Nuestra salud digital

OpiniónLa brecha entre el tratamiento de datos sensibles y la regulación legal… O los derechos de los pacientes y la integridad de su información de salud

La salud del paciente no solo está en manos de los profesionales de la salud; en la actualidad los departamentos legales y tecnológicos son sus socios naturales en el cumplimiento de las leyes respecto de la integridad y tratamiento de los datos sanitarios… Y, sobre todo, en la disponibilidad e integridad de la información que puede salvar una vida.

Para interiorizarnos en esta problemática e interpretar cómo se ha globalizado la responsabilidad en la atención de la salud dentro de cada una de las instituciones sanitarias a través de sus distintos departamentos operativos, primero debemos partir de estas tres premisas:

  1. Contamos con regulaciones legales definidas y orientadas a la protección de datos personales y a los derechos de los pacientes, que son nuestro primer marco de referencia para asegurar la atención (Ley de Ejercicio de la Medicina, Odontología, y de las Actividades de Colaboración, Ley de la Historia Clínica Electrónica, Ley de Derechos del Paciente, Historia Clínica y Consentimiento Informado, Ley sobre Firma Digital).
  2. Cambio de enfoque de las áreas de tecnología y seguridad de la información como componentes de servicio, necesarios para los procesos asociados a la atención y cuidado de los pacientes (ISO/IEC 20000 Sistema de Gestión de Servicios de TI, ITIL, CobIT, ValIT).
  3. Establecimiento de una nueva visión para la gestión de control corporativo, denominada GRC y que se basa en la gobernabilidad corporativa, gestión integral de riesgos del negocio y cumplimiento de leyes y regulaciones.

Iniciar este artículo conociendo estos conceptos nos ayudará a entender y a “naturalizar” el porqué de la integración de departamentos tan disímiles como las áreas técnicas médicas (profesionales de la salud en cualquiera de sus disciplinas), las áreas tecnológicas (responsables de los sistemas, comunicaciones y seguridad de la información) y las áreas técnicas legales (responsables de acompañar y guiar en la implementación de soluciones para el cumplimiento que surge del marco regulatorio de las entidades de salud).

Ahora el objetivo… La salud del paciente. El símbolo de la moral colectiva y la promesa ética de los médicos unidos por un único propósito de curar y aliviar a sus pacientes se materializa en el juramento hipocrático, que desde su concepción ha evolucionado como así también lo hizo la práctica de la medicina a través de la influencia tecnológica.

Esta evolución ha permitido que de distintas formas se cambie el enfoque, de concentrarse en curar enfermedades, a interesarse en el cuidado de la persona como un ser concreto abarcando tanto sus aspectos físicos como psíquicos, responsabilidad no solo de los profesionales médicos en cualquiera de sus especialidades sino también de otras personas del área de la salud y principalmente relacionadas con la tecnología médica.

Debido a ello, y específicamente desde las áreas de tecnología de la información, es que deben brindar a los profesionales de la salud un ambiente seguro de trabajo garantizando confidencialidad e integridad de los datos a pacientes y afiliados, reflejando en los sistemas y soluciones tecnológicas aquellas medidas de cumplimiento surgidas de las diferentes leyes que regulan a las organizaciones de salud; a su vez las áreas tecnológicas deben obtener la guía y asesoramiento desde el área legal para definir la arquitectura de la solución tecnológica acorde al cumplimiento de las leyes y del compromiso de los profesionales de la salud para con los pacientes.

En lo planteado hay un estricto sentido de dirección en integrar diferentes áreas enfocándolas hacia la protección integral de la información del paciente y, si vemos el proceso de la atención de su salud desde el aspecto del cumplimiento, conseguiremos encauzar cada necesidad de implementación tecnológica no como un proyecto individual para resolver una situación puntual, sino como una herramienta de solución a procesos de tratamiento de información y atención médica de las personas.

Ahora bien, el tratamiento de los datos presupone un entorno de riesgos asociados a la operatoria de los sistemas que deben ser tenidos en cuenta y medidos en función del entorno de aplicación. La exposición de los datos sensibles de las personas (historias clínicas, resultados de investigaciones); errores de gestión de seguridad con administradoras de contratos, distribuidoras, droguerías, farmacias, obras sociales y empresas de medicina de prepago y prestadores médicos, pueden ser solo algunos de los riesgos en el intercambio, gestión e integración de información relacionada con la atención de sanidad y la gestión de servicios de salud.

Las transacciones para trasmitir datos de registro de pacientes, admisión, cobertura de salud, imágenes, órdenes y resultados de laboratorio, observaciones sanitarias y de enfermería, indicaciones de exámenes, dietas y medicamentos pueden verse afectados y llevarnos a incurrir en errores en la historia clínica electrónica con las siguientes consecuencias:

  • Pérdida de datos – ¿Qué ocurre si no se elabora la historia clínica o se omite anotar algún procedimiento o medicación? Todo lo que no se precise en ella puede ser usado en contra de quien cometió la omisión, pero adicionalmente se expone a las sanciones disciplinarias ante el Tribunal de Ética Médica.

  • Falta de integridad de los datos – ¿Qué ocurre si se hacen anotaciones de las condiciones de salud de una persona, o actos médicos o procedimientos que nunca se realizaron? Se comente el delito de falsedad ideológica en documento privado. Todo lo que no se precise en ella puede ser usado en contra de quien cometió la omisión, pero adicionalmente se expone a las sanciones disciplinarias ante el Tribunal de Ética Médica.

  • Falta de confidencialidad de los datos – ¿Qué sanción tiene una persona particular que revele algo que esté en la historia clínica de otra persona? Comete el delito de divulgación y empleo de documentos reservados.

La tecnología, entonces, debe responder a dos compromisos asumidos desde la práctica médica en pos de la defensa del derecho del paciente:

  1. El ético y moral que surge del contacto entre el médico y el paciente y se refleja en la historia clínica donde se recoge la información necesaria para la correcta atención de los pacientes.
  2. El legal, establecido por el Estado como marco de cumplimiento para la buena práctica y cuidado de la persona, no solo en el derecho de asistencia médica sino también de la información relativa a su salud.

Bajo este contexto, y si bien la hemos puesto en tercer lugar, la premisa más importante es la de establecer un gobierno corporativo que permita administrar los diferentes procesos tecnológicos para garantizar que el uso de las tecnologías cumple con los objetivos éticos y legales de la atención médica. Esto nos conducirá primeramente a interpretar cada una de las leyes de aplicación para, de esta manera, adecuar nuestros sistemas a las necesidades de cumplimiento y así brindar al paciente seguridad en la confidencialidad de sus datos y resguardar su salud, a brindar a los profesionales médicos integridad en la información utilizada para confirmar diagnósticos, realizar análisis o decidir tratamientos.

En relación a estas definiciones podemos tomar como ejemplo algunos puntos a analizar en el Código de Ética para los Equipos de Salud de la Asociación Médica Argentina publicado en 2001, que merecen ser tenidas en cuenta al momento de proyectar la implementación de soluciones tecnológicas relacionadas con el tratamiento de datos:

Definiciones de tratamiento Condición tecnológica
El Artículo 171 que dice “La historia clínica debe ser legible, no debe tener tachaduras, no se debe escribir sobre lo ya escrito, no debe ser borrada, no se deben dejar espacios en blanco. No se debe añadir nada entre renglones.” El Artículo 185 dice “en caso de computarización de la historia clínica deberán implementarse sistemas de seguridad suficientes para asegurar la inalterabilidad de los datos y evitar el accionar de violadores de información reservada”.

 

El artículo 178 dice “la historia clínica completa y escrita en forma comprensible, es una de las mayores responsabilidades del equipo de salud y su redacción defectuosa es un elemento agravante en los juicios de responsabilidad legal.”
El Artículo 181 dice “… la desaparición de la historia clínica o su falta de conservación entorpecerá la acción de la justicia. Así mismo negará la oportunidad de defensa en juicio.”

Verlo de esta forma nos ayudará a reducir el impacto negativo sobre la protección de datos que en la actualidad se traduce en un riesgo de vida para el paciente. En mi experiencia he podido determinar que la mayoría de los organismos de salud carece de:

  • Procedimientos de control para el desarrollo y mantenimiento de sistemas, desde modificaciones no autorizadas sobre los sistemas, falta de documentación e implementación de sistemas no probados.
  • Procedimientos aprobados para las tareas de administración de seguridad, con el fin de evitar accesos no autorizados a la información o los recursos del organismo, inexactitud o falta de confiabilidad de los datos o sistemas y falta de disponibilidad de la información o recursos necesarios.
  • Un plan para afrontar contingencias ante interrupciones a la continuidad operativa del organismo, con el consiguiente perjuicio al paciente.
  • Procedimientos documentados para la generación de back ups maximizando la pérdida de información.

Como respuesta a los puntos arriba enunciados, si analizamos la Ley de Protección de Datos Personales podremos ver que nos sirve como marco de implementación para dar respuesta a lo indicado tanto en la Ley para el Ejercicio de la Medicina, como en la Ley de Derechos del Paciente en su Relación con los Profesionales e Instituciones de la Salud, dando respuesta directa de solución al secreto profesional y garantías sobre la integridad y legibilidad de la información. Algunos de los principales objetivos son:

  • Garantizar transparencia en el tratamiento de la información y su comunicación cuando los datos personales se sometan a tratamiento de forma automatizada, implementando medidas técnicas y organizativas que garanticen un nivel de seguridad adecuado en relación con los riesgos en el tratamiento y la naturaleza de los datos.
  • Realizar una evaluación de los riesgos para adoptar medidas de protección de los datos contra su destrucción accidental o ilícita, o su pérdida accidental, y para impedir cualquier forma de tratamiento ilícito, en particular la comunicación, la difusión o el acceso no autorizados o la alteración de los datos personales.
  • Especificar conformidad en los criterios y condiciones aplicables a las medidas técnicas y organizativas para sectores específicos y en situaciones de tratamiento de datos específicas, habida cuenta en particular de la evolución de la tecnología y de las soluciones de privacidad desde el diseño y la protección de datos.

[email protected]

Fabián Descalzo, COBIT5 Foundation, Lead Auditor ISO/IEC 20000:2011, ISMS Auditor/Lead Auditor ISO/IEC 27001

Gerente de Servicios y Soluciones en el área de Gobierno, Riesgo y Cumplimiento (GRC) en Deloitte & Co., con 28 años de experiencia en la implementación y cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de negocio en la optimización y cumplimiento de la seguridad en sistemas de información, Gobierno de TI y Gobierno de Seguridad de la Información. Miembro del Comité Directivo del “Cyber Security for Critical Assets LATAM Summit” para Qatalys Global sección Infraestructura Crítica (Gobiernos y empresas de América Latina en el sector de la energía, química, petróleo y gas), Miembro del Comité Científico ARGENCON del IEEE (Institute of Electrical and Electronics Engineers), Miembro del Comité Organizador CYBER 2015 de ADACSI/ISACA, certificado en Dirección de Seguridad de la Información (Universidad CAECE), instructor certificado ITIL Fundation v3-2011 (EXIN), auditor ISO 20000 (LSQA-Latu), IRCA ISMS Auditor / Lead Auditor ISO/IEC 27001 y Lead Auditor ISO/IEC 20000 TÜV Rheinland. Columnista especializado en áreas de Gobierno, Seguridad y Auditoría, Informática en Salud y Compliance en las revistas CISALUD, PERCEPCIONES (ISACA Montevideo Chapter), El Derecho Informático, CXO-Community, EXIN Newsletter y MAGAZCITUM; y disertante para CXO-COMMUNITY, Consejo Profesional de Ciencias Informáticas, ISACA Buenos Aires Chapter, ISACA Montevideo Chapter. Docente del módulo 27001 del curso de “IT Governance, Uso eficiente de Frameworks” y de la “Diplomatura en Gobierno y Gestión de Servicios de IT” del Instituto Tecnológico de Buenos Aires (ITBA); Docente en “Sistemas de Gestión IT” y “Seguridad de la Información” en TÜV Rheinland Argentina, Docente del módulo Auditoría y Control en Seguridad de la Información en la Universidad Nacional de Rio Negro. 

Tags:

Deja un comentario

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

*

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.