Protección de Datos - Salud SEIS

Expurgo radical

2011-10-04T19:00:00.000+02:00

En un hospital de Inglaterra han descubierto una forma de acabar con los problemas del expurgo de la documentación clínica: se cogen los papeles a voleo, se llevan a la sala de destrucción de documentos y, voilà!, al cabo de unos días desaparecen y nadie los echa de menos en tres meses...

Como el problema parece que ha surgido por la falta de espacio para archivar los diez mil registros que han desaparecido en el archivo correspondiente, el incidente también puede servir de faro y guía para resolver los recurrentes problemas de espacio que aquejan a nuestros centros sanitarios (¿Habrá pensado alguien que la información digitalizada casi no ocupa espacio?).

Abandonando ya la aproximación humorística, estos hechos ponen de manifiesto una necesidad que a veces se olvida por parte de gestores, profesionales sanitarios y TIC y personal de administración y servicios: la gestión de lo inesperado que bien se puede asemejar a la gestión de incidencias que nos impone la legislación de protección de datos.

Nuestras organizaciones deberían de estar preparadas para dar soluciones adecuadas a los problemas que se presentan en el día a día de sus actividades y que no pueden estar previstos en los procesos de gestión habituales para lo que hay que definir canales claros de comunicación de los mismos, de responsabilidades sobre su solución y la puesta en marcha de mecanismos que, aunque sea de forma provisional, permitan conjugar la solución técnica o administrativa con el respeto a los derechos de los ciudadanos plasmados, en este caso, en la regulación de protección de datos personales.

, etc. y es la gestión dela necesidad de una formación y concienciación continua de todo el personal que presta sus servicios en el sistema sanitario y de la existencia de procedimientos claros que prevean las actuaciones que se deben realizar o a quien se debe informar cuando surge una incidencia para evitar

La serie preferida de los hospitales americanos es... ¡Perdidos!

2011-09-30T09:31:00.001+02:00

O al menos eso parece a tenor de las continuas noticias sobre pérdidas de datos en el sistema sanitario americano. Hoy he leído una que publicaba el San Antonio Express sobre la desaparición de registros relativos a 4,9 millones de pacientes de TRICARE, un programa de salud para militares retirados y en activo (curiosamente, muchas de los problemas de seguridad afectan a hospitales u organizaciones sanitarias militares). Esta vez el problema ha estado en que han desaparecido las cintas con las copias de seguridad de sus bases de datos con información sanitaria ¡entre 1992 y 2011!

Aunque la noticia es impactante en sí misma y denota un importante problema de seguridad (como otros incidentes que aparecen también reseñados en la misma información) tras una primera lectura me he preguntado por qué aparecen tantas referencias a este tipo de problemas en Estados Unidos y casi ninguna que afecte a hospitales u organizaciones sanitarias españoles ¿Es que somos tan buenos que no nos pasan estas cosas? ¿Es que nuestros sistemas de seguridad están actualizados y perfectamente engrasados? ¿Es que nuestros profesionales sanitarios, TIC y administrativos están tan concienciados con la protección de datos y la seguridad que están vigilantes en todo momento? La verdad es que me gustaría contestarme a mí mismo de manera afirmativa pero como todos los datos y estudios que conozco apuntan en otra dirección me pregunto: Si en España hubiera una ley como en Estados Unidos que obligara a notificar los incidentes de seguridads ¿Nos enteraríamos de que hay más riesgos para nuestros datos sanitarios y de que se producen incidentes de seguridad con frecuencia? O, por el contrario, al tener el sistema sanitario español (y, en general, el europeo) una configuración asistencial muy diferente al americano ¿Favorece esta diferencia el que no se produzcan estos incidentes u ocurran con mucha menor frecuencia? ¿Comentarios...?

La curiosidad (aunque no sólo) mató al gato

2011-09-01T19:22:00.002+02:00

Según una noticia publicada en la revista americana SC Magazine, el número de accesos ilícitos a información sanitaria está creciendo y una gran parte de las violaciones de la seguridad y la confidencialidad proceden de empleados curiosos a los que les gusta mirar los datos médicos de sus compañeros, parientes o amigos ¡Aunque tampoco faltan los que lo hacen con vistas a perpetrar suplantaciones de identidad! ¡El enemigo sigue estando dentro, ya sea un gato curioso o un zorro ladrón!

Las autoridades de protección de datos insisten en la necesidad de un marco integral europeo

2011-04-11T10:20:00.000+02:00

Imagen por TPCOM (by-nc-nd)

En la Conferencia de Primavera celebrada en Bruselas, las autoridades europeas de protección de datos han vuelto a poner de manifiesto la necesidad de una aproximación conjunta y global a la protección de datos en todos los sectores, incluyendo los tratamientos llevados a cabo en el ámbito policial y judicial. Esta afirmación se produce en el marco de los trabajos previos para la revisión de legislación de la Unión Europea en este área que está llevando a cabo la Comisión Europea.

Además, esta nueva legislación deberá tener en cuenta los grandes retos a los que se enfrenta la privacidad en estos momentos y en el futuro: globalización, transferencias internacionales cada vez más habituales y, sobre todo, el gran desarrollo de la tecnología en el entorno on-line.

La Conferencia aprobó una Resolución en la que se hace referencia a todos estos temas.

Seguridad y Confianza

2011-04-03T17:39:00.000+02:00

Para cerrar esta serie sobre las conclusiones del VIII Foro de Protección de Datos de Salud quiero abordar uno de los temas que centró los debates del mismo: la seguridad como elemento de calidad y confianza en los sistemas de información sanitarios.

La generación de confianza entre los usuarios de la sanidad es un factor indispensable para avanzar en la implantación de las TIC en este sector. Y los tres elementos clásicos que componen la seguridad -esto es, confidencialidad, integridad y disponibilidad de la información- son las premisas básicas para conseguir sistemas informáticos de salud fiables, actualizados y eficientes para el tratamiento y la asistencia de los pacientes que acuden a los distintos centros sanitarios.

En efecto, los profesionales que participaron en el Foro pusieron de manifiesto que la disponibilidad oportuna e instantánea de la información y, en especial, de la contenida en la historia clínica, es uno de los aspectos clave para conseguir una atención de calidad y, además, dicha información debería de presentarse como un todo integral sin que fuera necesario acceder a distintos sistemas de información, cada uno de ellos con sus diferentes formatos y distintos controles de acceso, pues ello implica conocer y memorizar numerosas contraseñas y moverse entre distintas aplicaciones, lo que dificulta una visión de conjunto e impide que el médico se centre en lo realmente importante: la relación e interacción con el paciente.

Pero es, quizás, la confidencialidad de la información, esto es, que los datos solo sean accedidos por quien debe conocerlos y en el momento que resulta necesario utilizarlos, el aspecto más relevante o, al menos, el más determinante tanto para los pacientes como para los profesionales sanitarios, para conseguir una seguridad y confianza adecuadas por parte de todos los actores que intervienen en el tratamiento de la información sanitaria.

En este sentido, parece haber un claro consenso en que la tecnología necesaria para garantizar la confidencialidad y la seguridad existe y está disponible para todas las organizaciones y, al mismo tiempo, también es evidente que la tecnología por sí sola no es en absoluto suficiente. Y el reto está en conseguir que la información siempre esté disponible y actualizada cuando se requiera en cualquier acto asistencial pero de tal forma que existan los controles necesarios para evitar su acceso tanto por terceros no autorizados como por los profesionales sanitarios que no acrediten una razón válida para consultarla, exigiendo responsabilidades y aplicando las correspondientes medidas disciplinarias a los que violen la norma.

Estas o parecidas conclusiones fueron también el resultado del Foro de Debate sobre Seguridad de los Sistemas de Información Sanitarios que se celebró el pasado 31 de marzo en el Palacio de Congresos de Ávila en el marco de las Jornadas de e-Salud de Castilla y León, conclusiones que son perfectamente compatibles con los resultados del Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español que recientemente llevaron a cabo conjuntamente la Agencia de Protección de Datos de la Comunidad de Madrid (APDCM) y el Instituto Nacional de Tecnologías de la Comunicación (INTECO).

Como resumen, se afirmó que la seguridad no se puede conseguir por medidas aisladas o por la mera implantación de herramientas técnicas sino que debe haber una conjunción entre tecnología, procesos, procedimientos y formación, tal y como expresó certeramente José Luis Solla.

Finalmente, como último punto de reflexión, debemos tener en cuenta que avanzamos de manera imparable en dos direcciones: la interoperabilidad de los sistemas sanitarios y la utilización del cloud computing para la oferta de soluciones accesibles y escalables, en muchas ocasiones formuladas no ya a las instituciones sanitarias, sino directamente a los pacientes. Y en estos dos ámbitos, la garantía de la confidencialidad, la integridad y la disponibilidad de la información es un elementos clave para poder asegurar que se resguardan debidamente los derechos de los ciudadanos cuyos datos se tratan e intercambian cada vez en mayor escala.

El mundo global y la formación

2011-03-27T11:18:00.000+02:00

El VIII Foro de Protección de Datos de Salud nos ha dejado multitud de temas interesantes que pretendo ir desgranando en sucesivas entradas de este blog. Un ejemplo de ellos fue la mención, también en la intervención de Jesús Rubí, de los posibles problemas de supervisión y control que se dan o pueden darse en un mundo globalizado en el que se prestan servicios de salud a los ciudadanos españoles desde cualquier lugar del mundo.

En concreto, se refirió a los nuevos servicios prestados por grandes multinacionales dirigidos a los ciudadanos individuales para, por ejemplo, custodiar todos sus datos clínicos y ponerlos a su disposición o a la de cualquier profesional sanitario elegido por él. El motivo de preocupación apuntado es que en los últimos tiempos se está poniendo de manifiesto que, cuando surge un problema y la Agencia Española de Protección de Datos ejerce sus poderes para salvaguardar los derechos de los ciudadanos, estas compañías niegan la competencia de las autoridades de control europeas para supervisarlas y controlarlas e intentan sustraerse a la misma.

En mi opinión, este es un problema real y preocupante pero intrínsecamente ligado a otro mucho más general: la carencia de un estándar de protección de datos universalmente aceptado y, sobre todo, de unos mecanismos sencillos y accesibles para que las personas que constaten la violación de sus derechos o se sientan perjudicadas por una actitud ilícita, negligente o irresponsable puedan obtener una rápida satisfacción de sus demandas, la reposición de sus derechos y, en su caso, el resarcimiento de los daños causados.

Lo que nos lleva, desde el punto de vista práctico, a la necesidad de seguir trabajando para hacer llegar a los ciudadanos los posibles riesgos asociados a estos servicios (que, en muchos casos, se presentan de una forma sumamente atractiva e, incluso, como accesibles de forma gratuita) y la posible falta de recursos jurídicos que pueden sufrir las autoridades de protección de datos para defenderlos en el caso de que haya una utilización torticera de sus datos personales o, simplemente, un problema de seguridad que los haya comprometido.

Finalmente, no quiero acabar esta entrada sin hacer mención a otro aspecto esencial que se debatió en el Foro y que creo tiene la mayor importancia: la formación de los profesionales en sus obligaciones de protección de datos, ya que se puso de manifiesto que, en muchas ocasiones, se aborda desde una perspectiva errónea.

En efecto, los profesionales de la salud no necesitan ni tienen por qué ser expertos en protección de datos sino que han de concentrarse en su labor primaria: la atención a sus pacientes, la investigación o la docencia. Por lo tanto, han de tener una formación básica en esta materia y, luego, corresponde a los gestores de los sistemas de salud y centros sanitarios el proporcionarles las herramientas necesarias para facilitarles el cumplimiento de las obligaciones que contraen en el tratamiento de los datos personales de los pacientes y, para el caso en que tengan dudas o necesiten ayuda, definir a quién deben recurrir y establecer procedimientos claros y sencillos para acceder a estos servicios.

Hay que ponerse a trabajar ya

2011-03-20T18:42:00.000+01:00

Se acaba de celebrar en Pamplona el VIII Foro de Protección de Datos de Salud, organizado por la SEIS en colaboración con Navarra de Gestión para la Administración, S. A. (NGA) y, entre los muchos mensajes y conclusiones que podríamos extraer del mismo, quisiera comenzar fijándome en el requerimiento que hizo Jesús Rubí, Adjunto al Director de la AEPD, en su conferencia inaugural: ha llegado el momento de pasar del cumplimiento formal de la ley (en particular, de las medidas de seguridad) al cumplimiento real y material de las obligaciones que se imponen en la misma a los responsables de ficheros.

En efecto, en estos momentos, de acuerdo con todos los informes y encuestas a las que tenemos acceso, parece que ya se ha llegado (al menos en los grandes hospitales) a un nivel, si no excelente sí suficiente, en lo que respecta a las formalidades obligadas por la ley: declaración e inventario de ficheros, documentos de seguridad, etc. pero existe todavía una alarmante falta ¿de concienciación, de voluntad, de estrategia, de medios o de una mezcla de todo ello? para invertir realmente, de una forma coherente y sistemática, en los aspectos que indiscutiblemente pueden llevar a una mejora real de la seguridad de nuestros centros sanitarios: análisis de riesgos, realización de auditorías y adopción de las necesarias medidas correctoras, nombramiento de responsables de seguridad cualificados y con una dedicación exclusiva (o, al menos, relevante) a esta tarea, exigencia de responsabilidades a los directivos, profesionales y trabajadores del sistema sanitario.

Además, el cumplimiento sustantivo debe contemplar la rigurosa puesta en marcha de las medidas establecidas en el documento de seguridad así como establecer procedimientos y mecanismos de comprobación del grado de cumplimiento de las mismas y de la implantación de las medidas correctoras necesarias. Todo ello en un proceso continuo de mejora basado en el clásico Círculo de Deming: planificación de las actuaciones, implantación de lo planificado, verificación de su funcionamiento y actuación sobre las deficiencias.

Ha llegado, pues, el momento de actuar, si no queremos que nuestros sistema sanitario quede expuesto a merced de los embates de los delincuentes, los aprovechados, los descuidados y los necios y, aunque las autoridades de protección de datos utilizan los medios a su alcance a través de mecanismos proactivos y reactivos, no pueden ser ellas las que se pongan manos a la obra. Corresponde a las administraciones públicas sanitarias y a los responsables de la sanidad privada ponerse, ya, ahora, manos a la obra y arreglar la situación.

Y eso que los americanos no protegen la privacidad...

2011-02-26T15:03:00.001+01:00

Es casi un lugar común cuando se habla de protección de datos -yo lo he hecho en múltiples ocasiones- contraponer la sólida y garantista legislación europea con la falta de un marco general similar en Estados Unidos. La conclusión a la que se suele llegar -por lo menos a este lado del Atlántico- es que los Estados Unidos no poseen un entramado legal que proporcione un resguardo adecuado a la privacidad de sus ciudadanos o, en todo caso, afirmar la existencia de un sistema fragmentario -sectorial y territorialmente-, complejo y de difícil aplicación.

Pues bien, el motivo para escribir esta entrada es que, aunque sigo estando esencialmente de acuerdo con este análisis, he leído, prácticamente en el mismo día, tres noticias que quizás deberían hacernos pensar si, hasta cierto punto, este enfoque no puede resultar injusto o, al menos, muy poco matizado.

El caso es que la Oficina de Derechos Civiles (OCR en sus siglas en inglés) del Departamento de Salud y Servicios Humanos (HHS, lo que sería el equivalente a los Ministerios de Sanidad europeos) ha multado con 4,3 millones de dólares a una aseguradora médica (Cygnet Health) por violar las normas de la HIPAA (Health Insurance Portability and Accountability Act) sobre privacidad ¿El motivo? No haber concedido el acceso a su historia clínica a cuarenta y un pacientes. Esta misma oficina impuso una sanción de un millón de dólares a un hospital de Massachusetts por la pérdida de las historias clínicas de ciento noventa y dos pacientes. Además, está promoviendo la introducción de una nueva regulación sobre privacidad y seguridad que conllevaría el aumento del importe de las multas y sanciones para determinados incidentes y violaciones de seguridad y privacidad.

¿Pueden estar noticias cambiar nuestra percepción sobre la protección de los datos personales en Estados Unidos? Probablemente no, porque es evidente que si estos hechos hubieran sucedido en otros sectores carentes de una regulación tan protectora posiblemente el resultado hubiera sido muy distinto pero, lo que sí resulta evidente, es que cuando los estadounidenses han decidido que un sector es especialmente delicado y que los tratamientos de datos que en el mismo se llevan a efecto son de una sensibilidad particular, no les tiembla el pulso para impulsar leyes exigentes e imponer durísimas sanciones que incluso en España, posiblemente el país con una regulación más rigurosa en este ámbito sancionador, nos parecen estratosféricas.

Además, pensemos que hasta hace muy poco tiempo (no más de cuatro o cinco años), en la Unión Europea (con la honrosa excepción de Portugal), a los españoles se nos consideraba como unos bárbaros que desdeñaban caminos más amistosos de resolución de conflictos en aras de un sistema de imposición de multas salvajes. Claro que quizás ello tuviera que ver con la carencia de auténticos poderes coercitivos de muchas autoridades de control europeas que, curiosamente, cada vez más reclaman la posibilidad de imponer cuantiosas sanciones económicas y que, una vez que tienen esa capacidad sancionadora, la utilizan ampliamente y publicitan las sanciones que imponen como grandes primicias.

La Historia Clínica Electrónica es popular

2011-02-11T21:50:00.000+01:00

Según un reciente estudio llevado a cabo por investigadores de la Universidad de Chicago, basado en entrevistas a mil personas, casi dos tercios de las mismas -el 64%- eran partidarias de la introducción y uso de la HC-e.

Los motivos fundamentales que esgrimían para ello eran la mejora en la prestación de los servicios, la seguridad derivada de la mayor disponibilidad de la información y, algo muy lógico si se tiene en cuenta que la encuesta se llevó a cabo en Estados Unidos, la reducción de costes.

No obstante, aunque casi la mitad de los encuestados manifestó distintos grados de preocupación por las consecuencias para la privacidad de la digitalización de la información sanitaria, estos recelos se veían superados en favor de lo que se percibía como una gran ventaja para la atención sanitaria.

Un aspecto relevante del estudio y que no suele aparecer habitualmente es que los encuestados opinaban que los médicos que utilizaban la HC-e compartían más información y de manera más adecuada con sus pacientes. Esto es, que frente a la tradicional visión de que la introducción de un ordenador en la consulta de un médico produce un rechazo o puede entorpecer la relación médico-paciente, aquellas personas que tienen la experiencia de que sus médicos hacen uso de las TIC opinan que mejora dicha relación y les aporta valores añadidos en la comunicación con su doctor.

De estos resultados se deduce que estamos ante una gran oportunidad de modernización y de mejora asistencial, que si se explica bien puede contar con un gran apoyo de los ciudadanos y que, para que este apoyo no desaparezca y contribuya a llegar a buen puerto estos proyectos, se debe haber un gran esfuerzo en todos los niveles operativos y de decisión para implantar los procedimientos y medidas adecuados para que los incidentes de seguridad, fugas de datos o violaciones de la confidencialidad -que son los causantes principales de las preocupaciones de los ciudadanos por su privacidad- no frustren esta gran oportunidad ante la que nos encontramos.

Datos anónimos o útiles, pero no las dos cosas

2010-10-09T23:09:00.000+02:00

El título de este post está tomado de un trabajo publicado por el Prof. Paul Ohm, de la Universidad de Colorado, y titulado Broken promises of privacy: responding to the surprising failure of anonymization y que podría ser uno de los primeros de una nueva rama de las ciencias de la computación: la re-identificación a través de las TIC. En él se plantea que, mediante la utilización de datos disponibles públicamente, bases de datos que se han tratado de manera concienzuda y de acuerdo con los métodos comúnmente aceptados de anonimización, pueden transformarse, en algunos casos sin mucho esfuerzo, en datos personales y, por tanto, atribuibles a la persona real cuya identidad se había supuestamente protegido.

En el mismo se describe la experiencia de Latanya Sweeney, una estudiante de ciencias de la computación que utilizando una base de datos anonimizada -publicada por un organismo oficial del Estado de Massachusetts- y utilizando información públicamente disponible en Estados Unidos, consiguió sin demasiado esfuerzo re-identificar los datos de la historia clínica del gobernador del Estado y se los remitió a su oficina. Posteriormente, demostró que el 87% de los americanos podría ser identificado conociendo únicamente tres datos: código postal, fecha de nacimiento y sexo.

Aunque quizás en España la información públicamente disponible no es tan abundante como en Estados Unidos, en la actual Sociedad de la Información cada vez hay más datos en Internet que pueden contribuir a una re-identificación de datos supuestamente anónimos sin demasiado esfuerzo y, sobre todo, si existen los alicientes necesarios.

Este es un tema realmente importante pues desde el momento en que alguien asegura que ha convertido los datos personales en anónimos -o disociados en la terminología de la LOPD- parece que todos nos quedamos tranquilos y contentos y, sobre todo, dejan de aplicarse las garantías que establece la legislación de protección de datos. Pero estudios como el que menciono aquí pueden hacer que nos tengamos que replantear esta situación.

Lo difícil será explicárselo a los juristas...

La venganza de las fotocopiadoras

2010-04-23T22:10:00.001+02:00

Nadie pensaría que una modesta máquina tan anticuada, con sus rodillitos, sus sistemas de tracción y succión, sus bandejitas de papel y sus ruiditos pre-TIC, tan poco cool, despreciada y destinada a la extinción cuando alcancemos la tierra prometida de la oficina sin papeles y la sociedad digital integral podría todavía, en un último estertor, aprovechando que ha sido dotada de elementos digitales para disimular su antigüedad, vengarse de aquellos que la abandonan revelando sus más íntimos secretos.

Todos estamos acostumbrados a tomar medidas cuando nos deshacemos de ordenadores u otros equipos digitales para que la información guardada en sus sistemas de almacenamiento sea destruida. Pero ¿nos hemos parado a pensar alguna vez que las "modernas" fotocopiadoras -de hecho, las fabricadas ¡desde 2002!- están equipadas con discos duros en los que se almacenan todas las copias que se realizan? ¿Y en que sería conveniente destruir esta información antes d e "entregarlas al chatarrero"?

Esto es lo que ha puesto de manifiesto una investigación de la CBS en un almacén de material de segunda mano donde esperaban para ser vendidas más de seis mil fotocopiadoras. ¿Se imaginan la fuente de información que podría ser una fotocopiadora del servicio de psiquiatría o de enfermedades infecciosas de un hospital? ¿La cantidad de historias clínicas que estarán almacenadas en sus discos duros? Los periodistas de la CBS han demostrado que comprar unas cuantas al azar y revisar sus discos con un programa forense de libre disposición bajado de Internet (de hecho, en algún caso, antes de analizar los discos ya se obtuvo información porque había papeles olvidados en una máquina ¡de la Unidad de Delitos Sexuales de una fuerza de policía!) es tan sencillo como comprar un frigorífico o una lavadora. En unas doce horas habían accedido a decenas de miles de documentos almacenados en los discos.

Y, sí, ya se lo habrán imaginado, la Ley de Murphy es inexorable: una de las máquinas procedía de una aseguradora de salud y su disco contenía un buen número de documentos de asistencia médica, incluyendo recetas, resultados de analíticas y diagnósticos de cáncer.

Por lo tanto, atención a la venganza de las fotocopiadoras. Cualquier equipo que realice funciones automatizadas en nuestros días contiene, con toda seguridad, dispositivos de almacenamiento permanente por lo que, antes de venderlo o deshacernos de él, debemos asegurarnos que esos datos han sido destruidos o borrados definitivamente, sin posibilidad de recuperación. Además de proteger la privacidad de aquellos cuyas vidas pasan por ellos también estaremos cumpliendo con las medidas que exige la legislación de protección de datos y nos ahorraremos quebraderos de cabeza.

Éxito del VII Foro de Protección de Datos de Salud

2010-04-18T13:22:00.004+02:00

Como ya se anunció en este mismo espacio, durante los días 13 y 14 de abril se ha celebrado en Pamplona el VII Foro de Protección de Datos de Salud, organizado por la SEIS con la colaboración de Navarra para la Gestión de la Administración, S.A. (NGA).

Esta edición, que se centró en la protección de datos de las personas en situaciones difíciles, fue inaugurada por D.Javier Caballero Martínez, Vicepresidente Primero y Consejero de Presidencia, Justicia e Interior del Gobierno de Navarra. También contó con la presencia de D. Artemi Rallo Lombarte, Director de la Agencia Española de Protección de Datos, que pronunció una conferencia en la que puso de manifiesto la importancia y sensibilidad de los datos de salud en nuestro sistema jurídico de protección de datos, importancia que se resalta por las garantías reforzadas para su tratamiento: necesidad de consentimiento expreso, médidas de seguridad más estrictas y régimen sancionador agravado para las infracciones cometidas en el tratamiento de estos datos. Igualmente, ha señalado las acciones que ha puesto en marcha la AEPD para fomentar el cumplimiento de la legislación de protección de datos en los centros sanitarios mediante el requerimiento del envío a la Agencia de información relativa a la situación actual.

Igualmente, hay que resaltar que, como todos los años, en el mismo han colaborado de manera decisiva las cuatro autoridades de protección de datos existentes en España: la Agencia Española de Protección de Datos, la Agencia de Protección de Datos de la Comunidad de Madrid, la Agencia Catalana de Protección de Datos y la Agencia Vasca de Protección de Datos que, desde el nacimiento del Foro, han mostrado su compromiso con el mismo y, una vez más, han dedicado muchos recursos para acercar sus experiencias, instrucciones y recomendaciones a todos los profesionales sanitarios.

El Foro ha tenido un gran éxito, tanto por el número de asistentes al mismo como por la calidad de las ponencias y de los debates que se han producido. Se ha estructurado en cuatro sesiones en las que se han explorado las implicaciones para el derecho fundamental a la protección de datos de las personas que se encuentran en situaciones difíciles, de los necesarios tratamientos de sus datos personales, ya sea porque requieren una atención especial en el ámbito sociosanitario o porque participan en ensayos clínicos o en procesos de farmacovigilancia. En estas áreas, la debida atención y seguimiento de las personas no debe disminuir en ningún caso su derecho a la privacidad y los mecanismos de protección de la misma que deben implantarse.

Asimismo, un elemento esencial para conseguir el respeto a los derechos de las personas, especialmente en el ámbito sanitario, son las medidas de seguridad que deben adoptarse por parte de los responsables de la sanidad pública y privada, tema que se ha abordado por especialistas de las AA.PP. y del sector privado en una de las sesiones.

Todo ello se ha complementado con una mesa redonda en la que las cuatro autoridades de protección de datos han puesto en común aquellos casos más relevantes que han tratado en el último año, desde un punto de vista práctico y con el ánimo de proporcionar respuestas a los problemas del día a día de las organizaciones sanitarias y fomentar el debate con los asistentes para ayudarles en la implantación de políticas adecuadas de protección de datos en sus organizaciones.

Además, en esta edición, se ha llevado a cabo por primera vez la experiencia de celebrar un seminario temático en la mañana del primer día del Foro. Se trató del Seminario de Protección de Datos y Salud Laboral en el que han participado casi doscientas personas y que fue inaugurado y presidido por D. Alberto Margallo Lana, Director Gerente del Instituto Navarro de Seguridad Laboral.

Con esta séptima edición, Pamplona se consolida como la sede permanente de este Foro de Protección de Datos de Salud y, de nuevo, el próximo año acogerá, fruto de la colaboración entre la SEIS y NGA, la octava edición del mismo.

En los próximos días se podrán consultar en el portal de la SEIS las presentaciones de los ponentes que participaron en las distintas sesiones.

Hacia una nueva Medicina Personalizada

2010-03-21T17:51:00.001+01:00

Interesantísima entrevista a Leroy Hood -miembro del equipo que desarrolló la primera máquina capaz de secuenciar genoma humano- en la que afirma que tanto la digitalización y centralización de las historias clínicas como la farmacogenética son solamente ejemplos limitados de la Medicina Personalizada que nos aguarda.

En su opinión, estamos ante un cambio de paradigma para pasar de la medicina reactiva a la medicina preventiva basada en análisis genéticos generalizados y el uso de la nanotecnología para, por ejemplo, medir dos mil quinientas proteinas a partir de una gota de sangre o interrogar cincuenta proteínas de cincuenta órganos diferentes como, en sus palabras, "forma de preguntar a la salud en lugar de a la enfermedad".

Junto con ello, la posibilidad de analizar detalladamente células individuales y la disponibilidad de herramientas matemáticas y computacionales que permitan tratar miles de millones de datos de pacientes y compararlos con correlaciones genotipo-fenótipicas particulares, proporcionarán un nuevo conocimiento y una nueva forma de adentrarse en la medicina preventiva.

¿Y qué tiene todo esto que ver con un blog sobre protección de datos? Para hallar la respuesta, simplemente pensad en los miles de millones de ítems de información extremadamente sensible, rica y compleja que sobre cada uno de nosotros almacenaría un sistema sanitario de estas características y la influencia que su conocimiento inadecuado podría tener en las condiciones de vida de una persona.

VII Foro de Protección de Datos de Salud

2010-03-10T20:15:00.001+01:00

Los próximos días 13 y 14 de abril se celebrará en Pamplona la séptima edición del Foro de Protección de Datos de Salud, organizado por la SEIS con el apoyo y la colaboración de Navarra de Gestión para la Administración, S.A. para el cual está ya abierta la inscripción y cuyo programa provisional podéis consultar.

Este año, además, por primera vez se celebrará un Seminario sobre Protección de Datos en Salud Laboral en la mañana del día 13. En él, representantes de todas las agencias de protección de datos que hay en España, nacional y autonómicas, abordarán los problemas reales del día a día de los profesionales de este sector y darán a conocer las soluciones a los mismos. Además, los asistentes del sistema sanitario que asistan al Seminario podrán optar a una invitación para asistir a todas las sesiones del Foro.

Igualmente, también por primera vez este año, tenéis la posibilidad de plantear cuestiones o hacer comentarios a través de este blog. Las cuestiones se plantearán en las sesiones del Foro y, en todo caso, las respuestas se harán públicas también en este blog.

Os invito a todos a participar en el VII Foro de Protección de Datos de Salud y espero veros en Pamplona.

eMule como herramienta de gestión sanitaria

2010-03-09T12:57:00.001+01:00

La prensa de hoy (Diario Médico, Diario Jurídico) publican hoy la noticia de que la Audiencia Nacional ha ratificado la infracción declarada por la Agencia Española de Protección de Datos (AEPD) al SCS por difundir datos de salud de 1.748 pacientes a través de la red P2P eMule.

Esta no es la primera vez que suceden estos hechos, ya que anteriormente la AEPD había sancionado a otras organizaciones por hechos similares. Y la sentencia ratifica el criterio de la Agencia de que no es eximente el argumento habitual de que "ha sido un trabajador que lo ha hecho por su cuenta", ya que es obligación de la organización velar porque estas circunstancias no se puedan producir.

Dos nuevas Instrucciones de la APDCM

2010-01-23T20:45:00.001+01:00

La Agencia de Protección de Datos de la Comunidad de Madrid, que cuenta con una larga tradición de atención al sector sanitario, ha publicado recientemente dos nuevas Instrucciones que se pueden consultar en su portal www.apdcm.es.

La primera de ellas, la Instrucción 1/2009, es de carácter más específico y establece criterios para llevar a cabo la correcta identificacion de los recién nacidos en los hospitales públicos de la Comunidad de Madrid para garantizar la calidad y la integridad de sus datos y, en particular, de las huellas dactilares, tanto del niño como de la madre, que se toman para garantizar su inequivoca identificación y la correcta correspondencia entre ambos. Igualmente, regula aspectos importantes de la información que debe ofrecerse a la madre sobre este tratamiento de datos y el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.

En cambio, la Instrucción 2/2009, sobre el tratamiento de datos personales en la emisión de justificantes médicos, aborda una problemática mucho más amplia y general. En mi post del 17 de noviembre de 2009 ya me refería a esta cuestión y en esta nueva Instrucción se introducen con caracter obligatorio y vinculante muchas de las ideas allí expresadas.

Por supuesto, como miembro de la APDCM he tenido participación en la elaboración de ambas normas y, por ello, prefiero no hacer ningún comentario adicional y que seáis vosotros los que manifestéis vuestra opinión sobre ambas normas en un debate que espero sea rico e interesante.

¿Le han gustado los bombones, doctora?

2009-12-07T21:22:00.001+01:00

Las relaciones sociales en Internet tienen connotaciones y consecuencias a las que no siempre estamos atentos. En general, los usuarios de redes sociales tienden a creer que reproducen en la red los usos y convenciones sociales existentes en el mundo real en el que llevamos millones de años desenvolviéndonos como especie. Pero no es así. O, por lo menos, no siempre es así y, para que lo sea, debemos actuar proactivamente y no, como en nuestra vida "real", simplemente dejar actuar a los modelos sociales tradicionales.

Todo esto viene a cuento de una noticia que me sorprendió el otro día. Reconozco que el titular era sugerente y me atrapó. Se publicó en el diario El Mundo y rezaba así: "Flirteos médicos vía Facebook". ¿Verdad que es difícil sustraerse a la tentación de leer la noticia? Pero la realidad no era tan frívola como parecía sugerirse y, una vez que se accedía a la página, el antetítulo y la entradilla de la misma ya anunciaban que no se trataba de una historia picante entre colegas de distinto sexo pues se anunciaba la alerta y preocupación existente en el Reino Unido sobre las consecuencias de que los médicos publiquen sus datos en Internet.

Uno de los problemas es que los pacientes están empezando a utilizar la información sobre los gustos y aficiones de los doctores(as) que ellos mismos publican en las redes sociales para, por ejemplo, regalarles las flores que les gustan o el libro de viajes en el que están interesadas, transcendiendo la estricta relación profesional entre ellos. Y el límite entre las atenciones con alguien al que un paciente le debe la vida y el acoso a veces es muy fino.

Pero no es este él único problema. El no tener correctamente configuradas las opciones de privacidad en el perfil de una red social puede llevar a los profesionales sanitarios a compartir información sobre los pacientes que, creyendo que están en un foro privado, atenta contra la ética y contra la intimidad y privacidad de estos pacientes. Como ejemplo baste señalar la creación de un foro llamado "Soy auxiliar de dentista y odio a los pacientes porque..." que fue cerrado tras generar un intenso debate.

Por lo tanto y como conclusión: la red constituye un nuevo espacio de relación con normas diferentes que todos debemos conocer antes de adentrarnos en él. El proceso no es muy diferente a la educación que todos recibimos desde que nacemos para saber cómo debemos comportarnos en sociedad. El problema es que tendemos a asimilar ambos entornos y al no ser conscientes de la especificidad del entorno virtual reproducimos patrones del mundo "real" que no son aplicables o funcionan en él de forma diferente.

En las nubes

2009-11-30T09:33:00.001+01:00

Hace unas semanas aparecieron noticias preocupantes para los clientes de un servicio de T-Mobile (Sidekick) en Estados Unidos: en un proceso de actualización de los servidores en los que estaban alojados los datos de los usuarios (agendas, contactos, calendarios...) éstos habían desaparecido y las compañías implicadas (T-Mobile y Microsoft, en cuyos servidores estaba basado el servicio) anunciaban que no era posible recuperarlos (parece que el novedoso y aún poco contrastado concepto de copia de seguridad les resultaba ajeno).

Supongamos ahora por un momento que en lugar de los datos de agenda de unos usuarios estuviéramos hablando de un problema similar en un servicio por el que la disponibilidad de toda la información sanitaria de un centro, comunidad o país se hubiera visto comprometida por un fallo cometido por no se sabe quién en no se sabe dónde pero cuyo resultado final fuera la pérdida de miles, cientos de miles o millones de historias clínicas electrónicas. Los efectos sobre la salud de las personas y la credibilidad del sistema hubieran sido devastadores.

La Enciclopedia TechWeb define cloud computing (o, computación en la nube) como "la utilización de servicios de un tercero en Internet (la nube) para almacenar, desplegar y ejecutar aplicaciones". Este nuevo paradigma de computación puede incluir la provisión de aplicaciones de negocio (SaaS o Software as a Service) o, simplemente, los servicios básicos de hardware y software (servidores, sistemas operativos o gestores de bases de datos) y, en el fondo, lo que conlleva es una total dependencia y confianza en los servicios de un tercero sobre los que no tenemos ningún control real (salvo el recurso al pataleo y a los tribunales si algo va mal).

Si además tenemos en cuenta la aparición de nuevos servicios de salud prestados a través de Internet y la constatación en una encuesta, llevada a cabo por Ponemon Insitute, a más de quinientos profesionales TIC en grandes centros sanitarios estadounidenses en la que un 80% de los encuestados manifestaba que había sufrido un problema de seguridad que había puesto en riesgo los datos de los pacientes y en la que un 5% informó haber sufrido más de cinco incidentes, deberíamos de preguntarnos sobre la capacidad, técnica y de gestión, de nuestras organizaciones para proporcionar la seguridad adecuada en el nuevo mundo de la salud en línea y sobre si tanto los recursos de los que se dispone como la planificación de los mismos son suficientes para abordar estos nuevos retos y, finalmente, si el recurso a un tercero a través de sistemas de cloud computing puede ayudarnos o no a lidiar con estos problemas.

Esperemos que este proceso y las decisiones que entraña, tengan, como el de Sidekick, un final feliz, con los datos seguros y disponibles de nuevo para sus legítimos titulares y usuarios.

Nuevos estándares internacionales sobre protección de datos y privacidad

2009-11-09T19:37:00.001+01:00

Por una vez (y a lo mejor sirve de precedente ¡quién sabe!), este blog se va a alejar de la temática estrictamente sanitaria y lo va a hacer por una muy buena razón: en la 31ª Conferencia Internacional de Autoridades de Protección de Datos y Privacidad, celebrada en Madrid esta semana, organizada por la Agencia Española de Protección de Datos (AEPD), a la que asistieron más de 1.200 personas de más de 80 países, se ha aprobado una resolución por la que las autoridades de protección de datos de todo el mundo recomiendan la aprobación de un estándar global de privacidad para facilitar la circulación global de datos personales garantizando un alto nivel de respeto para los derechos de las personas.

En relación con este asunto, creo que, en primer lugar, es de justicia reconocer el enorme esfuerzo y trabajo llevado a cabo por la AEPD en el último año para conseguir un texto de consenso aceptable tanto para las autoridades de control como para la industria y las organizaciones no gubernamentales internacionales. Y por haber coronado con éxito un trabajo complejo y difícil en un tiempo record para lo que suelen requerir este tipo de iniciativas.

En la resolución aprobada se insta a las autoridades de control a que difundan los estándares y promuevan entre los gobiernos la necesidad de dar los pasos necesarios paraque los estándares adoptados se transformen en un tratado internacional vinculante que consagre los principios esenciales de la protección de datos: que los datos personales sean tratados de manera leal, lícita, y proporcionada para finalidades determinadas, explícitas y legítimas y sobre la base de políticas transparentes, informando adecuadamente a los interesados y sin ninguna discriminación arbitraria en su contra.

Además, ha de garantizarse la exactitud, la confidencialidad y la seguridad de los datos, la legitimidad del tratamiento y los derechos de acceso, rectificación y cancelación, ofreciéndose las garantías adecuadas cuando se trate de datos sensibles y garantizando que los datos personales transferidos internacionalmente se benefician del nivel de protección previsto en el mencionado conjunto de estándares.

Todo ello ha de estar sometido a la vigilancia de autoridades de supervisión, independientes e Como vemos, en los estándares se conjugan los elementos tradicionales de la protección de datos con nuevos elementos que pueden contribuir a una mejor implantación de las mismas como los oficiales de privacidad o los PIA (Privacy Impact Assessmente o Evaluaciones de Impacto de la Privacidad), que deberían llevarse a cabo antes de iniciar proyectos importantes y con riesgos para los derechos de las personas cuyos datos se tratan.

Si estos esfuerzos de las autoridades de protección de datos fructificaran -lo que, dicho sea de paso, no será una tarea fácil ni corta- también sería una gran noticia para las personas cuyos datos de salud son transferidos cada vez con mayor intensidad entre todos los países por diversos motivos (desde el ousourcing informático de los servicios de tratamiento hasta los ensayos clínicos multicéntricos internacionales pasando por los servicios electrónicos personales de gestión de datos de salud) evitando que el consentimiento que las mismas otorgan (en el mejor de los casos) simplemente sirva para legalizar un flujo hacia países en donde las garantías son, en muchas ocasiones, inexistentes.

¿Me da un justificante, por favor?

2009-10-17T12:58:00.001+02:00

Aunque parezca que la emisión de justificantes relativos a la atención sanitaria prestada a una persona o a sus familiares es una cuestión baladí y alejada de los problemas principales de la protección de los datos de salud, si se examina detenidamente, da lugar a multitud de cuestiones y problemas de gestión en los centros sanitarios y en los departamentos de personal, ya que puede poner en manos de personas que no tienen ninguna relación con la práctica asistencial o la gestión de servicios sanitarios datos especialmente protegidos de quien solicita el justificante o, incluso, de terceras personas.

En general, el destinatario del justificante es el empresario (o sus servicios de personal) de quien lo presenta para excusar su falta de asistencia al centro de trabajo, ya sea por una enfermedad, por haber acudido a un centro sanitario para una consulta o prueba médica o por la necesidad de atender a un familiar. Aqui no trataremos los casos en los que se requiere la presentación del "Parte de Baja" ya que el contenido del mismo está regulado por el Real Decreto 575/1997 y las Órdenes Ministeriales de 19 de junio de 1997 y 18 de septiembre de 1998 en las que se establece que en el ejemplar que el trabajador debe presentar a la empresa no deben figurar datos relativos al diagnóstico o la descripción de la capacidad funcional, impidiéndose, de esta manera, que el empresario o sus servicios de Recursos Humanos conozcan ningún dato sanitario del trabajador.

Los problemas se plantean cuando hay que justificar ausencias que no requieren el "Parte de Baja" y es en estos supuestos cuando los distintos centros sanitarios despliegan toda su creatividad a la hora de proporcionar a los trabajadores un documento que les permita acreditar la necesidad de la ausencia del puesto de trabajo de tal forma que puedan conjugar este derecho del trabajador con la "agilidad" del trabajo administrativo: hojas de citaciones selladas, informes médicos, partes de urgencias, etc. son entregados a los pacientes para que sean utilizados en la justificación de la ausencia y, por supuesto, para que todo el personal de RR.HH. conozca perfectamente el estado de salud del trabajador...

En este sentido, hay que poner de manifiesto que una correcta aplicación de los preceptos de la legislación española de protección de datos en la emisión de este tipo de justificantes debe concretarse en, al menos, los siguientes principios:

No deben utilizarse documentos sanitarios como justificantes de la asistencia a consulta, hospitalización o práctica de pruebas sino que deben diseñarse y utilizarse documentos específicos para esta función

Los justificantes no deben de contener ninguna información de salud, incluyendo el servicio en el que ha sido atendido el trabajador o en el que ha sido hospitalizado, pues la mera mención de los mismos ya está dando información sobre su salud

Cuando el justificante deba utilizarse para acreditar la necesidad de atención a una persona vinculada al solicitante, en el mismo no constará información sobre dicho solicitante, sino sobre la persona a la que debe atender y este justificante deberá emitirse siempre con el consentimiento del enfermo (del que, por descontado, tampoco podrá indicarse ningún dato de salud). Si es necesario hacer cualquier valoracion sobre la gravedad del paciente -por ejemplo, cuando el numero de días de licencia dependa de dicha gravedad- la misma será evaluada por los profesionales de la salud que atienden al paciente, nunca por los departamentos de RR.HH. en base a datos de salud del mismo.

En este último caso, habrán de tenerse en cuenta aquellas situaciones como la incapacidad, la inconsciencia o la minoría de edad en que la persona no puede prestar su consentimiento. Bajo estas circunstancias, esta situación de imposibilidad debe ser evidenciada por el personal sanitario que lo atiende y el solicitante, además de atestiguar la recepción del justificante, asumirá la responsabilidad sobre su uso.

Si se cumplieran estas indicaciones, se lograría la correcta gestión de las ausencias de los trabajadores por motivos de salud por parte de los Departamenteos de RR.HH. sin que los mismos tuvieran que tener acceso a ningún dato de salud de dichos trabajadores. Todo ello, por supuesto, sin perjuicio de las facultades de control que el Estatuto de los Trabajadores atribuye al empresario en este ámbito.

Finalmente, a todas las personas interesadas en este tema y que deseen profundizar en el mismo, les recomiendo la lectura del artículo que Ángel Igualada Menor ha publicado en el número de julio de 2009 de la revista digital de la Agencia de Protección de Datos de la Comunidad de Madrid www.datospersonales.org.

Los médicos también tienen derechos

2009-09-26T13:45:00.002+02:00

Estamos tan acostumbrados a tratar de la protección de los datos de los pacientes siempre que hablamos de la privacidad en el ámbito sanitario que, a veces, olvidamos que también los profesionales de la sanidad tienen derecho a la intimidad, la privacidad y la protección de datos personales. Por eso es importante que un reciente auto del Tribunal Constitucional nos haya venido a recordar que ellos tambien tienen derechos y merecen que sus datos personales sean protegidos de igual manera que los de los pacientes.

El auto trae causa del recurso interpuesto por una publicación contra una resolucion de la Agencia Española de Protección de Datos que sancionaba con una multa de 6.010€ a una publicacion que había introducido en un reportaje sobre el consumo de antibióticos en España los nombres y apellidos de los facultativos que opinaban sobre dicho asunto. La Audiencia Nacional había confirmado la resolución de la AEPD y, tras un nuevo recurso ante el TC, éste ha confirmado la resolución de la Agencia pues los datos personales de los médicos habían sido publicados sin pedirles previamente su consentimiento.

El auto es muy relevante por varios motivos, no siendo el menos importante que, de nuevo, el TC establece que ningún derecho es absoluto y que, cuando hay dos de ellos que entran en confilcto, hay que establecer el equilibrio adecuado y no se puede hacer prevalecer sin más uno de ellos. Es indudable que el derecho de información es imprescindible y crucial en un estado democrático pero no lo es menos que la información suministrada en el artículo que motiva el auto se hubiera podido suministrar a los ciudadanos sin invadir el derecho fundamental a la protección de datos de los médicos cuyos nombres se citaron.

Además, desde el enfoque del derecho a la autodeterminación informativa utilizado por el Alto Tribunal, se recuerda el ámbito de libre disposición de nuestros datos que todos tenemos, basado en el libre otorgamiento de nuestro consentimiento para que los mismos se puedan tratar salvo que exista algún otro tipo de obligación legal o contractual que justifique dicho tratamiento sin que sea necesario pedirnos autorización previa.

Pero como corolario a esta entrada, me gustaría mencionar otro problema muy serio que afecta a los profesionales sanitarios y, esta vez sí, relativo a sus datos de salud. Se trata de la atención médica al profesional enfermo. Si ya en muchas ocasiones la confidencialidad sobre los datos de los pacientes se ve atacada por conversaciones casuales en zonas comunes de los centros sanitarios (cafeterías, pasillos, ascensores...) cuando la enfermedad afecta a un compañero que ejerce sus labores en el mismo centro sanitario, este tipo de filtraciones pueden tener efectos devastadores (aunque en muchos casos se hagan con la mejor de las intenciones).

Es cierto que varias comunidades autónomas han puesto en marcha protocolos para la atención del profesional sanitario enfermo, pero ningún protocolo puede suplir a la concienciación de todos los estamentos sanitarios en el convencimiento de que, al igual que cualquier otro paciente, el profesional enfermo ha de mantener pleno control sobre a quién le hace partícipe de sus dolencias, del resultado de sus pruebas y del diagnóstico recibido.

¿No estamos tan mal?

2009-09-15T10:25:00.001+02:00

Hace unos días leía la siguiente noticia: "Historías clínicas volando por la calle". Los papeles que flotaban entre setos y árboles, pavimentaban las aceras y servían de entretenimiento a los niños que jugaban al fútbol, contenían datos personales de miles de pacientes entre los que se encontraban resultados de pruebas clínicas, incluyendo tests positivos de HIV.

Pero no, no se preocupen, los árboles de las calles puede que fueran cactus y los niños jugaban al fútbol... americano, porque esto no sucedía en ninguna ciudad española sino en Mesquite, población del Norte de Texas.

Al reflexionar sobre este caso me decía que quizás en España no estemos tan mal porque aquí, cuando hemos decidido deshacernos de historias clínicas en muchos centros sanitarios, al menos hemos tenido el detalle de meterlas en bolsas de basura y tirarlas a un contenedor... o, bueno, colocarlas al lado del mismo.

También es verdad que últimamente han aparecido historias clínicas entre los escombros de edificios derruidos en distintos puntos de la península, pero, al menos, las ruinas tenían la virtud de sujetar las documentos entre sus piedras para que no salieran volando como en Texas. ¡Pobres texanos! ¡No tener siquiera un edificio derrumbado que sujetara los papeles!

Esta introducción un poco jocosa me sirve para iniciar una reflexión con algunas preguntas: ¿las medidas de seguridad técnicas y organizativas aplicadas en nuestros centros sanitarios han conseguido eliminar o, al menos, reducir significativamente el riesgo de que las historías clínicas vuelen por nuestras calles? ¿sigue siendo la seguridad la cenicienta en las inversiones tecnológicas en nuestra sanidad? ¿se ha avanzado en la concienciación de nuestros directivos sanitarios en esta materia? ¿los profesionales de la salud son conscientes de los riesgos a los que está sometida una información tan sensible como los datos de salud de sus pacientes?

Porque tengo la impresión de que hay muchos "papeles virtuales" volando por nuestras calles en miles de portátiles de profesionales sanitarios, con información no disociada de pacientes, sin cifrar, al alcance de cualquiera. Y las estadísticas dicen que se pierden 600.000 ordenadores portátiles al año solo en los aeropuertos de Estados Unidos. Pero, claro, de nuevo, esto solo pasa en América...

Bienvenidos al nuevo Blog de protección de datos de la SEIS

2009-09-02T16:58:00.001+02:00

Con esta entrada, se pone en marcha el nuevo blog de la SEIS sobre protección de datos personales de salud con el que intentaré ir comentando noticias y novedades que se vayan produciendo en este campo para compartirlas con todos los socios de la SEIS y que vosotros podáis también participar haciendo llegar vuestras opiniones.

En este punto, lo primero que quiero manifestar es que las opiniones y contenidos que incluya en este blog solo representan mi propia opinión y no se pueden interpretar como el criterio de ningún organismos o autoridad de protección de datos. Estas instituciones tienen sus propios cauces para hacer llegar a la sociedad sus criterios e interpretaciones de la ley y es a dichos canales a los que hay que atenerse para conocer su postura oficial.

Por lo tanto, se trata de un foro que me gustaría fuera lo más abierto posible y que ,con respeto a todas las opiniones y personas participantes, pudiéramos conseguir un punto de encuentro para todos los profesionales de la SEIS interesados en la protección de datos.

Como primera noticia, quisiera aconsejaros la lectura del Foro de Protección de Datos del próximo número de I+S, en el que encontraréis la postura y criterios de las cuatro agencias de protección de datos existentes en España sobre diversos asuntos y problemas prácticos que se les han presentado en su quehacer diario en el mundo sanitario.

Un cordial saludo.

Emilio Aced

Coordinador de Protección de Datos de la SEIS