La Locura de Heracles(V). La LOPD es de imposible cumplimiento.

Hércules y las Yeguas de Diomedes. Detalle del mosaico romano de Los Doce Trabajos de Liria (Valencia, España). Luis García [GFDL (http://www.gnu.org/copyleft/fdl.html) or CC-BY-SA-3.0 (http://creativecommons.org/licenses/by-sa/3.0/)], via Wikimedia Commons
Hércules y las Yeguas de Diomedes. Detalle del mosaico romano de Los Doce Trabajos de Liria (Valencia, España).
Luis García [GFDL (http://www.gnu.org/copyleft/fdl.html) or CC-BY-SA-3.0 (http://creativecommons.org/licenses/by-sa/3.0/)], via Wikimedia Commons

Conclusiones

Del mismo modo que Heracles tras su momento de locura tomó conciencia de que debía reestablecer el orden en su interior, los entornos sanitarios han sabido afrontar los cambios que debían producirse en sus políticas internas para adaptarse a una normativa que no busca otro objetivo que “garantizar y proteger, en lo que concierne al tratamiento de los datos personales, las libertades públicas y los derechos fundamentales de las personas físicas, y especialmente de su honor e intimidad personal y familiar[1].

Los beneficios que reporta a todo ciudadano la existencia de la LOPD son evidentes, la confianza en que existe la obligación legal de que nuestros datos no pueden ser tratados de forma fraudulenta ni utilizados para perjudicarnos ni para ninguna otra finalidad que no hayamos consentido, es un valor importante que blinda nuestra intimidad.

La adaptación a esta normativa no tiene porqué ser traumática ni costosa.  La definición clara de una política de seguridad robusta en nuestra organización es la base para todo lo demás. De ella se derivarán todos los cambios procedimentales necesarios para cumplir con los requisitos establecidos y esto no implica eliminar ni alterar los objetivos de negocio, “nosotros hacemos lo que hacemos y debemos seguir haciéndolo, velar por la salud de los pacientes”.

En el ámbito sanitario se hace necesaria la existencia del Responsable de Seguridad[2] que realizará la vigilancia y supervisión de las normas derivadas de la política de seguridad de la organización y que alertará al responsable del fichero en aquellas deficiencias que detecte y puedan corregirse antes de que se produzca algún incidente. Un responsable de seguridad, conocedor profundo de la LOPD, su Reglamento de Desarrollo y de las políticas de seguridad establecidas, es una baza importante que tienen los centros sanitarios para proteger la información sensible que custodia.

Y por último, otro elemento importante, el más importante podría decirse, son los propios profesionales ya que sin su colaboración, directa o indirecta, cualquier norma o procedimiento que se implante por imposición estaría destinada al fracaso, pudiendo perjudicar a los que, en definitiva, debemos proteger, y sin dejar atrás el perjuicio que podemos causar a la imagen de la propia organización.

Por todo ello, podemos decir que la LOPD no es imposible de cumplir, teniendo en cuenta las tres ideas anteriores, sólo es cuestión de aplicar pequeños cambios, si son necesarios, en la forma en que hacemos las tareas cotidianas y estaremos garantizando un derecho fundamental que tiene otorgado todo ciudadano por nuestra Constitución Española[3].

Autores:

Ana María Chups Rodríguez
Manuel Jimber del Río
Victoria Zafra Muñoz

 

Bibliografía

  1. http://ecodiario.eleconomista.es/ciencia/noticias/4519624/01/13/Los-grandes-logros- cientificosanitarios-de-2012-de-Espana.html
  2. Estudio sobre la privacidad y la seguridad de los datos personales en el sector sanitario español, INTECO, www.inteco.es (está bajo una licencia Reconocimiento-No comercial 2.5 España de Creative Commons,) Agencia Española de Protección de Datos, Memoria 2011)
  3. http://www.alaroavant.com , Empresa especializada en servicios de seguridad de la información.
  4. Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.
  5. Ley Orgánica 15/1999, de 13 de Diciembre, de protección de datos de carácter personal
  6. Real Decreto 1720/2007, de 21 de Diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de Diciembre, de protección de datos de carácter personal
  7. Ley 2/2011, de 4 de marzo, de Economía Sostenible. Disposición final quincuagésima sexta. Modificación de la Ley Orgánica 15/1999 de 13 de diciembre, de Protección de Datos de Carácter Personal.
  8. Constitución Española. 1978.

[1] art.1 de la Ley Orgánica 15/1999, de 13 de Diciembre, de protección de datos de carácter personal

[2] El art. 95 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, obliga a que “deberán designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo. Esta designación puede ser única para todos los ficheros o tratamientos de datos de carácter personal o diferenciada según los sistemas de tratamiento utilizados, circunstancia que deberá hacerse constar claramente en el documento de seguridad. “

[3] Constitución Española, 1978. Art.18. Se garantiza el derecho al honor, a la intimidad personal y familiar y a la propia imagen.

La Locura de Heracles(IV). La LOPD es de imposible cumplimiento.

Hércules y las Yeguas de Diomedes. Detalle del mosaico romano de Los Doce Trabajos de Liria (Valencia, España). Luis García [GFDL (http://www.gnu.org/copyleft/fdl.html) or CC-BY-SA-3.0 (http://creativecommons.org/licenses/by-sa/3.0/)], via Wikimedia Commons
Hércules y las Yeguas de Diomedes. Detalle del mosaico romano de Los Doce Trabajos de Liria (Valencia, España).
Luis García [GFDL (http://www.gnu.org/copyleft/fdl.html) or CC-BY-SA-3.0 (http://creativecommons.org/licenses/by-sa/3.0/)], via Wikimedia Commons

Recomendaciones para todos

Según el “Estudio sobre la protección y seguridad de los datos de carácter personal en el ámbito del sector sanitario español” que ha sido elaborado conjuntamente por el Instituto Nacional de Tecnologías de la Comunicación (INTECO) a través del Observatorio de la Seguridad de la Información y la Agencia de Protección de Datos de la Comunidad de Madrid (APDCM) se obtienen las siguientes recomendaciones:

Recomendaciones a profesionales de la salud

–         Concienciación del nuevo rol asumido por los pacientes, titulares de derechos que deben ser respetados y sujetos activos en la relación asistencial, con capacidad de autonomía para la toma de decisiones que afectan a su salud.

–         Asunción de la consideración de la actividad asistencial como un todo integrado por las actuaciones de diferentes profesionales, instituciones o centros sanitarios. Rechazo de actitudes de aislamiento y ocultación de información.

–         Formación específica en la materia de la protección de datos de carácter personal, en particular, en los aspectos específicos que se deben considerar al tratar datos especialmente protegidos.

Recomendaciones a centros sanitarios

–         Generación de confianza del usuario en el sistema sanitario a través del respeto de los derechos de los pacientes y usuarios.

–         Definición y establecimiento de procedimientos que definan funciones y responsabilidades del personal que intervenga en el tratamiento de datos de carácter personal.

–         Implantación de procedimientos que faciliten a los usuarios y pacientes el conocimiento y ejercicio de sus derechos.

–         Asunción de la protección de datos como un elemento indispensable que se debe integrar en el ejercicio de las funciones que se desarrollan en los centros y servicios sanitarios y como un parámetro de calidad en los servicios prestados.

–         Creación de una infraestructura material, dentro de su organización, encaminada al proceso continuo de implantación y verificación del cumplimiento de la normativa de protección de datos.

–         Puesta en marcha de acciones sistemáticas de formación y concienciación de todos los profesionales de la sanidad y del personal administrativo y de servicios que desarrollan su actividad en los centros sanitarios sobre sus obligaciones en relación con la privacidad de los pacientes y los derechos de los mismos.

Autores:

Ana María Chups Rodríguez
Manuel Jimber del Río
Victoria Zafra Muñoz

La Locura de Heracles(III). La LOPD es de imposible cumplimiento.

Hércules y las Yeguas de Diomedes. Detalle del mosaico romano de Los Doce Trabajos de Liria (Valencia, España). Luis García [GFDL (http://www.gnu.org/copyleft/fdl.html) or CC-BY-SA-3.0 (http://creativecommons.org/licenses/by-sa/3.0/)], via Wikimedia Commons
Hércules y las Yeguas de Diomedes. Detalle del mosaico romano de Los Doce Trabajos de Liria (Valencia, España).
Luis García [GFDL (http://www.gnu.org/copyleft/fdl.html) or CC-BY-SA-3.0 (http://creativecommons.org/licenses/by-sa/3.0/)], via Wikimedia Commons

Razones para cumplir la LOPD

La argumentación ante la Alta Dirección para que en la organización se tome conciencia de la importancia de la adaptación a la LOPD puede resumirse en los siguientes motivos:

–         Principalmente, la obligación de cumplir una Ley Orgánica.

–          Evitar las sanciones previstas en dicha normativa, que pueden llegar a ser para los centros privados de hasta 601.012,10 euros y para los centros públicos, las sanciones administrativas pueden llegar a inhabilitar de empleo y sueldo a un profesional.

–         Evitar daños en la imagen de los servicios que un centro sanitario ofrece por un mal uso de la información. El hecho de que aparezcan noticias en medios de comunicación hacen mella importante en la reputación de un centro sanitario.

–         Dar seguridad a nuestros pacientes, ya que estos cada vez más son conocedores de sus derechos y revisan el cumplimiento la ley  que una centro sanitario muestra al registrar sus datos personales (cláusulas informativas, solicitud de consentimiento para determinados usos de la información, etc.).

–         Obtener un conocimiento a fondo de como funciona la organización. Las tareas necesarias para cumplir con la ley conllevan un análisis exhaustivo de los procesos de la información que pueden ser válidos para detectar defectos o procesos duplicados que entorpecen el día a día de nuestro centro sanitario.

–         Minimizar riesgos en el uso de la información. Pequeños cambios en nuestra política de uso de la información pueden ser suficientes para evitar pérdidas o fugas de datos por traslados, envíos no seguros, robos, etc.

–          Implicar a los profesionales del centro sanitario en el sistema de información. Es obligatorio por la normativa de desarrollo LOPD (RD 1720/2007) que los empleados sean informados de la existencia de una serie de procedimientos y protocolos de seguridad, de sus obligaciones y responsabilidades ante ellos. Por lo tanto, todos forman parte de un todo.

–          Porque no es tan costoso. Seleccionando bien al responsable de seguridad, si tienen la suficiente experiencia previa, su conocimiento de los procesos y de la información que usan los centros sanitarios deben ahorrar a la organización que quiera cumplir con la ley, tiempo y dinero en la adecuación de los sistemas de información a la LOPD.

Autores:

Ana María Chups Rodríguez
Manuel Jimber del Río
Victoria Zafra Muñoz

La Locura de Heracles(II). La LOPD es de imposible cumplimiento

Hércules y las Yeguas de Diomedes. Detalle del mosaico romano de Los Doce Trabajos de Liria (Valencia, España). Luis García [GFDL (http://www.gnu.org/copyleft/fdl.html) or CC-BY-SA-3.0 (http://creativecommons.org/licenses/by-sa/3.0/)], via Wikimedia Commons
Hércules y las Yeguas de Diomedes. Detalle del mosaico romano de Los Doce Trabajos de Liria (Valencia, España).
Luis García [GFDL (http://www.gnu.org/copyleft/fdl.html) or CC-BY-SA-3.0 (http://creativecommons.org/licenses/by-sa/3.0/)], via Wikimedia Commons

Factores que imposibilitan

En realidad lo que verdaderamente importa es detectar cuáles son los factores que dificultan en mayor medida la aplicación de la LOPD en los centros sanitarios (en realidad extrapolable a cualquier organismo o empresa que traten datos de nivel alto).

Durante el tiempo que hemos dedicado a la adecuación de los centros sanitarios del Servicio Andaluz de Salud a la Ley de Protección de Datos desde el 2008, hemos podido observar que los ítems que hacen que los resultados en materia de seguridad de la información sean menos óptimos podrían ser:

Poca implicación de la Alta Dirección del centro.

Hasta ahora, algunos directivos han entendido esta Ley como una obligación que no les otorga ningún beneficio, más bien todo lo contrario, el hecho de tener que modificar procedimientos que a su visión reportan los resultados que esperan para adecuarse a la legislación les resulta molesto e inapropiado para la consecución de sus objetivos de gestión. Debido a la publicidad de algunos incidentes graves mostrados en medios de comunicación con negativa repercusión para las entidades infractoras y a la labor de concienciación que se hace desde diferentes empresas privadas o unidades específicas de seguridad de la información, cada vez más, los directivos, están implicados en este tema, y refuerzan las políticas de seguridad de sus centros. Pero aún queda mucho camino.

Inexistencia de la figura de Responsable de Seguridad

El art. 95 del R.D. 1720 del Reglamento de Medidas de Seguridad, en la sección 2 en la que se expresan las medidas de seguridad de ficheros de nivel medio, se especifica que en el documento de seguridad deberán designarse uno o varios responsables de seguridad encargados de coordinar y controlar las medidas definidas en el mismo. Esta designación puede ser única para todos los ficheros o tratamientos de datos de carácter personal o diferenciada según los sistemas de tratamiento utilizados, circunstancia que deberá hacerse constar claramente en el documento de seguridad.

En ningún caso esta designación supone una exoneración de la responsabilidad que corresponde al responsable del fichero o al encargado del tratamiento de acuerdo con este reglamento.

Un error muy común consiste en  que al designar al responsable de seguridad la dirección se relaja en funciones a las que siguen legalmente obligados considerando que han delegado dichas funciones en el responsable de seguridad de la información. Entenderéis de lo que hablamos después de enumerar sus funciones:

–         art. 89.2.RDLOPD- El responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento. En la actualidad se favorece bastante la formación en materia de seguridad de la información dirigida al personal pero en la mayoría de los centros sanitarios públicos o privados, no se ha establecido el guion básico a extender entre los profesionales de su plantilla, y no hay una implicación directa de la dirección en la elaboración de los contenidos del curso que van a recibir sus empleados.

–         art. 91.2. RDLOPD- El responsable del fichero se encargará de que exista una relación actualizada de usuarios y perfiles de usuarios, y los accesos autorizados para cada uno de ellos. Es común por parte del responsable de seguridad tener que plantear en las Comisiones de Seguridad de la Información de los centros que se han detectado ciertos usuarios con acceso a sistemas de información a los que ya no debería tener acceso por traslado de su puesto, o bien porque ya se les cumplió su contrato y no trabajan para la empresa, cuando estos procedimientos de altas y bajas en los Sistemas de Información de la organización deberían estar perfectamente definidos por parte de la Dirección del centro. En normal recibir sin demora alguna las solicitudes de alta de usuarios en los sistemas de información debidamente autorizados pero en muy raras ocasiones se reciben solicitudes de baja de usuarios, a no ser quela organización tenga especial interés en que algún trabajador deje de acceder a cierta información.

–         art. 91.3.RDLOPD- El responsable del fichero establecerá mecanismos para evitar que un usuario pueda acceder a recursos con derechos distintos de los autorizados. Con la definición de perfiles de usuario en relación a las funciones y obligaciones de los diferentes profesionales que realizan sus actividades en centros sanitarios, esto quedaría solventado. Es importante que exista un mapa de competencias bien definido en el centro del que se puedan dilucidar a qué sistemas de información y ficheros no automatizados pueden tener acceso los diferentes profesionales y con qué capacidades.

–         art. 93.1. RDLOPD- El responsable del fichero o tratamiento deberá adoptar las medidas que garanticen la correcta identificación y autenticación de los usuarios. En la mayoría de las ocasiones son los propios Servicios de Tecnologías de la Información los que proveen de seguridad los accesos a cierto tipo de información conocedores de la normativa en materia de seguridad de los datos. Cuando se adquieren diversas soluciones software por parte de la empresa/organización no se revisan los requisitos mínimos de seguridad que deben cumplir, si el centro dispone de responsable de seguridad y le hacen partícipe del proyecto de adquisición, es posible que el capital invertido en la compra de dicho software resulte inocuo, pero puede ocurrir que se invierta una cantidad importante de capital en un producto no acorde a la normativa vigente y que haya que invertir más aún en su adaptación o por el contrario que no llegue a utilizarse nunca tras su adquisición.

–         art. 93.2.RDLOPD- El responsable del fichero o tratamiento establecerá un mecanismo que permita la identificación de forma inequívoca y personalizada de todo aquel usuario que intente acceder al sistema de información y la verificación de que está autorizado.

–         art. 94.3.RDLOPD- El responsable del fichero se encargará de verificar cada seis meses la correcta definición, funcionamiento y aplicación de los procedimientos de realización de copias de respaldo y de recuperación de los datos. Evidentemente los directores de los centros sanitarios no van a verificar este tipo de cosas pero sí deberían exigir los informes periódicos de que los procedimientos de copias de respaldo funcionan y que las copias realizadas son correctas. Generalmente es el responsable de seguridad el que verifica esta información remitida por los departamentos de informática de los centros.

–         art. 98. RDLOPD- El responsable del fichero o tratamiento establecerá un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información. Es evidente que la dirección no puede llegar a estos niveles de detalle, aunque debe resolverse implícitamente de la política de seguridad que ésta establezca.

–         art. 100. RDLOPD- Será necesaria la autorización del responsable del fichero para la ejecución de los procedimientos de recuperación de los datos. Por suerte para las organizaciones, éste caso se da con escasa frecuencia,  pero deberían establecerse procedimientos claros en los que se incluya al responsable del fichero con sus responsabilidades tal y como exige la ley.

 La existencia de un responsable de seguridad cuya función sea realmente efectiva, y no por cumplir con un artículo de la LOPD, ayudaría en mucho a la organización en mantener unos niveles adecuados de seguridad de la información de sus centros. Es indiscutible, que para llevar a cabo la cantidad de verificaciones y supervisiones que van asociados a la figura del responsable de seguridad, éste debe tener una dedicación exclusiva a este cometido y por supuesto, debe cumplirse el principio de independencia para que no resulte afectado directamente por las decisiones que deba tomar como responsable de seguridad.

Falta de concienciación del personal sanitario, no sanitario y empresas externalizadas

Uno de los principales factores implicados en la comisión de infracciones en materia de protección de datos viene dada por la falta de experiencia en la manipulación de la información por parte de los profesionales, independientemente de su categoría, originada por una falta de conocimiento de la ley y de los procedimientos de seguridad implantados en sus centros. Es por ello que resulte fundamental obtener un alto grado de concienciación del personal para que se eviten incidentes como fugas de información, pérdidas de datos, cesión de información indebida, accesos no procedentes, exposición a ingeniería social, etc.

Escasa difusión de las normas y procedimientos recogidos en el Documento de Seguridad del Centro e inaccesibilidad del mismo.

No basta con que exista el Documento de Seguridad del centro sanitario, al que obliga el RD 1720/2007 en su artículo 88. Es fundamental que los empleados conozcan su contenido para que puedan aplicarlo. Por ello, la ley no deja cabos sueltos, y el reglamento de medidas de seguridad (RD1720/2007) en su art. 89.2 especifica que el responsable del fichero o tratamiento adoptará las medidas necesarias para que el personal conozca de una forma comprensible las normas de seguridad que afecten al desarrollo de sus funciones así como las consecuencias en que pudiera incurrir en caso de incumplimiento.

Protocolos o procedimientos no revisados por el responsable de seguridad del centro.

Ya existían multitud de protocolos y procedimientos en los centros sanitarios antes de la entrada en vigor de la LOPD, éstos, en su mayoría, se han ido adaptando a la normativa vigente, pero es bastante habitual, que dada la segregación de Servicios y Unidades de Gestión independientes que conforman la totalidad del funcionamiento de un centro sanitario, éstos elaboren sus propios procedimientos sin validarlos con el responsable de seguridad, el cual con su conocimiento global de la ley y del documento de seguridad del centro puede detectar posibles incoherencias o procesos no acordes a la normativa vigente en materia de seguridad de los datos.

Falta de  participación del responsable de seguridad en los inicios de proyectos de la organización (Security by Design)[1].

Como ya hemos ido indicando reiteradas veces a lo largo de este capítulo, la función supervisora de la figura del responsable de seguridad debe ser totalmente horizontal en la estructura orgánica en la que se toman decisiones que puedan afectar a los datos de carácter personal. Adquisición de nuevo software, creación de nuevos procedimientos o modificación de los existentes, colaboraciones con otros organismos o asociaciones, contratación de nuevos servicios, etc. La falta de esta supervisión puede resultar inconveniente ya que habrá cuestiones de seguridad que puedan no tenerse en cuenta y cuya adaptación posterior resulte mucho más costosa para la organización y para los usuarios, que si se hubieran atajado las deficiencias desde el principio del proyecto.

Rechazo de los profesionales a los accesos restrictivos, al cambio de “sus formas de hacer”.

Cuando los profesionales en general,  tienen que comenzar a prestar atención a nuevas normas además de lo que habitualmente llevan a cabo en sus puestos de trabajo, o bien, se ven obligados a modificar su modus operandi, el rechazo inicial es prácticamente inevitable, ya sea motivado por razones de seguridad de los datos o por cualquier otro motivo. Sin duda, la forma de minimizar este impacto en su apreciación del trabajo a realizar es haciéndoles partícipes de cualquier cambio que haya que afrontar en su servicio o unidad. Explicarles detalladamente la necesidad del cambio y tener en cuenta sus opiniones (la mayoría de las veces aportan una visión bastante interesante de cómo afrontar el cambio necesario para la adaptación), además de que tomen conciencia de que sin ellos ninguna norma ni procedimiento por sí mismo evitaría un incidente de seguridad.

Si se sienten parte de ese trabajo, el rechazo queda anulado prácticamente. Antes de afrontar un cambio, la información y la participación del personal implicado son hitos de éxito en la implantación de los nuevos procedimientos.

Procesos con implicación de personal inapropiado en sistemas de información no adaptados a su perfil.

Dada la escasez actual de recursos humanos en los servicios sanitarios, muchos profesionales deben asumir tareas no habilitadas para su categoría profesional en los sistemas de información, por ejemplo, personal administrativo que tiene que manipular datos de salud a un nivel de acceso en la Historia Clínica Digital inaccesible con su perfil, como mecanizar las hojas quirúrgicas de los pacientes.

En realidad, los sistemas de información están adaptados habitualmente a la normativa pero resultan inflexibles para adaptarlos a ciertos cambios operativos que se hacen necesarios dentro de un servicio clínico y esto imposibilita que dichos usuarios puedan realizar las nuevas tareas asignadas sin cometer accesos indebidos a la información, es decir, habría que habilitarles un perfil inadecuado (por ejemplo el destinado a un facultativo) para que pudieran realizarlas.

De partida, la problemática que causa que el sistema de información impida dicha actividad para ese tipo de profesional es una alerta para los gestores de las unidades o servicios clínicos, que les hace ser conscientes de que hay funciones clínicas así definidas en los sistemas de información que no son delegables en personal administrativo.

En estos casos, acuden al responsable de seguridad para buscar la solución idónea a su problemática, y casi siempre existe una vía alternativa para que lo que necesitan pueda llevarse a cabo sin menoscabo de la seguridad y privacidad de la información.

En este caso concreto, la necesidad real del personal de quirófano era tener al día datos necesarios para su explotación estadística de hora de entrada y salida de quirófano, tipo de anestesia, quirófano de la intervención y procedimientos CIE realizados al paciente.

Esta información la podía mecanizar directamente el personal de enfermería a la vez que realizaban su checklist de verificación en quirófano, por lo que con tan sólo 1 minuto más de tiempo de enfermería durante la mecanización de los datos que ellos ya tenían procedimentado mecanizar en las intervenciones en las que participaban, quedó solventada la problemática inicial.

Hay que tener en cuenta que siempre hay una opción viable a la resolución de un problema funcional u organizativo planteado por los profesionales de la sanidad y que es acorde a ley.

Las capacidades de un responsable de seguridad  articulan la viabilidad de cambios en los procesos de adaptación a la LOPD de forma que el impacto sea el mínimo posible en los usuarios y la organización y consiguen su objetivo principal que es velar por la seguridad y privacidad de la información en los niveles que marca la ley en sus centros de trabajo.

 Autores:

Ana María Chups Rodríguez
Manuel Jimber del Río
Victoria Zafra Muñoz



[1] Secure by design, insoftware engineering, means that the software has been designed from the ground up to be secure. Malicious practices are taken for granted and care is taken to minimize impact when a security vulnerability is discovered or on invaliduser input. (wikipedia)

La Locura de Heracles (I). La LOPD es de imposible cumplimiento

Hércules y las Yeguas de Diomedes. Detalle del mosaico romano de Los Doce Trabajos de Liria (Valencia, España). Luis García [GFDL (http://www.gnu.org/copyleft/fdl.html) or CC-BY-SA-3.0 (http://creativecommons.org/licenses/by-sa/3.0/)], via Wikimedia Commons
Hércules y las Yeguas de Diomedes. Detalle del mosaico romano de Los Doce Trabajos de Liria (Valencia, España).
Luis García [GFDL (http://www.gnu.org/copyleft/fdl.html) or CC-BY-SA-3.0 (http://creativecommons.org/licenses/by-sa/3.0/)], via Wikimedia Commons

Cuando Heracles recobró la razón se encerró en una habitación oscura durante varios días, evitando toda comunicación con seres humanos y, después de ser purificado por el rey Tespio, fue a Delfos, para preguntar qué debía hacer. La Pitonisa, dirigiéndose a él por primera vez como Heracles y no como Palemón, le aconsejó que residiera en Tirinto, sirviera a Euristeo durante doce años y realizara los trabajos que le impusiese, en compensación por lo cual se le concedería la inmortalidad…

La Locura de Heracles.
Los mitos griegos.
Robert Graves

1             Hechos Imposibles

Es indiscutible que en el ámbito sanitario estamos constantemente superando barreras naturales en pro de la salvaguarda de la salud de los pacientes.

En el pasado año 2012, los investigadores descubren cómo penetra el VIH en las células del sistema inmunitario que propagan el virus dentro del organismo humano. Los científicos del Instituto de Investigación de Sida IrsiCaixa han hallado una nueva molécula que captura el virus y permite su entrada a las células dendríticas. La revista científica PloS Biology ha publicado este trabajo.

Un grupo de científicos ha dado un paso más en la definición del perfil genético del cáncer de mama, que afecta a más de 20.000 españolas cada año. Hay tres mutaciones en tres nuevos genes asociados a este tipo de cáncer, que además son muy frecuentes en la población general. Cada mutación confiere un pequeño riesgo para padecer la enfermedad.  Nadie discute este hecho.

Se descubren nuevas propiedades de un gen. Uno de los genes que protegen contra el cáncer tiene además otros dos efectos positivos en el organismo: aumenta la esperanza de vida y combate la obesidad. Es el resultado de un estudio del Centro Nacional de Investigaciones Oncológicas (CNIO), publicado en la revista especializada Cell Metabolism.

Son avances que requieren de una especialización muy concreta y de la existencia de profesionales altamente cualificados con unos recursos muy específicos para obtener resultados con éxito. Pero ante el inicio de una vía de investigación biosanitaria nadie piensa a priori que es “imposible”.

¿Por qué los profesionales del ámbito sanitario se alarman ante la obligación de poner en marcha una normativa legislativa sobre medidas de seguridad que salvaguarden la integridad, disponibilidad y confidencialidad de los datos de salud de sus pacientes, pensando que es imposible su aplicación en su labor diaria?

Actuaciones tan habituales como:

      Comunicar cambios de citas por teléfono por no haber tiempo suficiente para la emisión de notificación por correo ordinario tras una reprogramación en la consulta de un médico.

      Trasladar a un paciente desde reanimación hasta su habitación junto con su historia clínica.

      Entregar los dossieres de historias clínicas en las consultas para la actividad habitual de Consultas Externas.

      Dar información sobre pacientes.

Cuando llegó el momento de ver si los procedimientos que se estaban realizando hasta la aparición de esta “ley incordiante” eran correctos y acordes a la normativa vigente en materia de protección de datos, causó un “colapso” entre los profesionales sanitarios y no sanitarios. Comentarios como “esto no se puede hacer”, “¿cómo le vamos a decir a este usuario que no le podemos dar la cita de su madre?, nos linchan”, “¿Pero qué tenemos que hacer, un interrogatorio policial antes de decirle que le han cambiado la cita de fecha?” comenzaron a proliferar por doquier.

Según la experiencia que hemos tenido en el Servicio Andaluz de Salud, ese “hipotético colapso” podría haber sidomotivado, más por desconocimiento de la Ley, que por imposibilidad de adecuación de los procedimientos ya activos en los centros sanitarios. La presunción de que esta ley es altamente restrictiva en cuanto a la forma de tratar o manipular la información de los pacientes,  nos parece algo cultural, a juzgar por toda la alarma provocada sin base fundamentada alguna.

Ante esta incertidumbre y desinformación no hay más remedio que poner orden y priorización en la adecuación de los procesos de los centros sanitarios donde la existencia de datos de carácter personal es casi inevitable.

En el estudio realizado por INTECO en colaboración con la Agencia  de Protección de Datos de la Comunidad de Madrid (APDM, en adelante)  en Octubre del 2010 sobre una muestra de 700 centros sanitarios entre los que se encontraban 190 hospitales, 246 centros de salud y 264 consultorios locales quedó de manifiesto que tras prácticamente casi tres años de la entrada en vigor del Real Decreto 1720/2007, de 21 de Diciembre, por el que se aprueba el Reglamento de Desarrollo de la Ley Orgánica 15/1999, de 13 de Diciembre, de protección de datos de carácter personal (LOPD, en adelante), sólo un 55,1% de los encuestados en la Comunidad Autónoma de Andalucía afirman haber declarado sus ficheros ante la autoridad competente,  la AEPD, teniendo en cuenta que éste es un requisito legislativo ineludible por el art.55 del R.D. 1720/2007, da una visión del mediocre nivel de cumplimiento en el que se mueven los centros sanitarios.

Declaración de ficheros en hospitales.Estudio INTECO y AEPD Octubre 2010
Declaración de ficheros en hospitales.Estudio INTECO y APDM Octubre 2010

Pero hay otro dato significativo que nos hace pensar en que esa priorización, que mencionábamos anteriormente, se está llevando a cabo durante el proceso de adaptación en materia de protección de datos en el ámbito de la salud.

Observemos el siguiente gráfico del mismo estudio relativo a la formación sobre protección de datos del personal de atención al público, segmentación geográfica (suma de Conoce de forma general los derechos de las personas cuyos datos se recaban y Dispone de un conocimiento profundo de la normativa sobre protección de datos) (%)

 

Formación sobre Protección de Datos del personal de Atención al Público. Estudio INTECO y AEPD. Octubre 2010
Formación sobre Protección de Datos del personal de Atención al Público. Estudio INTECO y APDM. Octubre 2010

Un 94,4% del personal de atención al público de los centros sanitarios andaluces han recibido formación sobre protección de datos de carácter personal y conocen los derechos de las personas cuyos datos se recaban.

¿Por qué esa diferencia entre nivel de cumplimiento en un aspecto y en otro? La diferencia puede radicar en varios factores:

      Se implican directamente profesionales totalmente diferentes. Para la inscripción de los ficheros es necesaria directamente la implicación de la Alta Dirección y, en ficheros de titularidad pública, entran en juego mecanismos que retrasan enormemente su realización, como la publicación en Boletínes Oficiales. Topamos con la burocracia!

      La priorización de adecuar procesos que puedan minimizar en mayor medida las reclamaciones o denuncias ante la AEPD. En la formación/sensibilización de los profesionales el retorno de inversión para la organización/empresa es mucho más evidente que la inscripción de ficheros.

  La historia clínica es casi una constante en las denuncias que han llegado hasta la Agencia de Protección de Datos en el ámbito sanitario. En concreto, estas quejas se refieren sobre todo a la difusión de datos de pacientes a través de Internet, aparición de expedientes médicos en contenedores en la vía pública, almacenamiento de documentación clínica en áreas sin restricción de acceso, pérdida de historiales clínicos o la utilización de los datos sanitarios para finalidades no autorizadas por los pacientes y la comunicación indebida a terceros.

“En los últimos años se ha detectado un aumento en el número de denuncias contra centros sanitarios por temas relacionados con el acceso a datos de carácter personal. Estos datos demuestran la necesidad de una mejor protección en este ámbito, que empieza por conocer mejor la ley y los requerimientos que exige[1], ha comentado el director general de Alaro Avant (empresa especializada en servicios de seguridad de la información). Dicho esto, el experto ha recordado que los datos personales que manejan los centros sanitarios son considerados “especialmente protegidos”, ya que para la LOPD los datos relativos a la salud son considerados de nivel alto  y por tanto las medidas que se deben tomar para protegerlas deben ser mucho más contundentes.

Distribución de Resoluciones Sancionadoras. Memoria APED 2011
Distribución de Resoluciones Sancionadoras. Memoria APED 2011

 

Agencia Española de Protección de Datos. Memoria 2011

“El 70 por ciento de los incidentes de seguridad de datos se debe a factores internos de las empresas e instituciones así como a errores de los propios usuarios[2], ha comentado el director general de Alaro Avant.

Los ciudadanos están cada vez más sensibilizados con el uso que se le da a sus datos, y son mucho más exigentes con la tutela que hacen las administraciones públicas y privadas de la información que les concierne.

De la memoria del año 2011 publicada por la AEPD, podemos extraer que las resoluciones de declaración de infracción de Administraciones Públicas han crecido un 30% y en realidad no es porque las medidas de seguridad del ámbito público hayan empeorado, todo lo contrario, se están haciendo grandes esfuerzos en potenciar la seguridad de la información, pero la ciudadanía conoce perfectamente los derechos que le otorga la LOPD y no dudan a la hora de interponer las denuncias correspondientes.

Distribución Geográfica de los procedimientos Sancionadores. Memoria AEPD 2011
Distribución Geográfica de los procedimientos Sancionadores. Memoria AEPD 2011

 

Agencia Española de Protección de Datos. Memoria 2011

Es por ello que las organizaciones privadas o públicas sanitarias deben poner énfasis en la puesta en marcha de los Planes de Seguridad de sus centros, si no es por la obligatoriedad que impone la normativa legal vigente, por lo menos por dar un servicio de calidad a sus pacientes, aumentando la imagen positiva global de sus servicios e incrementando la confianza que los ciudadanos otorgan a estas entidades sanitarias a las que les entregan una parte importante e íntima de su vida privada.

 Autores:

Ana María Chups Rodríguez
Manuel Jimber del Río
Victoria Zafra Muñoz


[1] Extraido del artículo http://www.europapress.es/salud/politica-sanitaria/noticia-historiales-clinicos-son-principales-denuncias-proteccion-datos-20121022164623.html

[2] Extraido del artículo http://www.europapress.es/salud/politica-sanitaria/noticia-historiales-clinicos-son-principales-denuncias-proteccion-datos-20121022164623.html