Las Parcas. Cloto, Láquesis y Átropos

“Zeus, quien pesa las vidas de los hombres e informa a las Parcas de sus decisiones, puede, según , se dice, cambiar de opinión e intervenir para salvar a quien desee cuando el hilo de la vida, hilado en el huso de Cloto, y medido con la vara de Láquesis, está a punto de ser cortado con las tijeras de Atropo. En realidad, los hombres pretenden que ellos mismos pueden, hasta cierto punto, dirigir sus propios destinos evitando peligros innecesarios[1]

Seguridad de la información para la seguridad del paciente

La Ley Orgánica de Protección de Datos y el Real Decreto 1720/2007 de Medidas de Seguridad han sido pilares fundamentales para el desarrollo de las políticas sobre seguridad de la información en los centros sanitarios. Sin embargo, cuando se habla de protección de datos, se suele pensar en CONFIDENCIALIDAD. Se ha establecido una especie de binomio entre PROTECCIÓN DE DATOS y CONFIDENCIALIDAD que se ha extendido entre los profesionales, tanto sanitarios como no sanitarios, y que ha repercutido en la concienciación de los profesionales sobre todo en acciones relacionadas con la custodia y el transporte de las Historias Clínicas por ejemplo, posiblemente debido a que el papel es un soporte material sobre el que se puede actuar de forma individual.

Por supuesto, mantener la confidencialidad en el entorno sanitario es imprescindible. En el verano de 2012 saltó a los medios de comunicación el caso Pitiusa, que contaba con una ramificación sanitaria. Uno de los detectives implicados se hacía pasar por doctor y mediante técnicas de ingeniería social obtenía la información que necesitaba. Un uso inadecuado de esta información clínica puede resultar en graves consecuencias para el paciente.

El Mundo. Julio 2012. Jordi, el detective y falso doctor. http://politica.elpais.com/politica/2012/07/14/actualidad/1342302719_566857.html

Ilustración 1. Operación Pitiusa[2]

 Sin embargo, como en cualquier organización y en cualquier sector, el principal enemigo puede proceder de dentro de la propia organización. No hacen falta intrusos que utilicen ingeniería social para que la información acabe donde no debe. Algunos estudios recientes demuestran que los incidentes involuntarios provocados por los propios empleados suponen una mayor amenaza para la seguridad de la información que los ataques intencionados ya que son más frecuentes y causan mayores daños.[3]

Como veremos a continuación, parece que la verdadera inquietud entre los profesionales sanitarios no es tanto la CONFIDENCIALIDAD, sino la DISPONIBILIDAD y sobre todo la INTEGRIDAD de la información. Estos conceptos son muy conocidos por los profesionales de la informática, pero ¿les damos la importancia que verdaderamente tienen?

Organismos como la OMS han establecido una relación directa entre SEGURIDAD DE LA INFORMACIÓN y SEGURIDAD DEL PACIENTE, hablando, en términos de incidentes de seguridad y Eventos Adversos, pero sobre aspectos directamente relacionados con la información en cuanto a:

–      Errores de Identificación del paciente

–      Errores de Comunicación PROFESIONAL – PROFESIONAL

–      Errores de Comunicación PROFESIONAL – PACIENTE

Términos como “identificación” y “comunicación“, parecen estar más cercanos al mundo de las Tecnologías de la Información que a la esfera de la sanidad.

El Estudio ENEAS 2005, “Estudio Nacional sobre los Efectos Adversos ligados a la Hospitalización”[4] incluye la siguiente definición:

Error por deficiente identificación.

“Este error considera e incluye todas las actuaciones realizadas a un enfermo para el que no estaban destinadas como consecuencia de una identificación deficiente (ej.: transfusiones al enfermo equivocado, errores en actuaciones quirúrgicas, miembro equivocado, etc.)”.

El estudio ENEAS tipifica algunos efectos adversos, como los siguientes:
  1. Retraso en el diagnóstico por falta de pruebas pertinentes
  2. Error de identificación del paciente.
  3. Error de etiquetas identificativas en los tubos de hemograma.
  4. Transmisión incorrecta de los resultados de microbiología.
  5. Cirugía de sitio equivocado.
  6. Confusión de la historia clínica.
  7. Letra ilegible en el informe de alta.
  8. Deficiente información sobre tratamiento post-alta.

En la actualidad los profesionales sanitarios apoyan en gran medida sus decisiones y actuaciones en la información que manejan, que en su mayoría procede de los sistemas de información, y por tanto, una información errónea, un paciente mal identificado, una etiqueta equivocada, puede tener consecuencias fatales para el paciente. ¿De qué nos está hablando el informe ENEAS si no es de Disponibilidad e integridad de la información cuando habla de “Cirugía de sitio equivocado” o “Error de identificación del paciente”.

Según la OMS, se calcula que en los países desarrollados uno de cada 10 pacientes sufre algún tipo de daño durante su estancia en el hospital[5].

Una de las iniciativas más influyentes en este sentido son los “Objetivos para la Seguridad del Paciente” que propone anualmente The Joint Commision[6], tratando de concentrar los esfuerzos en los aspectos considerados más prioritarios para la mejora de la calidad y seguridad de los centros sanitarios.
Entre los objetivos propuestos para el 2011 encontramos los siguientes:

Objetivo 1: Mejorar la identificación del paciente

–      Utilizar al menos dos identificadores del paciente cuando se proporcionan servicios, tratamientos y cuidados

–      Eliminar los errores en las transfusiones relacionados con la identificación del paciente.

Objetivo 2: Mejorar la comunicación efectiva entre cuidadores

–      Informar a tiempo y de manera oportuna sobre los resultados críticos de pruebas diagnósticas.

Objetivo 3: Mejorar el uso seguro de los medicamentos

–      Etiquetar la medicación, sus contenedores (jeringas, botes, etc.) y otras soluciones.

Objetivo 8: Asegurar la precisión de la medicación en las transiciones asistenciales

–      Cuando el paciente es transferido a otro hospital o a atención primaria, el listado completo y conciliado de medicación se comunica al siguiente proveedor.

–      Cuando el paciente abandona el hospital se le proporciona un listado completo y conciliado de la medicación, que se explica al propio paciente o a su familia.

Una vez más, ¿de qué tratan en el fondo estas propuestas sino es de disponibilidad e integridad de la información? Está claro, a la luz de estos objetivos propuestos por la Joint Commision, que los informáticos sanitarios tenemos mucho que aportar en cuanto a disponibilidad y sobre todo en cuanto a integridad de la información. Aunque por supuesto, la seguridad de la información es cosa de todos los profesionales, los sanitarios y los no sanitarios, los informáticos sanitarios tenemos una responsabilidad especial en cuanto a la sensibilización de los demás profesionales, precisamente por ser expertos en información.

El objetivo fundamental de la seguridad de la información consiste en garantizar la actividad de la organización para la que presta sus servicios, en nuestro caso, la prestación de los servicios sanitarios a los ciudadanos. El cumplimiento legal, es uno de los factores que hay que considerar, que por supuesto, es obligatorio, y ni es negociable ni susceptible de priorización. Sin embargo, parece claro, a la vista de los datos antes mencionados, que la verdadera preocupación de organizaciones y profesionales sanitarios no sólo es la “protección de datos” en el sentido de “privacidad o confidencialidad” , ni el cumplimiento legal, sino que son la INTEGRIDAD y DISPONIBILIDAD en el marco de la SEGURIDAD DEL PACIENTE, y esta preocupación se debe, no lo olvidemos, a que una información que carece de los parámetros de calidad adecuados puede acabar ocasionando graves daños al paciente.

Debemos empezar a cambiar nuestro discurso y la forma de ver las cosas, y no hablar tanto del concepto de “protección de datos” que para nosotros, como profesionales de la informática de la salud, ya es insuficiente. Se nos queda corto hablar sólo de confidencialidad y privacidad… Hay que ir a por más. Hay que hablar de seguridad de la información teniendo siempre muy presentes los efectos que se pueden producir debido a una carencia en la misma sobre nuestra razón de ser, el paciente y la asistencia sanitaria que le prestamos.

Analicemos brevemente, aunque con algo más de detalle, estas características de la información y sus posibles impactos en la organización.

La disponibilidad agrupa aquellas medidas de seguridad dirigidas a garantizar que la información estará disponible en el momento en que se necesite y para las personas autorizadas.

Recogemos los datos de nuestros pacientes para proporcionarles una asistencia sanitaria adecuada. Esta asistencia conlleva otros tratamientos, tanto de tipo administrativo como de carácter sanitario. Otros profesionales tendrán que asignar al paciente citas, ingresos, tratamientos y por supuesto dejar registro documental en su historia clínica según exige la Ley de Autonomía del Paciente.

Es muy probable que al paciente no lo trate un sólo especialista, sino que sea un equipo de profesionales quienes realicen la asistencia. Cada profesional que recoge información relativa al paciente debe ser consciente de que la misma deberá estar disponible para el resto del equipo de profesionales que intervienen en el proceso. No se trata sólo de una obligación de profesionales y organizaciones, sino que también es un derecho de los pacientes el que su información esté disponible para aquellos profesionales que la necesiten para realizar una asistencia sanitaria adecuada y de acuerdo a la realidad del paciente.

Hoy, con más años de experiencia encima, con otra perspectiva sobre la asistencia sanitaria, las tecnologías de la información, y las organizaciones sanitarias, y con un conocimiento más cercano del trabajo que realizan los profesionales sanitarios, el informático sanitario está mejor preparado para entender, hasta cierto punto, el malestar de los profesionales, que habían puesto su confianza en los nuevos e innovadores sistemas de información y que les estaban fallando, aunque sólo fuera ocasionalmente.

Por aquel entonces, aunque ya se intuía la dependencia de los sistemas de información todavía quedaban lejos los actuales planes de contingencias….. ¿O quizás todavía siguen quedando lejos? Ciertamente, los sistemas de información ofrecen hoy un elevado porcentaje de disponibilidad, aún así, deben considerarse las medidas de seguridad más importantes relacionadas con la disponibilidad, los planes de contingencias y de continuidad de negocio. Siempre existe la posibilidad de que un sistema falle, hay múltiples causas para ello, a pesar de las nuevas tecnologías. Lo que no debe suceder es que se reaccione de una forma desorganizada y sin un plan previamente preparado y ensayado.

A ninguno se nos escapa que puesto que la información y datos clínicos son cada vez más registrados y tratados en formato digital, en definitiva avanzamos sobre la Historia Clínica Electrónica, la dependencia de los profesionales de los Sistemas Informáticos es mayor y por tanto el nivel de exigencia también. Cada vez más el profesional sanitario reclama tener al alcance de su dedo toda la información necesaria para desarrollar sus funciones. Y decimos al alcance de su dedo porque demanda habitualmente que con un solo clic o los mínimos posibles acceda de forma correcta y directa a la información clínica.

Por otro lado, para nosotros cada vez es más complejo hacer que esto sea posible y garantizar en todo momento la disponibilidad de la información, ya que la información está distribuida, dependiente de diferentes sistemas y ubicaciones ajenos a nuestro control.

Por tanto, nos encontramos, por un lado con profesionales cada vez más exigentes y por otro, sistemas informáticos sobre los que tenemos dificultad o imposibilidad de administración y control.

Ante esto, ¿Qué hacemos? ¡¡ Al menos, Planes de contingencia!!

Todos conocemos la función de un plan de contingencias, minimizar los efectos del fallo entre otras cosas ofreciendo alternativas para que la marcha normal del negocio siga adelante, incluso aunque sea con cierto nivel de pérdida en sus funcionalidades. Lo que no deberíamos permitirnos como profesionales es que el paciente llegue a la consulta y su médico no disponga de la información que necesita.

La consecuencia más directa de la falta de disponibilidad de la información es la imposibilidad de prestar los servicios que dependen de dicha información, en nuestro caso, una posible suspensión de la consulta médica o una asistencia de menor calidad, obligando al paciente a volver otro día y a llenar la agenda con consultas que no deberían haberse producido.

Otra consecuencia es el incremento de las estancias de hospitalización por el retraso en pruebas diagnósticas, incluso la duplicación de peticiones. Pacientes que pasan horas en las salas de espera de urgencias debido a que no llega su analítica…. Seguro que el lector conoce otros ejemplos parecidos.

¿Y qué hay de la Integridad? El principio de Calidad de los datos recogido en el RD 1720/2007 establece que :

“Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado. Si los datos fueran recogidos directamente del afectado, se considerarán exactos los facilitados por éste.”

A lo que la Ley de Autonomía del Paciente viene a añadir que:

“Las Administraciones sanitarias establecerán los mecanismos que garanticen la autenticidad del contenido de la historia clínica y de los cambios operados en ella, así como la posibilidad de su reproducción futura.”

Mantener la integridad de la información, es quizás, la tarea más delicada y puede que la más complicada. Actualmente, la información clínica se construye eslabón a eslabón con la participación de un variado grupo de profesionales que incluye desde administrativos, enfermería, médicos, hasta documentalistas… Un error en cualquiera de los eslabones será arrastrado por todo el proceso con consecuencias que pudieran ser fatales.

Un error en el nº de teléfono, el DNI, la dirección del paciente son ejemplos de fallos en la integridad de los datos. Pero quizás el fallo de integridad más peligroso para el paciente, el profesional y la organización lo constituyan los errores de identificación del paciente.

Un auxiliar administrativo que da una cita o asigna los resultados de una analítica, a un paciente con un nombre idéntico al que busca, comienza una serie de errores en cadena que pueden acabar con fatales consecuencias para el paciente, por no hablar de los problemas morales que se plantean a los profesionales que han intervenido en el caso, además de los problemas legales y por supuesto, el coste de imagen que un suceso de esta clase tendrá para el centro sanitario.

En la cadena de proceso, todos son importantes y unos dependen de otros.

En 1998 un error como éste condenó a una mujer a una intervención en la que se le extirpó el útero por un cáncer que no tenía en realidad. La señora estaba embarazada de su primer hijo, y por supuesto, quedó estéril. El hecho costó el puesto al Director Médico del Hospital Reina Sofía de Córdoba y 60 millones de pesetas (360.000€) al Servicio Andaluz de Salud[7].

El Mundo. Agosto 1998. http://www.elmundo.es/elmundo/1998/agosto/17/sociedad/dimision.html

Ilustración 2: Error de indentificación del paciente

Un error en la identificación del paciente puede hacer que la vida de este no esté en manos de su médico, sino en manos del auxiliar administrativo que mecanizó sus datos y puede que el paciente corra mayores riesgos en la cola de la ventanilla, frente a un administrativo, que dentro del quirófano con los cirujanos y todo esto ¡Por un error en la identificación del paciente!

 No es de extrañar que la Joint Commision tenga como objetivo nº 1 Mejorar la identificación del paciente.

Como informáticos inmediatamente se nos ocurrirán algunas soluciones para evitar en la medida de lo posible estas situaciones, controles internos en la entrada de datos, controles preventivos de verificación de datos y alertas son ejemplos clásicos.

Sin embargo, como casi siempre, serán las medidas de tipo organizativo las que resulten más eficaces. La concienciación y la formación de los profesionales, la elaboración de políticas y procedimientos para la introducción de datos y el tratamiento de los mismos son algunos ejemplos. Y por supuesto, las métricas. No se puede gestionar lo que no se mide.

….. En realidad, los hombres pretenden que ellos mismos pueden, hasta cierto punto, dirigir sus propios destinos evitando peligros innecesarios. (Graves, Robert. “Los mitos griegos”. Las Parcas)

 Manuel Jimber

Fran Sanchez Laguna

Esther González


[1] Greek Myths and Legends. Las Parcas. Robert Graves

[2] El Mundo. Julio 2012. Jordi, el detective y falso doctor. http://politica.elpais.com/politica/2012/07/14/actualidad/1342302719_566857.html

[3] ComputerWorld (27//08/2009): http://www.idg.es/computerworld/Los-empleados-son-el-principal-riesgo-de-seguridad/seccion-tecnologia/noticia-84184

[4] Secretaría General de Sanidad. Dirección General de la Agencia de Calidad de Salud. 2005. http://www.errorenmedicina.anm.edu.ar/pdf/recursos/documentos/43_estudio_ENEAS.pdf

[5] OMS. Datos y Cifras. 10 datos sobre seguridad del paciente. http://www.who.int/features/factfiles/patient_safety/patient_safety_facts/es/index1.html

[6] National Patient Safety Goals effective January 1, 2013. http://www.jointcommission.org/assets/1/18/NPSG_Chapter_Jan2013_HAP.pdf

[7] El Mundo. Agosto 1998. http://www.elmundo.es/elmundo/1998/agosto/17/sociedad/dimision.html