Isabel Jiménez, responsable de Protección de Datos en Asisa

Aunque es evidente que nuestro país ha logrado un avance notable en lo que se refiere a la modernización del sector sanitario, es innegable que la protección de datos dentro de dicho ámbito continúa siendo, a día de hoy, una de las cuestiones que más dificultades sigue planteando en la práctica diaria como consecuencia de las barreras a las que aún deben seguir enfrentándose los principales agentes implicados en el sector en su labor de garantizar la mejor atención sanitaria a los ciudadanos.

Isabel Jiménez.

Sentado lo anterior, he considerado oportuno que el punto de partida de esta tribuna sea el de hacer una reflexión sobre el papel que representan los datos de salud y su protección en el seno de la sanidad (ciñéndome al sector privado, por tratarse de aquél que conozco más de cerca por mi trabajo en ASISA), así como sobre cuáles son las principales trabas con las que dicho sector se encuentra para garantizar la confidencialidad y la seguridad de los datos de salud y, en definitiva, cuáles son los pasos que deberían darse, si no para adecuarse en su totalidad y llegar a un cumplimiento pleno de la normativa sobre la materia, lo que de antemano no sería factible por la propia esencia de la actividad sanitaria, sí, al menos, para acercarse lo más posible a todos los requerimientos que aquélla impone.

A la hora de destacar la importancia que ostenta la protección de los datos de salud, no puede obviarse que las obligaciones que establece la vigente Ley Orgánica de Protección de Datos, afectan de una manera muy especial a los distintos agentes que intervienen en el sector sanitario, y ello por dos razones fundamentales. La primera, porque los datos que son objeto de protección por la misma se encuentran dentro del catálogo de los denominados “especialmente sensibles” y, de hecho, están dotados de un particular régimen de protección, y la segunda, porque la propia ley, al no ser específica para el sector sanitario, deja sin respuesta muchos interrogantes que se plantean en el día a día dentro de dicho ámbito, lo que aún hace más comprometido su cumplimiento.

Aunque el grado de cumplimiento normativo sobre protección de datos ha aumentado considerablemente en la última década, es una realidad que las propias peculiaridades de la actividad sanitaria, que imponen una gran celeridad en las actuaciones que se llevan a cabo y una necesidad de acceso inmediato a los datos para lograr una atención rápida y eficaz, determinan que no sea factible exigir al sector un cumplimiento absoluto de la normativa, lo que sería imposible; ello, sin contar con los retos tanto organizativos como técnicos a los que se enfrenta dicho sector, como son la propia complejidad de la propia estructura orgánica y de los sistemas de información, la distribución de los activos entre los distintos centros y, por supuesto, el carácter tan sumamente heterogéneo de las tecnologías.

Sería de sumo interés traer a colación el Informe publicado en octubre pasado por la Agencia Española de Protección de Datos sobre cumplimiento de la LOPD en Hospitales, que si bien destaca un mayor grado de cumplimiento por parte de los centros sanitarios privados respecto a los públicos, especialmente, en lo referente a la implantación de medidas de seguridad y a sus auditorías de seguridad periódicas, también pone de manifiesto la constatación de importantes deficiencias en el establecimiento de medidas dirigidas a que los datos personales e información sanitaria de los pacientes sean adecuadamente custodiados y no puedan ser conocidos por terceros no autorizados.

A la pregunta obligada, para terminar esta tribuna, de cómo debería actuarse en los centros sanitarios para garantizar la mejor protección de los datos, considero que la clave debería estar, ante todo, en el sentido común, además de en la puesta en marcha de un conjunto de medidas que, aisladamente consideradas, no garantizarían más que de un modo parcial la seguridad de los datos.

En este sentido, la manera de implantar un sistema de gestión de los datos en la sanidad privada debería pasar inevitablemente por dar un escrupuloso cumplimiento al deber básico de información mediante formularios específicos de recogida de información, así como por un adecuado control de las cesiones y encargos de tratamiento de datos, sin olvidar la necesidad de incluir actividades de formación del personal sanitario en la materia y el establecimiento de protocolos de seguridad en los centros, destinados a fijar el contenido de determinados documentos para evitar que aparezca información indebida, a instaurar procedimientos que normalicen el tratamiento de los datos, como el acceso a las historias clínicas y, por supuesto, a habilitar circuitos de recogida y equipos de destrucción de la información que contengan datos personales, cuando ya no sea necesaria su custodia.