El fiscal de delitos informáticos de la Audiencia Provincial de Badajoz, Julio López Ordiales, participará en el VI Congreso de Deontología Médica, que se celebra del 4 al 6 de abril, donde analizará los principales riesgos a los que se enfrentan los profesionales sanitarios en el manejo de datos de pacientes. El experto explica, en esta entrevista concedida a ‘Médicos y Pacientes’, que “acceder a cualquier base de datos personales de salud, sin autorización de los titulares, representa un atentado contra la intimidad de las personas afectadas y conlleva genéricamente una condena de entre 2 años y 6 meses y 4 años de prisión, además de multa de 12 a 24 meses”
¿Cuáles son los principales riesgos a los que se enfrenta un médico en el manejo de datos de pacientes?
En general se corren los mismos riesgos que cualquier profesional que en su trabajo diario deba gestionar datos personales. La Ley Orgánica de Protección de Datos y su Reglamento prevén una serie de conductas contrarias a la norma y sus sanciones, vía Agencia de Protección de Datos, son esencialmente pecuniarias. Pero para casos más graves existen las disposiciones del Código Penal sobre apoderamiento y revelación de datos personales (artículos 197 y siguientes del CP) que incluyen ya sanciones más graves como la prisión y posiblemente inhabilitación para la profesión.
¿El profesional sanitario llega a ser consciente de la prudencia con la que debe manejar esta información para no incurrir en un delito?
Entiendo que sí. La confidencialidad entre médico y paciente forma parte integrante de la actividad médica, por lo tanto, nunca podría alegarse ignorancia. Si podría pasar que en algún caso específico se bordease la indiscreción, pero creo que más por la consideración del dato en sí que por la revelación de datos personales. En algunos casos, incluso se ven sometidos a mucha presión cuando familiares y amigos tratan de obtener información, posiblemente con la intención de ayudar, y debe negarse a darla: medicamentos recetados, terapias pautadas, etc…
El acceso injustificado a una historia clínica, ¿qué puede suponer?
Acceder a cualquier base de datos personales de salud, sin autorización de los titulares de éstos, representa un atentado contra la intimidad de las personas afectadas y conlleva genéricamente una condena de entre 2 años y 6 meses y 4 años de prisión, además de multa de 12 a 24 meses. Además, si estos datos se comunican o se trafica con ellos las penas se agravan hasta los 7 años de prisión (art. 197 del CP).
¿En qué casos estaría justificado este acceso?
Las normas sobre la Historia Clínica detallan claramente los límites de acceso y los usos que se pueden dar a los datos contenidos. En general, los médicos y personal sanitario en el ejercicio de sus funciones en relación con el paciente afectado y solamente en el ejercicio de su función médica pueden acceder a la HC, piénsese en diagnósticos colegiados, cambios de enfermería y de médicos, traslados de planta o de centro.
¿Qué le puede suceder al médico que comparte información clínica con sistemas de mensajería no encriptados?
El riesgo de acceso a la información que compartimos a través de sistemas de comunicaciones por terceros no autorizados es elevado. El uso de canales seguros debería ser la prioridad y la norma. La desidia en estos casos se paga con la posible sanción administrativa, a través de la Agencia de Protección de Datos, si se considera que se ha gestionado mal el uso de los datos o puede llegar a sanciones más graves incluso vía penal si era muy evidente la posibilidad de acceso por terceros no autorizados, y a pesar de ellos se usó el sistema.
¿Sabe el médico qué implicaciones puede tener resolver consultas con aplicaciones que no trabajen bajo el paraguas del RGPD o la HIPAA?
Como ya he señalado antes la confidencialidad del médico es elemento esencial de su profesión. El uso de las nuevas tecnologías conlleva más riesgos y por ello requieren más prudencia y control aún que con el sistema tradicional. El problema surge cuando el médico no controla los elementos que la aplicación implementa para garantizar la confidencialidad de la intervención y si estos elementos cubren los estándares previstos en medicina. En estos casos, surge la necesidad de dotar a los equipos médicos de otros profesionales más relacionados con la seguridad informática que con la Medicina.
¿Qué cambios ha supuesto la nueva Ley de Protección de Datos?
Fundamentalmente ha ordenado un tanto la legislación centralizado las normas dispersas en torno al Reglamento de la UE2016/679 del Parlamento Europeo y del Consejo referenciando las diversas normas existentes al art 9-2 del citado Reglamento. Se regula sobre todo el uso y acceso a los datos recogidos para fines de salud (HC), en investigación de la salud y biomedicina. Las cautelas se mantienen y refuerzan, como es lógico, y se definen más claramente, adaptados a la reglamentación europea, los objetivos para los que los datos se ceden y como se controla este uso y cesión.
