De tatuajes electrónicos y libertad informática
Septiembre de 2013 - Diego Fanjul. Socio responsable de Protección de Datos en Círculo Legal Mallorca
El MIT Technology Review trabaja en el desarrollo de tatuajes electrónicos para hacer seguimiento de salud durante la actividad diaria. No, no es ciencia ficción. Los investigadores, "aprovechando los recientes avances en electrónica flexible han encontrado una forma de imprimir los aparatos directamente sobre la piel para que la gente pueda llevarlos durante un periodo prolongado mientras llevan a cabo su rutina diaria". El dispositivo podría medir la temperatura, esfuerzo y estado de hidratación de la piel. Éste es sólo un ejemplo de lo que viene. ¿Qué implicaciones tiene la utilización de este tipo de tecnología en términos de privacidad de los pacientes? ¿De quién es toda la información que compila este sensor electrónico impreso en la piel? ¿Es legal? Todas estas preguntas encuentran contestación en la Ley 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD)
A pesar del tiempo pasado desde su aprobación sigue siendo para muchos profesionales sanitarios algo inquietante. Se percibe la existencia de ciertas obligaciones (casi todas relacionadas con medidas de seguridad imposibles de cumplir) y desde luego se conocen las cuantiosas sanciones que puede traer su incumplimiento. La reacción que suelo encontrar es de extrañeza, de molesta sombra que se extiende sobre el trabajo del profesional sanitario, que no sabe bien a qué atenerse. Olvídese de las multas (que existen) y de copias de seguridad (que hay que hacerlas). ¿Alguna vez se ha preguntado qué protege la norma? ¿De qué hablamos cuando hablamos de protección de datos? El conocimiento por parte del profesional sanitario de los principios esenciales de la norma es ya ineludible, pues están íntimamente relacionados con su actividad profesional. La práctica médica, tanto desde la óptica de gestión de información (historia clínica electrónica, receta electrónica) como la propia utilización de nuevas tecnologías para la prestación de servicio sanitario (telemedicina, sensores corporales) está cambiando. Es en este contexto de cambio donde las tecnologías de información y comunicación se enlarvan en la práctica médica en el que es necesaria una respuesta respecto a la privacidad de los pacientes ¿Por qué existe la LOPD? ¿Qué protege? Esencialmente, garantizar el poder de control y disposición de nuestros datos, es decir, que podamos controlar nuestra información, la información que los demás tienen de nosotros.
Alrededor de este principio (autodeterminación informativa) se desarrolla el contenido esencial de la LOPD: el principio de calidad de datos, información, consentimiento, secreto y seguridad. Por tanto, debemos prestar especial atención a toda acción profesional relacionada con este concepto. Y es que la Ley verifica la realización de esta llamada libertad informática a través de unos principios que informan a todos los tratamientos de datos y deberes, acciones concretas relacionadas con la captura y conservación de información personal.
Vamos primero con estos principios que estructuran nuestra idea de privacidad. Una lectura profunda de la Ley nos deja con la impresión de que el legislador no desea que se recopilen datos personales y establece ciertos principios que debe cumplir cualquier tratamiento. El cumplimiento de los principios agrupados en "calidad de los datos" no admiten moderación ni excepción, cualquier tratamiento de datos que no los reúna sería ilegal. Los datos se utilizan para el cumplimiento de una finalidad concreta, sólo puedo recoger los que necesito para cumplir esa finalidad y deben de estar actualizados. Un tratamiento de datos efectuado como consecuencia de la prestación de un servicio sanitario normalmente cumplirá estos principios, por lo que no vamos a detenernos aquí. ¿Qué más nos pide la LOPD? Seguimos con los deberes.
Informar a la persona respecto a ciertas circunstancias que rodean al tratamiento de datos: quién es el responsable, para qué los va a utilizar, dónde puede ejercitar los derechos que le asisten respecto a los datos. Este texto es frecuente encontrarlo a pie de página de formularios. Sin previsión expresa para el tratamiento de datos de salud, es necesario reinterpretar el deber de información en el ámbito médico. ¿Cómo informar? ¿Quién informa? La mejor respuesta a estas cuestiones se da desde el "cuándo". El momento idóneo es el de recogida de datos. Hay muchos escenarios, pero suele ser frecuente, en una primera asistencia en, por ejemplo, una consulta, la atención por parte de personal administrativo que "abre una ficha". Lo ideal es la entrega de formulario que incluye texto informativo para la firma por parte del paciente. Ahora bien, podemos ir más allá explicando cómo se tratan los datos en la consulta de manera sencilla, para que el paciente lo entienda. Por eso es muy importante la formación del personal que atiende al paciente, que hace comprender qué va a pasar con sus datos. La información adquiere especial relevancia en el ámbito de los tratamientos de datos de salud, en tanto este tipo de tratamiento excepciona de la necesidad de consentimiento del afectado. La norma es que el tratamiento de datos de salud requiere el consentimiento expreso del afectado. Este régimen excepcional se aplica siempre y cuando los datos de salud se utilicen por parte de profesional sanitario para la prestación de servicio sanitario. Si hasta aquí están conmigo, información y consentimiento están íntimamente ligados a ese poder de control y disposición del que hablábamos al principio, y por tanto, son clave para entender y cumplir la Ley. Por otra parte, ¿cómo voy a controlar mis datos si no sé para qué se van a utilizar ni quien va tenerlos?
En cuanto al deber de secreto, poco que decir. La práctica médica integra el secreto como parte esencial del ejercicio profesional. Quizás llamar la atención sobre el deber de custodia que obliga al profesional sanitario en la gestión de información clínica, especialmente en soporte papel. Cada soporte tiene sus riesgos. Además del cuidado que el sentido común nos indica, hay ciertos procedimientos relacionados con el cumplimiento del principio de seguridad que debemos integrar en nuestro día a día. La mayor parte recaen sobre profesionales informáticos. Otros, como la utilización de contraseñas seguras, no.
Mi consejo para el profesional sanitario es sencillo: entienda qué quiere la LOPD: garantizar el poder de control y disposición de la información de las personas, su derecho a decidir sobre qué ocurre con sus datos. Y ahora, piense en cómo afecta este principio a su práctica profesional. Comprobará que no es necesario hacer tantas cosas y desparecerá esa molesta sombra de incertidumbre: sabrá de qué estamos hablando cuando hablamos de privacidad de los pacientes
Alrededor de este principio (autodeterminación informativa) se desarrolla el contenido esencial de la LOPD: el principio de calidad de datos, información, consentimiento, secreto y seguridad. Por tanto, debemos prestar especial atención a toda acción profesional relacionada con este concepto. Y es que la Ley verifica la realización de esta llamada libertad informática a través de unos principios que informan a todos los tratamientos de datos y deberes, acciones concretas relacionadas con la captura y conservación de información personal.
Vamos primero con estos principios que estructuran nuestra idea de privacidad. Una lectura profunda de la Ley nos deja con la impresión de que el legislador no desea que se recopilen datos personales y establece ciertos principios que debe cumplir cualquier tratamiento. El cumplimiento de los principios agrupados en "calidad de los datos" no admiten moderación ni excepción, cualquier tratamiento de datos que no los reúna sería ilegal. Los datos se utilizan para el cumplimiento de una finalidad concreta, sólo puedo recoger los que necesito para cumplir esa finalidad y deben de estar actualizados. Un tratamiento de datos efectuado como consecuencia de la prestación de un servicio sanitario normalmente cumplirá estos principios, por lo que no vamos a detenernos aquí. ¿Qué más nos pide la LOPD? Seguimos con los deberes.
Informar a la persona respecto a ciertas circunstancias que rodean al tratamiento de datos: quién es el responsable, para qué los va a utilizar, dónde puede ejercitar los derechos que le asisten respecto a los datos. Este texto es frecuente encontrarlo a pie de página de formularios. Sin previsión expresa para el tratamiento de datos de salud, es necesario reinterpretar el deber de información en el ámbito médico. ¿Cómo informar? ¿Quién informa? La mejor respuesta a estas cuestiones se da desde el "cuándo". El momento idóneo es el de recogida de datos. Hay muchos escenarios, pero suele ser frecuente, en una primera asistencia en, por ejemplo, una consulta, la atención por parte de personal administrativo que "abre una ficha". Lo ideal es la entrega de formulario que incluye texto informativo para la firma por parte del paciente. Ahora bien, podemos ir más allá explicando cómo se tratan los datos en la consulta de manera sencilla, para que el paciente lo entienda. Por eso es muy importante la formación del personal que atiende al paciente, que hace comprender qué va a pasar con sus datos. La información adquiere especial relevancia en el ámbito de los tratamientos de datos de salud, en tanto este tipo de tratamiento excepciona de la necesidad de consentimiento del afectado. La norma es que el tratamiento de datos de salud requiere el consentimiento expreso del afectado. Este régimen excepcional se aplica siempre y cuando los datos de salud se utilicen por parte de profesional sanitario para la prestación de servicio sanitario. Si hasta aquí están conmigo, información y consentimiento están íntimamente ligados a ese poder de control y disposición del que hablábamos al principio, y por tanto, son clave para entender y cumplir la Ley. Por otra parte, ¿cómo voy a controlar mis datos si no sé para qué se van a utilizar ni quien va tenerlos?
En cuanto al deber de secreto, poco que decir. La práctica médica integra el secreto como parte esencial del ejercicio profesional. Quizás llamar la atención sobre el deber de custodia que obliga al profesional sanitario en la gestión de información clínica, especialmente en soporte papel. Cada soporte tiene sus riesgos. Además del cuidado que el sentido común nos indica, hay ciertos procedimientos relacionados con el cumplimiento del principio de seguridad que debemos integrar en nuestro día a día. La mayor parte recaen sobre profesionales informáticos. Otros, como la utilización de contraseñas seguras, no.
Mi consejo para el profesional sanitario es sencillo: entienda qué quiere la LOPD: garantizar el poder de control y disposición de la información de las personas, su derecho a decidir sobre qué ocurre con sus datos. Y ahora, piense en cómo afecta este principio a su práctica profesional. Comprobará que no es necesario hacer tantas cosas y desparecerá esa molesta sombra de incertidumbre: sabrá de qué estamos hablando cuando hablamos de privacidad de los pacientes
.png)
No hay comentarios:
Publicar un comentario