Confidencialidad de datos vela by SATÁN AS

Comisión de Bioética de Castilla y León – 2.008 ______________________________________________________ _________________________________________ Confidencialidad de la información sanitaria: aspectos informáticos

CONFIDENCIALIDAD DE LA INFORMACIÓN SANITARIA: aspectos Informáticos.

La Comisión de Bioética de Castilla y León, habida cuenta la situación del estado actual de protección de los datos informatizados sanitarios, ha considerado conveniente realizar unas consideraciones respecto a la confidencialidad de la información sanitaria informatizada. Los fines de informatizar los documentos sanitarios son mejorar el acceso a ellos y facilitar su almacenamiento y conservación, ello supone un beneficio para el paciente, para el personal que trabaja en el centro y para la Institución sanitaria. El Real Decreto 994/1999, de 11 de junio, referente a la protección de datos de carácter personal automatizados, considera a toda la información sanitaria que contenga datos de carácter personal de los pacientes, información de alta protección. La confidencialidad de esta información es un derecho del paciente, y el secreto profesional un deber de todo el personal que accede a esa información, sea este personal sanitario o no sanitario. La confidencialidad de la información sanitaria tiene al menos tres vertientes: legal, informática y otra ético-profesional. Es a la vertiente ética a la que queremos referirnos.

Las exigencias legales deben respetarse y están recogidas entre otros textos en: • Constitución Española: Art 18.4: La ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos. • Código Penal: Art. 197 y Art. 199. • Real decreto 994/1999 por el que se aprueba el "Reglamento de medidas de seguridad de los

ficheros automatizados que contengan datos de carácter personal". • Ley 41/2002,”Básica reguladora de la autonomía del paciente y de derechos y obligaciones en

materia de información y documentación clínica”.

Respecto a la vertiente informática, consideramos que no existe método informático de protección, que no pueda ser vulnerado y que la adopción de unas medidas de seguridad muy estrictas, dificultarían el acceso inadecuado pero probablemente determinarían una pérdida de eficiencia en el acceso a la información.

Por todo lo anterior entendemos, que debe buscarse un equilibrio que garantice los mínimos legales, a la vez que se conservan las ventajas que la informática aporta, dando a continuación una serie de recomendaciones.

Promover una gestión responsable de la información, desarrollando

programas de formación que refuercen la confidencialidad y el cumplimiento del secreto profesional. Ya que es inviable en la práctica basar las medidas en “qué no se pueda

hacer”, es necesario basarse en “que debe y que no debe hacerse”, tanto entre el personal sanitario como en el no sanitario. Es recomendable que quede registrado el acceso a la información para poder detectar si existe un acceso injustificado o irregular. 2.- El acceso informático a la información sensible ha de ser personalizado, tras haberse identificado mediante una clave de acceso. El incumplimiento del deber de secreto profesional genera una responsabilidad individual, que en el caso más grave se recoge en el Código Penal. 3.- Aquella información sanitaria que sea especialmente sensible, debe estar protegida de una forma especial. 4.- El personal tiene derecho a que la clave de acceso sea secreta

y pueda ser

modificada en caso de peligrar su secreto. El personal tiene la obligación, de hacer un uso adecuado de su clave y de preservarla. 5.- Es deseable establecer niveles de acceso a la información en función de la responsabilidad profesional, a cada profesional le corresponde acceder a un tipo u otro de información en relación con el ejercicio de sus funciones. 6.- Debe diferenciarse entre autorización de consulta o lectura de la información, y autorización de escritura de información nueva. 7.- Como norma no se debe borrar ninguna información. 8.- El personal sanitario solo debería acceder a la información de aquellos pacientes con los que tengan relación asistencial, con autorización para añadir nueva información o escritura. El personal sanitario o no sanitario, no tiene derecho a acceder, ni siquiera con solo lectura, a información sobre pacientes sobre los que no tiene competencia asistencial; esto

debe ser aplicable incluso con independencia del cargo jerárquico. Los cargos de responsabilidad como norma deben realizar los controles de calidad sobre sus subordinados sin vulnerar la privacidad de los pacientes. 9.- El acceso a la información con fines docentes e investigadores, debe ser solo con la autorización expresa del responsable del servicio asistencial correspondiente, separando los datos de identificación del paciente de los datos de carácter científico-asistencial. Si como consecuencia de la consulta de la información se pudiera identificar al paciente, debería hacerse solo si existe consentimiento del paciente. El acceso con fines docentes e investigadores debería ser exclusivamente con autorización para consulta, sin posibilidad de modificar la información. 10.- El acceso universal a la información solo debe ocurrir de forma excepcional y bajo la responsabilidad de la dirección del centro asistencial.

Comisión de Bioética de Castilla y León

Presidente: Diego Gracia Guillén Vicepresidente: Antonio Blanco Mercadé Secretario: José Miguel García Vela Vocales: Gracia Álvarez Andrés Agustín del Cañizo Fernández-Roldán Carmen Cardeñosa García Mª Jesús Coma del Corral Manuel García Urbón Natalia de la Horra Vergara Mª Jesús Ladrón de San Ceferino Mª Ángeles de Marino Gómez-Sandoval Juan Carlos Martín Escudero Santiago Martín Moreno Rafael Muñoz Garrido Alberto Orfao de Matos Mafalda Rodríguez-Losada Allende