Informatización y privacidad

Informatización y privacidad

Principio

Toda la información, referente a una persona objeto de un Sistema Sanitario, queda reflejada en documentos en soporte papel o electrónico. En esta documentación, hay parte significativa y otra no. El propietario único de esa información es el paciente. Se trata de acceder inteligentemente, con seguridad y confidencialidad a una información que es sensible.

Bases

La LODP (Ley Orgánica de Protección de Datos de carácter Personal de 13 de Diciembre de 1999) en España, la Directiva 95/46/CE del Parlamento Europeo de 24 de Octubre de 1995 y, entre muchas otras, las enmiendas del Parlamento Federal Alemán de 3 de Julio de 2009 a su Ley de Protección de Datos, la HIPAA (Health Insurance Portability and Accountability Act) americana, PHIPA (Personal Health Information Protection Act) canadiense, la DPA (Deutsche Protection Act) alemana y la DPA (Data Protection Act) del Reino Unido señalan, todas, lo siguiente:

  • Los datos sobre la salud de las personas es materia sensible, confidencial y reservada sobre la que tiene propiedad exclusiva la persona concreta sobre la que recae esa información.
  • Cualquier dato que pueda atentar contra las libertades fundamentales o la intimidad, no debe ser objeto de tratamiento informático alguno salvo con autorización explícita del interesado. (Art. 33 de la Directiva Europea).
  • En los exámenes de salud para ingreso en las Empresas (Health checks), las evaluaciones médicas se realizarán bajo consentimiento y sólo si son necesarias para determinar la capacidad del empleado para realizar sus tareas específicas. (Federal Data Protection Act, alemana).
  • El responsable de la custodia y tratamiento de datos en el ámbito sanitario es el Centro y, supuesta la cadena Centro-Médico-Paciente, a cada uno corresponde un papel:
    • Al Centro: custodia física, inviolabilidad y responsabilidad sobre el tratamiento informático de datos.
    • Al Médico: acceso, cuando actúe explícitamente como depositario de la confianza del Paciente.
    • Al Paciente: ser poseedor del derecho de acceso a sus propios datos que podrá transmitir a Centros o Médicos con autorización expresa, convirtiéndolos, entonces, en “Responsables del tratamiento de datos“.

Todo esto es fácil de decir o legislar pero casi imposible de cumplir en la práctica, como se verá. No obstante, demostrado un incumplimiento y llevado a los Tribunales de Justicia, puede llevar a gravísimas penas que acaben con la vida profesional de los implicados y/o cárcel según el alcance de los perjuicios causados.
En el Reino Unido, con efectos desde 6 de Abril de 2010, el Commissioner Officer tiene potestad para aplicar multas de hasta 500.000 £ y proponer cárcel por “revelar datos tanto por negligencia como por mala intención” lo que afecta tanto a los individuos como a la organización a la que pertenezcan.

Albert Oriol jr. es el Chief Information Officer del Rady Children’s Hospital de San Diego (cargo también llamado Privacy and Data Security Officer), afiliado a la Universidad de California San Diego Medical School. Ha escrito un libro-informe de reflexiones personales que tratan de lleno el tema de la informática sanitaria. Es el i-wonder de Albert Oriol. Son 100 páginas que recomiendo encarecidamente a quién quiera saber más. El lector lo encontrará en: i-wonder

Albert me ahorra trabajo y además da innumerables pistas y enlaces para todos aquéllos que aún quieran saber más, en una selección que sólo puede hacer el que sabe más.

En general se considera información sensible respecto de una persona individual, que es la que hay que proteger, la referida a lo siguiente:

  • El origen étnico o racial.
  • El posicionamiento y opiniones políticas.
  • Las creencias religiosas o de similar naturaleza.
  • La pertenencia a un determinado Sindicato.
  • El estado físico o mental.
  • La vida sexual.
  • La comisión de delitos.
  • Cualquier procedimiento judicial por un delito cometido o presuntamente cometido, la custodia de esos procedimientos o las sentencias judiciales en relación con dichos procedimientos. (Punto éste, propio de Gran Bretaña y que difiere de otros países que consideran documento público tanto el contenido de este apartado como el anterior)

No trataremos en este artículo de los inmensos beneficios que está ya aportando la informática a la medicina y sí sólo a los aspectos de privacidad en el manejo de datos médicos de un paciente.

Tema importante pues, que trataremos de matizar en la siguente sección.

Instrumentación
  • La documentación médica depositada en los Hospitales y Centros Sanitarios en general, es vulnerable siempre, salvo que el Centro en cuestión tenga conciencia de lo que se trata, desarrolle procedimientos y que éstos se vean reflejados en el presupuesto del Centro ya que ello implica también costos y contratación de personal especializado. Cada vez más Hospitales en EEUU disponen de departamentos que velan por la confidencialidad de los documentos clínicos amén de su calidad. A parte de las razones éticas, hay la amenaza constante de las posibles querellas criminales.
  • Toda información contenida en una Historia Clínica es útil en la medida en que pueda ser utilizada y ello requiere:
    • Que esté estructurada.
    • Que sea de calidad.
    • Que sea amigablemente accesible.

Y ello se da en Centros cuyas organizaciones sean médicamente Auditables o Acreditadas, en que las responsabilidades de los autores sean trazables y visibles.

  • Con lo anterior queremos decir que informatizar una Historia sin haber procedido previamente a un proceso reflexivo que siga los siguientes pasos:
  1. Una Historia bien hecha con claras trazas de quienes la han escrito y en que todos los documentos sean coherentes y se soporten mutuamente. Estos documentos incluyen las observaciones de las enfermeras y las interconsultas además de un sin fin de registros e informes.
  2. Un proceso depurando lo superfluo de lo significativo.
  3. Un responsable que valide los datos y los codifique.
  4. Un Sistema Informático concebido para obtener información pre-determinada, válida y objetiva que redunde en el perfeccionamiento del Sistema, de la salud y de la ciencia médica en general. La mayor parte de la información procede de documentos originales digitalizados.
  5. La garantía de seguridad.

Se corre el riesgo de informatizar el caos y la información puede llegar a ser más perjudicial que beneficiosa tanto para el paciente como para la ciencia.

  • Informatizar una Historia Clínica es un proceso lento y cuidadoso. Horroriza pensar en procesos de digitalización masiva sobre documentos no digeridos que luego puedan pasar a un chip de la Tarjeta Sanitaria al alcance de cualquier quídam (quídam en el sentido literal).
  • Un experto, actuando sobre los soportes y estructuras informáticas actuales de los Hospitales españoles, no puede entrar datos con sentido, en un sistema informático, en menos de dos horas y si es honesto tendrá que advertir sobre informes y dictámenes no firmados. Por lo tanto también es responsabilidad de ese médico con formación informática y amplios conocimientos, recabar y validar la información correcta y recuperar la constancia de responsabilidades. Esto tampoco podrá hacerlo en menos de una semana. Ilusorio por tanto, partiendo del país occidental más atrasado en TIC sanitarias, poner fecha razonable a la terminación del proceso. Algo parecido a lo que hizo un querido Ministro, que fue quien más hizo por la Salud en este país, pero que tuvo la debilidad de prometer higiene dental para todos. Otra cosa es controlar la dispensación farmacéutica que es una mínima parte de una Historia Clínica. Pero también hay que decir que incluso las recetas médicas, en que se basa la dispensación, son material sensible ya que por ellas se llega fácilmente al diagnóstico.
  • A la clase médica se la califica, en general, de tecnófoba. Al menos a la que ha sido sometida a procesos de educación clásicos. Parece incomprensible cuando precisamente maneja a diario los procedimientos más avanzados, expresión de la más alta tecnología.
  • Traemos el comentario anterior a colación porque el tema está en la base de poder llegar algún día a una correcta informatización del quehacer médico. A parte de la voluntad, tampoco hay los medios. No sólo aquí, léase a Albert Oriol y se verá que en todas partes cuecen habas. Siempre hay empresas importantes, incluso la más importante, que ofrecen digitalizaciones masivas y Ministerios que las contratan. La más grande y seguramente la más responsable, como se dirá en otro lugar, ha decidido interrumpir su labor en este campo por la tecnofobia mencionada y por las resistencias internas de los Centros amén de una confidencialidad no garantizable.
  • En la viñeta hemos ejemplarizado un médico trabajando con un iPad o instrumento semejante, plasmando información, sin bolígrafo, en un soporte que podrá transferir a la Base de Datos. Esto exige orden mental desde la infancia y saber que lo que se escribe es para que lo entiendan, sin dudas, otros y que además, el sistema informático ha de impedir toda entrada en la Base que no vaya firmada. El DNI con posibilidad de firma digital es ideal para esto, pero hay que dimensionar el hardware para que pueda hacerse fácilmente desde todos los puntos asistenciales. Desde la Historia de Laín Entralgo o la que nuestros Maestros del siglo pasado nos enseñaban, en que se llegaba a aconsejar que la mejor Historia Clínica es la que se escribe sobre papel en blanco a tenor del flujo de nuestras observaciones y pensamientos, a la de hoy, hay un largo trecho.
  • La Historia Clínica de hoy la escriben muchos autores. La mayoría, exceptuando médicos responsables y enfermeras, la escriben personas que jamás han visto ni verán al paciente, salvo la presencia instantánea en los procedimientos de registro. Alguna de esas aportaciones al proceso asistencial poseen un vigor tal que puede hacer tambalear todo el diagnóstico y tratamiento. En la Historia de hoy hay que saber conciliar toda esa información buscando la coherencia y si no existe, en que fallaría todo aquello de la Medicina basada en la Evidencia, no es para descorazonarse, al contrario, es para destacar la incoherencia que puede tener un gran valor en sí porque el Gran Libro de la Medicina se está escribiendo.
  • Lo que no es soslayable ni evitable es la responsabilidad del médico concreto encargado de un paciente concreto para tomar decisiones últimas que no se pueden escudar ni en consejos de un comité ni en un informe discrepante.

Imagínese, por tanto, lo difícil que es informatizar un tema tan complejo en que, si la Base de Datos está bien diseñada, nos irá obligando a someternos a una disciplina que redundará en beneficio de todos. Es como la arquitectura de un Hospital, que si está bien diseñada nos obliga a portarnos bien.

  • Lo más probable en un tratamiento de datos confidenciales irresponsable, es que se le pida al paciente, como procedimiento rutinario al inicio de la asistencia, una autorización general que abra los archivos a todos para siempre. Esto puede pasar tanto en el Sistema público como en el privado. El paciente, que, en nuestro ambiente, no es consciente ni de sus derechos ni del alcance de una intimidad violada, dará su consentimiento. Es una variante de lo que ya ahora ocurre en los mejores hospitales de EEUU al pedirle al paciente que autorice una retahíla de procedimientos con las correspondientes exoneraciones en que constan todos los procedimientos o actos que han sido objeto de sentencias judiciales desfavorables a médicos u Hospitales en el Distrito Judicial correspondiente. Son varias páginas en letra pequeña que el paciente no lee, pero actuaría igual leyéndolo porque está bajo la coacción de quien le ha de salvar la vida.

    Lo que trato de decir es que la confidencialidad no cesa por el hecho de que el sujeto paciente renuncie a ella, con o sin autorización. La ética profesional está por encima.
    En la práctica, el sistema viciado de autorizaciones dura hasta que caen las primeras sentencias que alarman al Sistema y a la confianza pública.

  • Que la autorización del paciente llegue a permear todo el Sistema y en cualquier momento, sin más, será lo normal. Un médico remoto que desconoce al paciente inconsciente ha de poder saber rápidamente si se encuentra bajo tratamiento anticoagulante o incluso si es VIH positivo.
  • El acceso a la información tanto si ésta se encuentra en un chip de la Tarjeta o en una Base de Datos remota, ha de estar sujeto a unas contraseñas secretas que sólo el paciente ha de conocer, igual al sistema de identificación bancario. Y, si el paciente está inconsciente, el acceso ha de ser posible previa identificación digital del profesional que a partir de ese momento asume la responsabilidad de la confidencialidad. Todo esto es difícil y uno de los factores es el porcentaje de personas incapaces de retener las contraseñas o de llevarlas consigo.
  • La información médica sobre pacientes tiene dos vertientes, la individual para una asistencia médica y la colectiva. La primera exige todas las precauciones y es de uso biunívoco médico-paciente. La segunda, borrada la identificación del paciente, debiera ser pública y de ella poderse derivar importantes estudios que al incidir sobre los 500 millones de europeos tendría un valor incalculable si la Base está bien diseñada. Imagínese la diferencia entre tener información sobre un caso de tularemia o de 30.000. Más allá de lo que ningún estudio publicado o presentado a un Congreso médico podría hacer.
  • La base del éxito o fracaso reside en el nivel de cultura de la población para estas materias y del grado de informatización responsable.
  • No se trata, en absoluto, de poner o sugerir problemas pero cuando en Marzo de este año (2010) en el World of Health IT Conference, celebrado en Barcelona, la Vicepresidenta de la Comisión Europea, Neelie Kroes, dice que en 2015 el historial y la receta electrónica integrados circularán por todos los países europeos no deja de producirnos un alto grado de perplejidad viniendo la declaración, como viene, de una persona con un curriculum vitae impresionante. Una lista inacabable de méritos informáticos en la actividad empresarial, honores y premios. Es natural que las miles de Empresas informáticas que pretenden vender producto se sientan felices ante tamaño mercado. Y no estará de más recordar lo que nos dice John Glaser, CEO del Mass. General Hospital, en que se avanza muy lentamente en la informatización hospitalaria por resistencias dentro de las propias organizaciones hospitalarias, es decir “bajo grado de implantación de las TICs en los archivos médicos electrónicos, petitorios computerizados, sistemas de ayuda a la toma de decisiones clínicas, etc.” EEUU lleva muchos más años que Europa y aún hoy uno de los hospitales más avanzados, el Mass. General, piensa así y “ello no se debe tanto a una falta de visión, sino a la dificultad de vencer las resistencias internas”.
  • Pero mi obligación, en este artículo, es recordarle que lea todo lo anterior y se informe de que ningún hospital del mundo se informatiza correctamente en menos de 5 años, que el 90% de los hospitales europeos no están informatizados correctamente ni tienen recursos formales para hacerlo. En España, por ejemplo, no sé de ninguno que tenga organizado y dotado económicamente un Departamento con un Privacy Data and Secure Officer (vide supra). Europa tiene la obligación de ser más seria que la OMS y mucho me temo la repetición de lo ocurrido con la Gripe 2009.
  • Otra cosa es tener los nombres, el nº de Póliza, el consumo farmacéutico y algún detalle más, de los usuarios del Sistema Público, que no es todo el sistema pero sí son todos europeos, y otra informatizar una Historia Clínica.
    Cuando nuestra Sra. Ministra nos tranquiliza diciendo que encriptará los datos y que las personas podrán bloquear previamente sus datos confidenciales creyéndose la banalidad que se haya podido proponer en una sesión de trabajo, como ocurrió con el malogrado Ministro Ernest Lluch, de que la población pueda llegar a hacer esto cuando justo salimos del analfabetismo, es, por lo menos, distante de la realidad posible. Para que ambas, Vicepresidenta europea y Ministra española, reflexionen, además de lo ya dicho sobre cómo se construye una Historia Clínica, les recordaré lo declarado en dicha Conferencia por autoridades indiscutibles:

    • Jonathan Edwards, se congratuló de que, por fin, los Ministros reconocieran públicamente la importancia de la e-health.(Electronic Health)
    • Martin Denz, recordó que nada puede hacerse si no se empieza a nivel regional y local.
    • Ilias Iakovidis, urgió a tomar pasos concretos hacia la interoperatibilidad y los temas de mercado, mientras Marc Lange recordaba que “interoperatibilidad” no significa nada para los profesionales de la salud, que, de momento, sólo entienden de colaboración, compartir información, etc. Iakovidis, además, insistió en que Europa tiene que hacer algo más que digitalizar papeles, hay que dar a los pacientes herramientas para interactuar en un entorno conectado.
    • Chuck Parker, recordaba que la “interoperatibilidad” no es problema, que el gran problema reside en la falta de conciencia tanto a nivel profesional como poblacional

¿Quien es capaz de decir que en 5 años haremos algo más que estar en posición de iniciar el camino de salvar todos estos obstáculos?
El gran Problema es de base educacional.

Tampoco puedo dejar de advertir sobre los peligros legales de difundir Historias Clínicas que, en una parte, anticipo que contienen base suficiente para sustentar pleitos y sus correspondientes demandas. Si la Sra. Ministra española y la Consejera catalana se toman la molestia de hacer que un equipo médico competente, junto a unos buenos abogados, examinen 100 Historias de casos críticos que hoy reposan en los archivos hospitalarios de hospitales públicos no acreditados (En España, público acreditado, que yo sepa, sólo hay uno el del Valle del Nalón acreditado por la Joint Commission en 8 de Julio de 2008), se llevarán una sorpresa. A la Viceministra Kroes tampoco le sobraría un vistazo sobre los hospitales europeos, el contenido de cuyos archivos médicos pretende tener visible para 1015.

Finalmente queremos insistir en que la Base ha de estar perfectamente diseñada si, como quiere Sergey Brin y el mundo médico anhela, un sólo caso o media docena, son anecdóticos pero una nueva verdad emerge cuando estudiamos masas de datos. Es lo que Jim Gray llamaba el cuarto paradigma de la ciencia. Es la verdad imposible de alcanzar sin la ayuda de potentes Bases de Datos. En quienes piensan y diseñan la Base Europea de Datos Médicos, debieran estar claros estos conceptos, si no lo están.

 

Carles Soler-Durall, Doctor en Medicina (Universidades de Madrid y Barcelona) y Doctor en Salud Pública (Universidad de Yale).

Sobre nosotros

Doctor en Medicina (Universidades de Madrid y Barcelona) y Doctor en Salud Pública (Universidad de Yale)... saber más')

Publicado en: Información detallada

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*