Expurgo radical

En un hospital de Inglaterra han descubierto una forma de acabar con los problemas del expurgo de la documentación clínica: se cogen los papeles a voleo, se llevan a la sala de destrucción de documentos y, voilà!, al cabo de unos días desaparecen y nadie los echa de menos en tres meses... 

Como el problema parece que ha surgido por la falta de espacio para archivar los diez mil registros que han desaparecido en el archivo correspondiente, el incidente también puede servir de faro y guía para resolver los recurrentes problemas de espacio que aquejan a nuestros centros sanitarios (¿Habrá pensado alguien que la información digitalizada casi no ocupa espacio?). 

Abandonando ya la aproximación humorística, estos hechos ponen de manifiesto una necesidad que a veces se olvida por parte de gestores, profesionales sanitarios y TIC y personal de administración y servicios: la gestión de lo inesperado que bien se puede asemejar a la gestión de incidencias que nos impone la legislación de protección de datos.

Nuestras organizaciones deberían de estar preparadas para dar soluciones adecuadas a los problemas que se presentan en el día a día de sus actividades y que no pueden estar previstos en los procesos de gestión habituales para lo que hay que definir canales claros de comunicación de los mismos, de responsabilidades sobre su solución y la puesta en marcha de mecanismos que, aunque sea de forma provisional, permitan conjugar la solución técnica o administrativa con el respeto a los derechos de los ciudadanos plasmados, en este caso, en la regulación de protección de datos personales.

, etc. y es la gestión dela necesidad de una formación y concienciación continua de todo el personal que presta sus servicios en el sistema sanitario y de la existencia de procedimientos claros que prevean las actuaciones que se deben realizar o a quien se debe informar cuando surge una incidencia para evitar 

La serie preferida de los hospitales americanos es... ¡Perdidos!

O al menos eso parece a tenor de las continuas noticias sobre pérdidas de datos en el sistema sanitario americano. Hoy he leído una que publicaba el San Antonio Express sobre la desaparición de registros relativos a 4,9 millones de pacientes de TRICARE, un programa de salud para militares retirados y en activo (curiosamente, muchas de los problemas de seguridad afectan a hospitales u organizaciones sanitarias militares). Esta vez el problema ha estado en que han desaparecido las cintas con las copias de seguridad de sus bases de datos con información sanitaria ¡entre 1992 y 2011! 


Aunque la noticia es impactante en sí misma y denota un importante problema de seguridad (como otros incidentes que aparecen también reseñados en la misma información) tras una primera lectura me he preguntado por qué aparecen tantas referencias a este tipo de problemas en Estados Unidos y casi ninguna que afecte a hospitales u organizaciones sanitarias españoles ¿Es que somos tan buenos que no nos pasan estas cosas? ¿Es que nuestros sistemas de seguridad están actualizados y perfectamente engrasados? ¿Es que nuestros profesionales sanitarios, TIC y administrativos están tan concienciados con la protección de datos y la seguridad que están vigilantes en todo momento? La verdad es que me gustaría contestarme a mí mismo de manera afirmativa pero como todos los datos y estudios que conozco apuntan en otra dirección me pregunto: Si en España hubiera una ley como en Estados Unidos que obligara a notificar los incidentes de seguridads ¿Nos enteraríamos de que hay más riesgos para nuestros datos sanitarios y de que se producen incidentes de seguridad con frecuencia? O, por el contrario, al tener el sistema sanitario español (y, en general, el europeo) una configuración asistencial muy diferente al americano ¿Favorece esta diferencia el que no se produzcan estos incidentes u ocurran con mucha menor frecuencia? ¿Comentarios...?

La curiosidad (aunque no sólo) mató al gato

Según una noticia publicada en la revista americana SC Magazine, el número de accesos ilícitos a información sanitaria está creciendo y una gran parte de las violaciones de la seguridad y la confidencialidad proceden de empleados curiosos a los que les gusta mirar los datos médicos de sus compañeros, parientes o amigos ¡Aunque tampoco faltan los que lo hacen con vistas a perpetrar suplantaciones de identidad! ¡El enemigo sigue estando dentro, ya sea un gato curioso o un zorro ladrón!

Las autoridades de protección de datos insisten en la necesidad de un marco integral europeo

                                                                                                                                Imagen por TPCOM (by-nc-nd)


En la Conferencia de Primavera celebrada en Bruselas, las autoridades europeas de protección de datos han vuelto a poner de manifiesto la necesidad de una aproximación conjunta y global a la protección de datos en todos los sectores, incluyendo los tratamientos llevados a cabo en el ámbito policial y judicial. Esta afirmación se produce en el marco de los trabajos previos para la revisión de legislación de la Unión Europea en este área que está llevando a cabo la Comisión Europea.


Además, esta nueva legislación deberá tener en cuenta los grandes retos a los que se enfrenta la privacidad en estos momentos y en el futuro: globalización, transferencias internacionales cada vez más habituales y, sobre todo, el gran desarrollo de la tecnología en el entorno on-line.

La Conferencia aprobó una Resolución en la que se hace referencia a todos estos temas.

Seguridad y Confianza

Para  cerrar esta serie sobre las conclusiones del VIII Foro de Protección de Datos de Salud quiero abordar uno de los temas que centró los debates del mismo: la seguridad como elemento de calidad y confianza en los sistemas de información sanitarios.

La generación de confianza entre los usuarios de la sanidad es un factor indispensable para avanzar en la implantación de las TIC en este sector. Y los tres elementos clásicos que componen la seguridad -esto es, confidencialidad, integridad y disponibilidad de la información- son las premisas básicas para conseguir sistemas informáticos de salud fiables, actualizados y eficientes para el tratamiento y la asistencia de los pacientes que acuden a los distintos centros sanitarios.

En efecto, los profesionales que participaron en el Foro pusieron de manifiesto que la disponibilidad oportuna e instantánea de la información y, en especial, de la contenida en la historia clínica, es uno de los aspectos clave para conseguir una atención de calidad y, además, dicha información debería de presentarse como un todo integral sin que fuera necesario acceder a distintos sistemas de información, cada uno de ellos con sus diferentes formatos y distintos controles de acceso, pues ello implica conocer y memorizar numerosas contraseñas y moverse entre distintas aplicaciones, lo que dificulta una visión de conjunto e impide que el médico se centre en lo realmente importante: la relación e interacción con el paciente.

Pero es, quizás, la confidencialidad de la información, esto es, que los datos solo sean accedidos por quien debe conocerlos y en el momento que resulta necesario utilizarlos, el aspecto más relevante o, al menos, el más determinante tanto para los pacientes como para los profesionales sanitarios, para conseguir una seguridad y confianza adecuadas por parte de todos los actores que intervienen en el tratamiento de la información sanitaria.

En este sentido, parece haber un claro consenso en que la tecnología necesaria para garantizar la confidencialidad y la seguridad existe y está disponible para todas las organizaciones y, al mismo tiempo, también es evidente que la tecnología por sí sola no es en absoluto suficiente. Y el reto está en conseguir que la información siempre esté disponible y actualizada cuando se requiera en cualquier acto asistencial pero de tal forma que existan los controles necesarios para evitar su acceso tanto por terceros no autorizados como por los profesionales sanitarios que no acrediten una razón válida para consultarla, exigiendo responsabilidades y aplicando las correspondientes medidas disciplinarias a los que violen la norma.

Estas o parecidas conclusiones fueron también el resultado del Foro de Debate sobre Seguridad de los Sistemas de Información Sanitarios que se celebró el pasado 31 de marzo en el Palacio de Congresos de Ávila en el marco de las Jornadas de e-Salud de Castilla y León, conclusiones que son perfectamente compatibles con los resultados del Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español que recientemente llevaron a cabo conjuntamente la Agencia de Protección de Datos de la Comunidad de Madrid (APDCM) y el Instituto Nacional de Tecnologías de la Comunicación (INTECO).

Como resumen, se afirmó que la seguridad no se puede conseguir por medidas aisladas o por la mera implantación de herramientas técnicas sino que debe haber una conjunción entre tecnología, procesos, procedimientos y formación, tal y como expresó certeramente José Luis Solla. 

Finalmente, como último punto de reflexión, debemos tener en cuenta que avanzamos de manera imparable en dos direcciones: la interoperabilidad de los sistemas sanitarios y la utilización del cloud computing para la oferta de soluciones accesibles y escalables, en muchas ocasiones formuladas no ya a las instituciones sanitarias, sino directamente a los pacientes. Y en estos dos ámbitos, la garantía de la confidencialidad, la integridad y la disponibilidad de la información es un elementos clave para poder asegurar que se resguardan debidamente los derechos de los ciudadanos cuyos datos se tratan e intercambian cada vez en mayor escala.

El mundo global y la formación

El VIII Foro de Protección de Datos de Salud nos ha dejado multitud de temas interesantes que pretendo ir desgranando en sucesivas entradas de este blog. Un ejemplo de ellos fue la mención, también en la intervención de Jesús Rubí, de los posibles problemas de supervisión y control que se dan o pueden darse en un mundo globalizado en el que se prestan servicios de salud a los ciudadanos españoles desde cualquier lugar del mundo.


En concreto, se refirió a los nuevos servicios prestados por grandes multinacionales dirigidos a los ciudadanos individuales para, por ejemplo, custodiar todos sus datos clínicos y ponerlos a su disposición o a la de cualquier profesional sanitario elegido por él. El motivo de preocupación apuntado es que en los últimos tiempos se está poniendo de manifiesto que, cuando surge un problema y la Agencia Española de Protección de Datos ejerce sus poderes para salvaguardar los derechos de los ciudadanos, estas compañías  niegan la competencia de las autoridades de control europeas para supervisarlas y controlarlas e intentan sustraerse a la misma.

En mi opinión, este es un problema real y preocupante pero intrínsecamente ligado a otro mucho más general: la carencia de un estándar de protección de datos universalmente aceptado y, sobre todo, de unos mecanismos sencillos y accesibles para que las personas que constaten la violación de sus derechos o se sientan perjudicadas por una actitud ilícita, negligente o irresponsable puedan obtener una rápida satisfacción de sus demandas, la reposición de sus derechos y, en su caso, el resarcimiento de los daños causados.


Lo que nos lleva, desde el punto de vista práctico, a la necesidad de seguir trabajando para hacer llegar a los ciudadanos los posibles riesgos asociados a estos servicios (que, en muchos casos, se presentan de una forma sumamente atractiva e, incluso, como accesibles de forma gratuita) y la posible falta de recursos jurídicos que pueden sufrir las autoridades de protección de datos para defenderlos en el caso de que haya una utilización torticera de sus datos personales o, simplemente, un problema de seguridad que los haya comprometido. 


Finalmente, no quiero acabar esta entrada sin hacer mención a otro aspecto esencial que se debatió en el Foro y que creo tiene la mayor importancia: la formación de los profesionales en sus obligaciones de protección de datos, ya que se puso de manifiesto que, en muchas ocasiones, se aborda desde una perspectiva errónea.


En efecto, los profesionales de la salud no necesitan ni tienen por qué ser expertos en protección de datos sino que han de concentrarse en su labor primaria: la atención a sus pacientes, la investigación o la docencia. Por lo tanto, han de tener una formación básica en esta materia y, luego, corresponde a los gestores de los sistemas de salud y centros sanitarios el proporcionarles las herramientas necesarias para facilitarles el cumplimiento de las obligaciones que contraen en el tratamiento de los datos personales de los pacientes y, para el caso en que tengan dudas o necesiten ayuda, definir a quién deben recurrir y establecer procedimientos claros y sencillos para acceder a estos servicios.

Hay que ponerse a trabajar ya

Se acaba de celebrar en Pamplona el VIII Foro de Protección de Datos de Salud, organizado por la SEIS en colaboración con Navarra de Gestión para la Administración, S. A. (NGA) y, entre los muchos mensajes y conclusiones que podríamos extraer del mismo, quisiera comenzar fijándome en el requerimiento que hizo Jesús Rubí, Adjunto al Director de la AEPD, en su conferencia inaugural: ha llegado el momento de pasar del cumplimiento formal de la ley (en particular, de las medidas de seguridad) al cumplimiento real y material de las obligaciones que se imponen en la misma a los responsables de ficheros.


En efecto, en estos momentos, de acuerdo con todos los informes y encuestas a las que tenemos acceso, parece que ya se ha llegado (al menos en los grandes hospitales) a un nivel, si no excelente sí suficiente, en lo que respecta a las formalidades obligadas por la ley: declaración e inventario de ficheros, documentos de seguridad, etc. pero existe todavía una alarmante falta ¿de concienciación, de voluntad, de estrategia, de medios o de una mezcla de todo ello? para invertir realmente, de una forma coherente y sistemática, en los aspectos que indiscutiblemente pueden llevar a una mejora real de la seguridad de nuestros centros sanitarios: análisis de riesgos, realización de auditorías y adopción de las necesarias medidas correctoras, nombramiento de responsables de seguridad cualificados y con una dedicación exclusiva (o, al menos, relevante) a esta tarea, exigencia de responsabilidades a los directivos, profesionales y trabajadores del sistema sanitario.


Además, el cumplimiento sustantivo debe contemplar la rigurosa puesta en marcha de las medidas establecidas en el documento de seguridad así como establecer procedimientos y mecanismos de comprobación del grado de cumplimiento de las mismas y de la implantación de las medidas correctoras necesarias. Todo ello en un proceso continuo de mejora basado en el clásico Círculo de Deming: planificación de las actuaciones, implantación de lo planificado, verificación de su funcionamiento y actuación sobre las deficiencias. 


Ha llegado, pues, el momento de actuar, si no queremos que nuestros sistema sanitario quede expuesto a merced de los embates de los delincuentes, los aprovechados, los descuidados y los necios y, aunque las autoridades de protección de datos utilizan los medios a su alcance a través de mecanismos proactivos y reactivos, no pueden ser ellas las que se pongan manos a la obra. Corresponde a las administraciones públicas sanitarias y a los responsables de la sanidad privada ponerse, ya, ahora, manos a la obra y arreglar la situación.

Y eso que los americanos no protegen la privacidad...

Es casi un lugar común cuando se habla de protección de datos -yo lo he hecho en múltiples ocasiones- contraponer la sólida y garantista legislación europea con la falta de un marco general similar en Estados Unidos. La conclusión a la que se suele llegar -por lo menos a este lado del Atlántico- es que los Estados Unidos no poseen un entramado legal que proporcione un resguardo adecuado a la privacidad de sus ciudadanos o, en todo caso, afirmar la existencia de un sistema fragmentario -sectorial y territorialmente-, complejo y de difícil aplicación.

Pues bien, el motivo para escribir esta entrada es que, aunque sigo estando esencialmente de acuerdo con este análisis, he leído, prácticamente en el mismo día, tres noticias que quizás deberían hacernos pensar si, hasta cierto punto, este enfoque no puede resultar injusto o, al menos, muy poco matizado.

El caso es que la Oficina de Derechos Civiles (OCR en sus siglas en inglés) del Departamento de Salud y Servicios Humanos (HHS, lo que sería el equivalente a los Ministerios de Sanidad europeos) ha multado con 4,3 millones de dólares a una aseguradora médica (Cygnet Health) por violar las normas de la HIPAA (Health Insurance Portability and Accountability Act)  sobre privacidad ¿El motivo? No haber concedido el acceso a su historia clínica a cuarenta y un pacientes.  Esta misma oficina impuso una sanción de un millón de dólares a un hospital de Massachusetts por la pérdida de las historias clínicas de ciento noventa y dos pacientes. Además, está promoviendo la introducción de una nueva regulación sobre privacidad y seguridad que conllevaría el aumento del importe de las multas y sanciones para determinados incidentes y violaciones de seguridad y privacidad.

¿Pueden estar noticias cambiar nuestra percepción sobre la protección de los datos personales en Estados Unidos? Probablemente no, porque es evidente que si estos hechos hubieran sucedido en otros sectores carentes de una regulación tan protectora posiblemente el resultado hubiera sido muy distinto pero, lo que sí resulta evidente, es que cuando los estadounidenses han decidido que un sector es especialmente delicado y que los tratamientos de datos que en el mismo se llevan a efecto son de una sensibilidad particular, no les tiembla el pulso para impulsar leyes exigentes e imponer durísimas sanciones que incluso en España, posiblemente el país con una regulación más rigurosa en este ámbito sancionador, nos parecen estratosféricas.

Además, pensemos que hasta hace muy poco tiempo (no más de cuatro o cinco años), en la Unión Europea (con la honrosa excepción de Portugal), a los españoles se nos consideraba como unos bárbaros que desdeñaban caminos más amistosos de resolución de conflictos en aras de un sistema de imposición de multas salvajes. Claro que quizás ello tuviera que ver con la carencia de auténticos poderes coercitivos de muchas autoridades de control europeas que, curiosamente, cada vez más reclaman la posibilidad de imponer cuantiosas sanciones económicas y que, una vez que tienen esa capacidad sancionadora, la utilizan ampliamente y publicitan las sanciones que imponen como grandes primicias.

La Historia Clínica Electrónica es popular

Según un reciente estudio llevado a cabo por investigadores de la Universidad de Chicago, basado en entrevistas a mil personas, casi dos tercios de las mismas -el 64%- eran partidarias de la introducción y uso de la HC-e.


Los motivos fundamentales que esgrimían para ello eran la mejora en la prestación de los servicios, la seguridad derivada de la mayor disponibilidad de la información y, algo muy lógico si se tiene en cuenta que la encuesta se llevó a cabo en Estados Unidos, la reducción de costes.


No obstante, aunque casi la mitad de los encuestados manifestó distintos grados de preocupación por las consecuencias para la privacidad de la digitalización de la información sanitaria, estos recelos se veían superados en favor de lo que se percibía como una gran ventaja para la atención sanitaria.


Un aspecto relevante del estudio y que no suele aparecer habitualmente es que los encuestados opinaban que los médicos que utilizaban la HC-e compartían más información y de manera más adecuada con sus pacientes. Esto es, que frente a la tradicional visión de que la introducción de un ordenador en la consulta de un médico produce un rechazo o puede entorpecer la relación médico-paciente, aquellas personas que tienen la experiencia de que sus médicos hacen uso de las TIC opinan que mejora dicha relación y les aporta valores añadidos en la comunicación con su doctor.


De estos resultados se deduce que estamos ante una gran oportunidad de modernización y de mejora asistencial, que si se explica bien puede contar con un gran apoyo de los ciudadanos y que, para que este apoyo no desaparezca y contribuya a llegar a buen puerto estos proyectos, se debe haber un gran esfuerzo en todos los niveles operativos y de decisión para implantar los procedimientos y medidas adecuados para que los incidentes de seguridad, fugas de datos o violaciones de la confidencialidad -que son los causantes principales de las preocupaciones de los ciudadanos por su privacidad- no frustren esta gran oportunidad ante la que nos encontramos.