginabas. Y te preguntas también por sus usos futuros.

Viktor Mayer-Schönberger es profesor de regulación y gestión de internet en el Internet Institut de la Universidad de Oxford, y uno de los expertos más reconocidos internacionalmente en el mundo de los datos masivos. Su último libro es «Big data, la revolución de los datos masivos», que escribió conjuntamente con otro experto, Kenneth Cukier, editor de datos de The Economist. Big Data, A Revolution That Will Transform How We Live, Work, and Think puede leerse online en su versión en inglés.

En este ensayo hacen una muy buena introducción al mundo del big data, un concepto del que se oye mucho pero se explica poco. De esta obra, el mismo Lawrence Lessig ha dicho que «cada década hay un puñado de libros que cambian la forma en la que ves todo. Este es uno de ellos».

Los datos masivos proceden de múltiples fuentes de información, derivados de diferentes contextos, tales como los financieros, la informática de negocio, el ocio, las redes sociales y las redes laborales, las ciencias ambientales y también la salud. En este último ámbito existen múltiples fuentes de información derivadas de la medicina asistencial, la genómica, la biología molecular, la clínica, la epidemiología y la salud pública, entre otras. Vamos a ceñirnos a estas últimas.

La investigación en salud pública y en epidemiología tiene por objetivo conocer la salud de la población y sus determinantes. Los posibles beneficios de los big data en la investigación en este campo son el uso de diversas fuentes de información y la rapidez en el análisis.

Itziar de Lecuona, subdirectora del OBD, asegura que el big data ha supuesto un cambio de paradigma: pasar del dato médico personal a un conjunto de datos y de bases de datos que se pueden correlacionar, que incluyen información sobre la salud pero también datos económicos, familiares o laborales que permiten predecir patrones de comportamiento y que, si no están bien utilizados, pueden acabar empleándose no sólo para hacer negocio sino para discriminar a determinados colectivos de personas.

“Los datos de salud son muy preciados; para bien y para mal generan mucho dinero; pueden hacer avanzar la investigación en beneficio de la colectividad, son útiles para predecir determinadas epidemias o los efectos secundarios de determinados medicamentos; pero que una persona tenga predisposición al alzheimer también interesa al banco, a la aseguradora o al sistema sanitario, y puede afectar a los productos o los servicios que están dispuestos a dar a esa persona o a sus descendientes”,

Estas son algunas de sus afirmaciones en esta magnífica entrevista  en La Vanguardia, que contiene un video de 25 minutos que merece la pena¡

Es preocupante que algunos sistemas sanitarios, como el nuestro, hayan establecido que –  por defecto y de no manifestar la negativa expresa –  todas las personas son donantes de datos, y por tanto su historial médico puede ser compartido por todo el sistema sanitario público y su información cedida, cruzada o reutilizada para investigar. Investigar puede ser una opción para el uso de los datos , pero ¿ investigar qué o para quién?

El actual modelo de análisis de datos de salud que configura el programa Padris aprobado por la Generalitat no garantiza la protección de datos porque no puede controlar qué acuerdos con instituciones privadas pueden tener los investigadores públicos que acceden a ellos y porque se basa en que los datos se utilizan anonimizados, a pesar de que está demostrado que cualquier hacker es capaz de reidentificarlos en varios pasos.

Argumento de autoridad  y conflicto de intereses

A Lecuona no le preocupa tanto que no nos pertenezcan del todo si están a buen recaudo, protegidos por un Estado responsable que haga un uso adecuado de ellos para, por ejemplo, hacer avanzar la investigación científica. ¿Con que fines se utilizan los datos? Lecuona explica como los datos se obtienen en base al principio de solidaridad de los pacientes, que ceden sus datos para avanzar en la investigación de las enfermedades. Resulta pues que la ciencia es el argumento de autoridad del sistema sanitario para utilizar los datos, pero mantienen la integridad científica los investigadores y el sistema?

¿Hacen los investigadores sus declaraciones de conflicto de intereses? recientemente se publicó como uno de los oncólogos de reconocido prestigio no lo había hecho y las consecuencias de todo ello.

La presión del mercado para hacerse con el control de estos datos es muy grande y Lecuona sospecha que más de uno de nosotros los vendería al mejor postor si pudiera disponer de ellos de forma exclusiva.

Estas cuestiones abonan un debate ético de gran calado, así en el Congreso de Deontología del año pasado el Dr. Rodríguez Sendín señaló respecto a los conflictos de intereses que «la innovación biomédica hoy por hoy se ha convertido en el mecanismo más perverso de transferencia de dinero público a bolsillos privados que existe”, con cierta frecuencia a cambio de nada o de sufrimiento. «Algunos médicos son unos títeres peligrosos en manos de intereses financieros fuertes que marcan lo que la profesión médica tiene que hacer, se han dejado deteriorar moralmente por intereses ajenos a nuestra profesión, mientras que otros lo hemos permitido con nuestro silencio y pasividad» incidió.

En el ámbito de la salud pública y la epidemiología también inquieta le conflicto de intereses

Gloria Pérez explica en referencia a la salud pública como la regulación europea prevé la protección de los datos personales, entre los que se encuentran los de la salud de la ciudadanía. Sin embargo, existen países donde la normativa puede ser más laxa o inexistente, y donde obtener estos datos puede ser más fácil. Por otro lado, la dependencia económica de los países de renta baja imposibilita que ejerzan la soberanía sobre sus datos frente a los países de renta alta. A lo anterior cabría añadir que en la mayoría de los casos es difícil que los resultados de las investigaciones reviertan en la población que los ha originado, debido a la inestabilidad política, la corrupción, la pobreza y la precariedad de los sistemas de salud y del acceso a las nuevas tecnologías. Los avances científicos que se deriven de esas investigaciones deberían mejorar la salud y los determinantes de la salud de la población en esos países.

Lecuona en relación al Big Data y al reciente RGPD 2016/679  manifiesta una sola frase el resumen de este debate deontológico “proteger a las personas es proteger sus datos”. Nuestra dignidad está en estos datos. Pero los datos son lo que nosotros somos o hacemos, pero no nos pertenecen……¡¡ Una vez están en la nube, escapan de nuestro control , por ello es esencial la regulación legal de la protección sobre nuestros datos ¡ Cuando clicamos en la casilla de cualquier formulario que nos presentan por internet hemos de ser conscientes de ello y reflexionar a quien y para que cedemos nuestros datos  ¡¡¡

Los datos de un menor en prensa

 

Hace unos días apareció publicada por La Vanguardia el miércoles 4 de julio, en la cual se pueden leer dos informes médicos completos extraídos de la historia clínica de un menor de 6 años, paciente al Hospital Materno – Infantil de San Juan de Dios.

De la documentación contenida en la noticia periodística se observa el nombre completo del menor, su edad, sus circunstancias familiares y sociales, todos los datos clínicos del diagnóstico, así como del tratamiento terapéutico del menor, el número de historia clínica y el nombre, apellidos y firma de los profesionales médicos que le han asistido en el centro hospitalario.

La información se ilustra incluso con fotografías del menor, en que se aprecia su rostro.

Más

¿Quién debe cumplimentar la historia clínica ?

Los defectos en la cumplimentación de la historia clínica (HC) impone la responsabilidad al centro sanitario y a los profesionales que intervengan directamente sobre el paciente. La HC es una prueba pre constituida, porque se configura y redacta con carácter previo al procedimiento que se inicia posteriormente ante los tribuales.

Más