Agencia de
Protección de Datos avisa a hospitales que deben mejorar la calidad y
confidencialidad de datos de pacientes
MADRID, 26 Sep. (EUROPA PRESS) - La Agencia Española de
Protección de Datos (AEPD) ha publicado el 'Plan de Inspección Sectorial de Oficio
realizado a Hospitales Públicos' en el que, entre otros aspectos, se avisa de
la necesidad de que estos centros sanitarios públicos, gestionados de forma
directa o indirecta, mejoren la calidad y confidencialidad de los datos que
manejan sobre los pacientes.
Los datos de salud se encuentran
incluidos en el Reglamento General de Protección de Datos (RGPD), que será
aplicable el 25 de mayo de 2018, entre los catalogados como 'categorías
especiales', lo que hace que su tratamiento exija garantías
"reforzadas".
Con el diagnóstico de este
informe, la AEPD, que ya lo ha presentado a las comunidades autónomas en el
marco de la Subcomisión de Sistemas de Información del Sistema Nacional de
Salud, ofrece un "punto de referencia" para que el sector sanitario
aborde la adaptación de sus sistemas y procedimientos a los nuevos
requerimientos que impone el RGPD.
En concreto, el informe está
centrado en la auditoría de los aspectos en los que se detectaron carencias en
los planes de inspección realizados en 1995 y 2010 y, especialmente, en las
medidas de seguridad implementadas.
Para ello, se han auditado hospitales que, partiendo de una
situación de historia clínica en papel, la han transferido a formato
electrónico; hospitales que conservan todavía la historia clínica en papel y
que están inmersos en procesos de automatización, y hospitales que cuentan con
historia clínica electrónica desde su creación.
Entre los servicios hospitalarios inspeccionados se
encuentran: Admisión, Urgencias, Consultas Externas, Anatomía Patológica,
Unidad de Cuidados Intensivos, Laboratorio de Análisis Clínicos, Farmacia
Hospitalaria, Departamento de Informática, Atención al Paciente, Servicios
Sociales y Biobanco.
De esta forma, y aunque se constata una tendencia "en
general favorable" a la progresiva asunción de la normativa y de los
principios y cultura de la relevancia que tiene el tratamiento de los datos en
el sector sanitario y la debida protección que tienen los mismos.
No obstante, la agencia ha constatado que, respecto a la
confidencialidad de los datos, en la mayoría de los centros inspeccionados no
se pide al paciente el DNI junto con la tarjeta sanitaria, lo que provoca que
se den "casos de suplantación de identidad".
Y es que, aunque la agencia reconoce que hechos así son
"muy escasos", pueden suponer un "alto riesgo" para la
salud de los enfermos, ya que la información contenida en la historia clínica a
la que se accede con la tarjeta sanitaria presentada no corresponde a la
patología del paciente.
Asimismo, se ha comprobado que varios de los hospitales
analizados no hay carteles informativos en las áreas donde se recaban datos de
los pacientes (por ejemplo, en Admisión o Urgencias), no informándose tampoco
verbalmente o por escrito sobre los derechos de protección de datos de los
pacientes y usuarios del centro.
"Si bien algunos centros hospitalarios sí disponen de
carteles informativos sobre los derechos de los pacientes a ser informados,
estos no recogen todos los aspectos previstos en el artículo 5 de la Ley
Orgánica de Protección de Datos (LOPD), al estar más alineados con la ley
41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y
de derechos y obligaciones en materia de información y documentación clínica, o
al tener referencias obsoletas, por ejemplo a la Agencia de Protección
de Datos de la Comunidad de Madrid", ha alertado el organismo en el
informe.
MEJORAR LA INFORMACIÓN SOBRE LOS ENSAYOS
CLÍNICOS
La información sobre los ensayos
clínicos también debe de mejorarse o, al menos, así lo considera la AEPD, tras
constatar en los contratos con el investigador principal no se especifican
aspectos "importantes" como la prohibición de tratar los datos
personales de los sujetos para otras finalidades; qué ocurre con los
datos al acabar el ensayo; las medidas de seguridad aplicables; así como la obligación
de que en las publicaciones de los resultados deba mantenerse la anonimización
de los datos.
"Sería recomendable que en el contrato se incluyera la
prohibición de tratar los datos personales de los sujetos para otras
finalidades distintas a la investigación. Asimismo, sería recomendable
especificar qué ocurre con los datos al acabar el ensayo, las medidas de
seguridad a aplicar a los datos, y la anonimización de los datos necesaria en
las publicaciones de los resultados. El compromiso de confidencialidad debe abarcar
sin excepciones toda información que contenga datos personales de los sujetos
participantes", ha aconsejado la agencia.
Del mismo modo, se han encontrado
consentimientos informados por parte de los pacientes con información
"confusa" con respecto a los tratamientos, refiriéndose, por ejemplo,
expresamente a datos de salud asociados a datos identificativos, y a que
el personal del estudio estará autorizado a revelar esa información a
diferentes actores, entre ellos el promotor. Sin embargo, posteriormente, en el
cuerpo del documento se indica que los datos comunicados al promotor son
"codificados".
También se han encontrado "imprecisiones" como, por
ejemplo, que se mantendrá la confidencialidad de los datos "siempre que no
sean imprescindibles para el desarrollo del proyecto". Por ello, la agencia
ha aconsejado que la información que se facilite a los participantes en un
ensayo clínico sea lo "más clara posible y sin ambigüedades".
"Deberá informarse asimismo de las consecuencias
especiales de la salida voluntaria del sujeto del ensayo clínico (al revocar su
consentimiento) y, en su caso, que los datos recogidos hasta la fecha serán
conservados para no desvirtuar la investigación, si bien no se tratarán ni
recogerán más datos después de la retirada del consentimiento. Por último, se
deberá informar al sujeto sobre la publicación de los resultados de la investigación.
En caso de que no sea posible la publicación sin
datos identificativos del sujeto, éstos solo podrán ser publicados cuando haya
mediado el consentimiento previo y expreso del sujeto", ha detallado.
Para la Agencia Española de
Protección de Datos los hospitales públicos también deben reforzar sus medidas
de seguridad, potenciando con carácter general los mecanismos de control de
acceso. Además, subraya la importancia de preguntar al paciente si desea que su
presencia y ubicación en el hospital sea comunicada a las personas o familiares
que pregunten por ello y, si éste no se opone, el hospital informe si se
encuentra en Urgencias o ingresado y el número de habitación, pero nunca sobre el estado de salud o la atención médica
prestada.
Finalmente,
el plan va acompañado de un decálogo básico en el que se aconseja tratar los
datos de los pacientes como le gustaría que se tratasen los suyos propios;
acceder a la historia clínica sólo por requerimiento del trabajo; no dar
información a terceros salvo que haya una justificación lícita o el paciente lo
haya consentido; cerrar la sesiones de los ordenadores; no enviar información
con datos de salud por correo electrónico o por cualquier red pública o
inalámbrica y, en el caso de tener que hacerlo, cifrar los datos; no tirar
documentos con datos personales a la papelera; cerrar con llave los armarios
que contengan documentación clínica; y no crear por cuenta ajena ficheros con
datos personales de pacientes.
Fuente documental:
http://www.infosalus.com/actualidad/noticia-agencia-proteccion-datos-avisa-hospitales-deben-mejorar-calidad-confidencialidad-datos-pacientes-20170926132051.html
No hay comentarios:
Publicar un comentario