28 de Enero, día europeo de la protección de datos.
Análisis por Eduardo Asensi Pallarés e Igo Pinedo García, abogados de Ajusa – Letramed
Las nuevas tecnologías han cambiado nuestra forma de trabajar, incluso en profesiones con relaciones tan personalizadas como la medicina. Hoy día el profesional de la medicina dispone de unas herramientas que le permiten el acceso a información sobre enfermedades en general, y sobre el paciente, en particular, de una forma sumamente fácil y rápida.
Los sistemas informáticos de que disponen ahora los hospitales para acceder a los historiales clínicos de pacientes, aportan enormes ventajas, no sólo en la gestión de documentación, sino también para el propio profesional que de forma sencilla tiene acceso a todos los antecedentes del paciente.
Sin embargo, tampoco se pueden obviar los peligros que presenta el uso de las nuevas tecnologías a la hora de quebrantar la protección de unos datos declarados por nuestra normativa como especialmente sensibles, y, por tanto especialmente protegidos. El problema reside en que es imposible determinar a priori qué profesionales van a tener que intervenir en la atención de un paciente, lo que obliga a abrir la historia a todos, aun a riesgo de facilitar lo que podríamos denominar “voyeurismo científico”. Hemos visto recientemente un caso en Navarra, donde el Tribunal Superior de Justicia de la Comunidad Foral confirmaba una sentencia previa de instancia del Juzgado núm. 1 de Pamplona, en la que se declaraba acreditado, “un acceso casi indiscriminado” de profesionales no implicados en el diagnóstico y tratamiento de una paciente a su historial clínico informatizado”.
Según consta en el peritaje informático, se produjeron 2.825 accesos ilegítimos, realizados por 417 usuarios, integrados en 55 servicios, y procedentes de distintos centros (hospitalarios, de salud, ambulatorios), mientras que la paciente sólo estuvo ingresada en un hospital, y en cuatro servicios. El tribunal admite que está indicado, y por tanto justificado sacar fotografías, pero siempre y cuando tengan fines estrictamente terapéuticos, de tratamiento y de diagnóstico, sean trascendentales o necesarias para la prestación de la asistencia sanitaria. En este caso, sin embargo, no concurrían estas circunstancias, puesto que de acuerdo con la declaración del médico intensivista se trata de un supuesto en el que fallecen el 99,9% de los pacientes —por tanto, nada extraordinario—, pero sí se sacaron muchas fotografías especialmente duras del cuerpo de una mujer joven desnuda, y en un estado impactante, e incluso en algunas de ellas se podía identificar a la paciente.
Protección por la Ley de Autonomía del Paciente
La historia clínica se configura como un documento cuya finalidad es la asistencia médica a pacientes y su consulta está bien regulada y limitada por la actual Ley de Autonomía del Paciente- LAP (art. 16). Dicha ley refrenda que únicamente aquellos profesionales sanitarios que participen en el proceso diagnóstico y/o de tratamiento médico de un paciente concreto tendrán absoluta legitimidad para el acceso al contenido del historial clínico, salvo que el paciente dé su consentimiento expreso para que otro profesional ajeno al proceso consulte su historia.
Como se apuntaba en líneas anteriores, por curioso que parezca, un profesional sanitario por el mero hecho de serlo no ostenta un poder discrecional para el acceso a cuantas historias clínicas existan en el centro médico donde desempeñe su labor asistencial, excepto en los casos en que se encuentre participando en su proceso médico. Por tal motivo, en el punto número 2 del artículo 16 de la LAP, se determina que “cada centro establecerá los métodos que posibiliten en todo momento el acceso a la historia clínica de cada paciente por los profesionales que le asistan”.
Registros exigidos por la AEPD
Este mandato ve su reflejo directo en la obligación que establece el Real Decreto 1720/2007 de Protección de Datos, para que todos aquellos responsables del tratamiento de información personal, en este caso los centros médicos, adopten una serie de medidas de seguridad que posibiliten la integridad y seguridad de la documentación que conforman sus archivos y/o sistemas de información. No obstante, y aunque el número de normas de seguridad exigidas en este ámbito es abundante, merece la pena centrarse en una medida concreta que posibilita conocer la autoría de un acceso ilegítimo a una historia clínica: el Registro de Accesos.
El artículo 103 del RD 1720/2007 establece que todos aquellos sistemas de información que traten datos de carácter sensible, como los datos de salud, deberán integrar una herramienta de seguridad y registro que almacene “de cada intento de acceso, como mínimo, la identificación del usuario, la fecha y hora en que se realizó, el fichero accedido, el tipo de acceso y si ha sido autorizado o denegado”, añadiendo a continuación, que esta información sobre los accesos llevados a cabo se guardará durante un periodo mínimo de dos años.
En palabras de la propia Agencia Española de Protección de Datos, la finalidad de esta medida de seguridad “(…) será el que la información almacenada en el registro de accesos permita identificar inequívocamente qué persona ha tenido acceso y a qué información contenida en el fichero en cada momento, a fin de, en caso de ser necesario, reconstruir cuándo y cómo se produjo una determinada revelación de un dato, y de que sea posible identificar a la persona que pudo conocerlo en ese momento concreto.”
De la misma manera, la Resolución 001/2003 dictada por la AEPD, alude a la función de dicha medida de seguridad, señalando que “la previsión del artículo 24.2 va dirigida a poder conocer, cuándo los accesos han sido autorizados, así como los registros a los que se ha accedido, una previsión que posibilitará analizar si el acceso a los datos de salud por un usuario autorizado está o no justificado. Por tanto, en el caso de que se produzcan los accesos autorizados a los datos de salud, es preciso guardar la información sobre los registros accedidos como requisito necesario para poder comprobar si el acceso responde o no a la finalidad descrita.”
Así pues, la sentencia dictada por el Tribunal Superior de Justicia de Navarra considera acreditada la vulneración del derecho a la intimidad de la paciente, y también el derecho a la protección de datos personales, que incide no sólo en la intimidad personal, sino también familiar. Por este motivo, “reconoce el derecho de los demandantes a percibir la suma de 125.000 euros, y condena a la administración demandada a reitrar las fotografías del historial clínico informatizado de la paciente, así como la entrega de cualquier soporte técnico que permita su reproducción o exhibición de cualquier tipo de imágenes que se le hayan podido realizar durante la estancia en el centro hospitalario”.