Conferencia sobre protección de datos en salud

Esta tarde ha habido en la Universidad Pública de Navarra una interesante conferencia sobre Protección de datos en salud, impartida por Jesús Rubí Navarrete, Director Adjunto de la Agencia Española de Protección de Datos (AEPD). Este tema aunque no tiene que ver exactamente con mi trabajo en Osasunbidea sí que me toca de refilón en algunos aspectos, y como el tema me interesa y tampoco es que suela haber muchas cosas de este tipo en Pamplona, me he animado a ir.

La reunión ha sido realmente interesante, sobretodo teniendo en cuenta la temática, que podría haber sido un tostón absoluto, pero la verdad es que he estado en charlas tecnológicas infinitamente más soporiferas.

El primer punto en el que se centró la conferencia fue en la complicación de definir qué es un Dato de Salud, lo que puede ser muy claro en algo como el tipo sanguíneo, pero que en otros puntos no lo es tanto. Por ejemplo se puso el ejemplo del caso Lindqvist, una persona de Suecia que en un curso de internet se hizo su pequeña página web y que fue después rellenándola con información sobre su vecindario. El problema apareció cuando esta persona puso en la página información que decía que otra persona del vecindario estaba de baja médica. ¿Puede esto considerarse un dato médico? Por lo que he llegado a entender la publicación en internet de información identificable de una persona constituye un tratamiento de datos de carácter personal, por lo que al proporcionarse información médica, hace que esa información deba estar sujeta a las previsiones legales correspondientes. Por otra parte hay situaciones en las que la consideración de si un dato es de carácter médico, viene dada por el uso que se vaya a hacer de él. Así por ejemplo la información de si una persona es fumadora puede considerarse como dato médico si se va a utilizar ligada a otra información como en un seguro de vida, pero no serlo en la reserva de una plaza de avión en una aerolínea.

En un segundo punto la conferencia se ha centrado en qué situaciones se puede hacer tratamiento de la información médica y de qué forma se ha de acceder a ella. En cuanto al tratamiento, éste es posible cuando se dispone del consentimiento explícito del interesado, por interés vital, para diagnósticos médicos, por interés público o para la gestión sanitaria, proporcionando en este caso un nivel de acceso limitado y proporcional. Se ha hecho especial mención a la cuestión del consentimiento explícito, ya que aunque posible, es conveniente disponer del consentimiento por escrito. Se ha contado el ejemplo de una trabajadora de una empresa que estaba de baja, y a la que fue a visitar una persona de una mutua contratada por la empresa, para hacerle una exploración y ofrecerle algún otro tipo de tratamiento. La trabajadora autorizó la exploración, por lo que se considera proporcionado un consentimiento explícito, pero este consentimiento no implica que se tenga de un uso libre 100% de esa información, por lo que al usarla para valorar su baja, se vulneraron sus derechos.

En cuanto a las formas de acceso a los datos, el acceso a los datos está permitido al personal sanitario encargado de la atención directa del propietario, con el fin de permitir los fines asistenciales, pero de forma general los accesos deben ser de forma disociada, independizando los datos médicos de los personales, excepto en situaciones en las que se disponga de un consentimiento, o por necesidades judiciales. De esta forma por ejemplo, la utilización de datos médicos en investigaciones médicas, debe ir completamente independizada de sus propietarios.

En un último punto se ha hablado de la Tarjeta Sanitaria Individual (TSI) y de la imposibilidad legal actual de incluir hoy en día datos de tipo médico, como el tipo sanguíneo, en ella. Esto es algo similar a lo que pasa con el DNI digital, en el cual según su objetivo inicial no era posible incluir información sobre el carnet por puntos, y hubo que aprovar un norma permitiéndolo.

Tras la conferencia ha venido un pequeño turno de preguntas con bastante participación también para lo que suele ser habitual en muchas ponencias, en las que se ha constatado la dificultad de implementar todas estas medidas, pero sí se ha visto que es un camino que hay que recorrer, aunque tendrá sus costes organizativos y de gestión entre otros. Como anécdota me ha llamado la atención un caso real que ha contado ya al finalizar las preguntas, referente al Servicio Vasco de Salud, Osakidetza. Este organismo fue sancionado por dos infracciones, una por no llevar correctamente un control de incidencias, ya que utilizaban un sistema informático que limitaba el texto que se podía escribir en la incidencia, por lo que éstas se cortaban en algunas situaciones. Lo llamativo del caso es que la informatización de estas incidencias no está en la norma y hubiera sido suficiente con llevarlas en un cuaderno, lo que es un claro ejemplo de que la informatización de por sí no tiene porqué ser una solución si no se consideran todos los posibles aspectos. La segunda infracción también es curiosa. Fue relativa a la gestión de algún apartado determinado de la seguridad y es un claro ejemplo del nivel en el que están actualmente las instituciones. Las inspectoras encargadas del asunto estuvieron gratamente sorprendidas del nivel de detalle y la calidad con la que se estaban realizando las acciones, sin embargo Osakidetza fue sancionada al no llegar a satisfacer completamente todos los requisitos establecidos, lo que hace pensar cómo estarán el resto de administraciones…