Este jueves comienza el VI Congreso de Deontología Médica en Badajoz en el que Juan Calixto Galán, fiscal jefe de la Audiencia Provincial de Badajoz, moderará una mesa dedicada al médico virtual. En una entrevista concedida a ‘Médicos y Pacientes’ destaca que los profesionales “deben ser extremadamente cautos y celosos con la confidencialidad de los datos de sus pacientes"
¿Cuáles son los principales riesgos a los que se enfrenta un médico en el manejo de datos de pacientes?
Sin ninguna duda el control de los mismos en cuanto a la confidencialidad y la restricción de su acceso por terceras personas. Los datos pertenecientes a la salud de los pacientes son extremadamente sensibles no sólo en la dimensión humana, sino también desde la perspectiva jurídica, y así lo han puesto de relieve continuamente los Tribunales, especialmente desde la Sentencia del Pleno del Tribunal Constitucional de 30 de noviembre del 2.000, y la STC de 23-3-2.009 Sala 1ª, ya que conecta al profesional con la salvaguarda de la intimidad del paciente, de máxima protección constitucional en nuestro Art 18 de la Carta Magna, algo que obliga a los profesionales sanitarios a ser extremadamente cautos y celosos en conservar el sigilo y la confidencialidad de los datos de sus pacientes, tanto ad-intra, como de posibles e indeseables intromisiones exteriores.
¿El profesional sanitario llega a ser consciente de la prudencia con la que debe manejar esta información para no incurrir en un delito?
Tengo serias dudas de que este alcance de reforzada protección legal haya sido asumido en su verdadera dimensión por todos los profesionales sanitarios. En estos momentos del siglo XXI el panorama está ampliamente matizado por la legislación de protección de datos y sus severas sanciones en caso de infracción, así como por las disposiciones de la Ley 41/2002 y normativa autonómica sobre acceso y conservación de la historia clínica. Ahora que hay añadir la nueva responsabilidad de las personas jurídicas (sociedades, colegios de médicos, mutuas, aseguradoras, etc) e incluso consultas médicas compartidas donde los sistemas de “Compliances” en cuanto a los procedimientos y buenas prácticas para identificar los riesgos, y el sistema de control para evitar intromisiones debe ser un objetivo primario por parte de las entidades que manejen datos de la salud personal de los pacientes.
Desde los Colegios de Médicos se debiera insistir desde la perspectiva de la formación de los profesionales en la necesidad de cumplir las normas y conocer los derechos y deberes en esta materia, especialmente en los casos de conflicto. No es ocioso afirmar, y de ello nos enorgullecemos, que el Colegio de Médicos de Badajoz en este sentido es ejemplar en este ámbito, y en otros de semejante entidad, mediante la realización de Cursos y Jornadas y Publicaciones al respecto, en las que he tenido el honor de participar en algunas de ellas.
El acceso injustificado a una historia clínica, ¿qué puede suponer?
El acceso injustificado es una intromisión ilegítima cuya calificación legal variará según el contexto circunstancial y personal en que la misma se produce. Las consecuencias pueden ser de diversa índole, y puede tener repercusión en todas las esferas profesionales, tanto penal, como de responsabilidad civil, a la vez que desplegar efectos administrativos y de posible responsabilidad patrimonial.
La consecuencia más grave vendría desde la órbita penal a través del contenido del tipo del Art 197 del código penal respecto del descubrimiento y revelación de secreto y sus variadas conductas de apoderamiento, acceso e intromisiones ilegítimas, con diversas agravaciones de prevalimiento personal, en función de los medios empleados y en la propia revelación a terceras personas de los datos de la historia clínica ilegítimamente obtenidos, o indebidamente revelados. Todas estas conductas están castigadas con diversas penas privativas de libertad, y pueden contemplar inhabilitación y suspensión profesional y para empleo o cargo público a los responsables del delito
¿En qué casos estaría justificado este acceso?
La intimidad junto a la vida y la integridad física son de los bienes personales más preciados. Tiene un valor intrínseco y de una profundidad incalculable. Por ello, los datos concernientes a la salud de un paciente, sea de una anamnesis, de un diagnóstico, de un tratamiento o de cualquier acto o intervención médica pertenecen a la esfera de la privacidad más absoluta.
El acceso está indicado sólo y exclusivamente con una finalidad médica asistencial o informativa para pautar una intervención o un tratamiento médico que le esté conferido al profesional de modo singular, o en combinación con otros profesionales que conjuntamente se ocupan del paciente. Fuera de la dinámica asistencial no es posible el acceso sin consentimiento del paciente. Así lo expresa de modo suficiente la propia Ley 41/2.002 de autonomía del paciente y documentación clínica cuando nos indica que: “Los profesionales asistenciales del centro que realizan el diagnóstico o el tratamiento del paciente tienen acceso a la historia clínica de éste como instrumento fundamental para su adecuada asistencia.”
La ley configura otros accesos complementarios con fines judiciales, epidemiológicos, de salud pública, de investigación o de docencia, con remisión a la legislación de protección de datos y a la propia Ley General de Sanidad. También existen accesos justificados con fines de prevención de salud pública y de funciones inspectoras Pero lo que es indudable, es que la historia clínica – con independencia del debate de su propiedad- tiene un carácter personalísimo tanto para el médico, como para el paciente, y cualquier acceso injustificado extramuros de la prestación asistencial es ilegítimo y puede ser fácilmente objeto delictivo -especialmente si la finalidad del acceso es espuria – como reiteradamente están castigando los tribunales penales. En este terreno, las conductas de ligereza o mera indiscreción pueden ser muy perjudiciales para los profesionales sanitarios.
¿Qué le puede suceder al médico que comparte información clínica con sistemas de mensajería no encriptados?
En una sociedad actual global interconectada y transversal es muy frecuente compartir elementos de información de muy diversa índole. Reafirmando el contenido anterior en cuanto a las limitaciones de acceso y manejo confidencial de la información bajo pautas de prestación asistencial, docente o investigativa ( con especial cuidado de no revelación de datos identificativos personales en los dos últimos casos), es lo cierto, que se impone extremar las medidas de precaución asegurativa en el manejo compartido de información clínica, ya que los hackers e intrusos con cualquier finalidad están, desgraciadamente, muy presentes en el ámbito informático, para luego sacar el máximo partido -en ocasiones delictivo- a la información indebidamente obtenida.
Las “Compliances” y el rigor que se desprende de la legislación de protección de datos nos debe inclinar a un tráfico de datos seguro, especialmente en la utilización de mecanismos reforzados de seguridad en los sistemas informáticos de hospitales y profesionales, aconsejando el uso de potente antivirus y aquellos mecanismos de refuerzo que los profesionales informáticos tengan por conveniente.
¿Sabe el médico qué implicaciones puede tener resolver consultas con aplicaciones que no trabajen bajo el paraguas del RGPD o la HIPAA?
La legislación y las indicaciones en materia de protección de datos son de especial consideración, muy especialmente a partir de la L.O.3/18 de 5 de diciembre de protección de los datos personales y garantía de los derechos digitales que ha adaptado nuestra legislación nacional a las últimas Directivas europeas en dicha materia.
El deber de confidencialidad adquiere carácter reforzado en el Art 5 de la nueva LOPDP. Por tanto, es preciso extremar el celo bajo cauces de seguridad y estabilidad, evitando el manejo de datos o indicaciones que fuera del consentimiento del paciente titular puedan ser fácilmente extrapoladas o compartidas de un modo ajeno y sin control. La seriedad y eficacia de los sistemas de información y gestión deben ser en este terreno nuestros principales aliados, lo que enlaza con el derecho a la seguridad digital que regula el nuevo Art 82 de la LOPDP.
¿Qué cambios ha acarreado la nueva ley de protección de datos?
La exactitud, el deber de confidencialidad, el principio de que el tratamiento siempre parte del consentimiento del afectado, la regulación en este ámbito del consentimiento de los menores de edad
Los datos relativos a la salud están encuadrados en lo que el Art 9 de la LOPDP denomina “Datos especiales”, y en tal sentido expresa que los mismos “deberán estar amparados en una norma con rango de ley, que podrá establecer requisitos adicionales relativos a su seguridad y confidencialidad.
En particular, dicha norma podrá amparar el tratamiento de datos en el ámbito de la salud cuando así lo exija la gestión de los sistemas y servicios de asistencia sanitaria y social, pública y privada, o la ejecución de un contrato de seguro del que el afectado sea parte.” Todo ello en consonancia con las disposiciones del Reglamento del Parlamento Europeo 2016/679, especialmente en el contenido de su Art 9.2 h.
