EL NOVENO TRABAJO DE HERACLES: EL CINTURÓN DE HIPÓLITA (I). No se Puede Hacer Investigación Sanitaria y Cumplir la LOPD

Herakles fighting against the Amazons, detail of an Attic black-figure amphora, ca. 530 BC–520 BC.
Herakles fighting against the Amazons, detail of an Attic black-figure amphora, ca. 530 BC–520 BC. By English: Near Group E Français : Près du Groupe E (Jastrow (2006)) [Public domain], via Wikimedia Commons

Las niñas que nacen se hacen amazonas y a los niños los envían a los gargarenses, quienes, como no tienen medio de averiguar su paternidad, los distribuyen echando suertes entre sus chozas.

“El noveno trabajo de Heracles: El cinturón de Hipólita Los mitos Griegos. Robert Graves.”

 

 

La aparición de la Ley Orgánica de Protección de Datos 15/99 y el Reglamento de medidas de seguridad 1720/07, supuso un antes y un después para las entidades públicas y privadas en el manejo y tratamiento de datos personales. Desde que me inicié en el mundo de la protección de datos personales, gracias a la participación y colaboración con la Unidad de Gestión de Riesgos Digitales del Servicio Andaluz de Salud hace ya más de un lustro, recibiendo formación específica en protección de datos y de auditorías de seguridad de la información, me cambió  la perspectiva, el concepto y la percepción de la seguridad y protección de la información. También, era de los escépticos a la hora de aplicar las leyes en materia de protección de datos personales, “nada se podía hacer aplicando las normas y leyes…”, “No había recursos tanto económicos como humanos, y menos en la administración pública para aplicar las medidas de seguridad…”.

La experiencia, y sobre todo compartir conocimientos con los demás compañeros que nos dedicamos en parte a estos temas en nuestro entorno profesional,  me hizo cambiar la percepción y caer en la cuenta, de que podemos hacer muchas tareas y la mayoría sin coste alguno (muy importante en estos tiempos de crisis). Dichas tareas las podemos ver como “granitos de arena en protección de datos personales”, la suma de dichas tareas o “granitos”,  se puede convertir en toda una montaña en desarrollo y cumplimiento de la legislación en protección de los datos personales.

Focalizando en el tema que nos ocupa, la Investigación (si esa I+D+i…) y en concreto en el ámbito sanitario, nos topamos frecuentemente con una temida e ignorada ley en la mayoría de las ocasiones, la llamada LOPD. Pero además, hay que tener en cuenta otras leyes, normas y resoluciones, como la Ley 14/2007, de 3 de julio, de Investigación biomédica (en adelante, LIB), que regula con carácter general la investigación biomédica. Tenemos que pensar, que al desarrollo de una actividad Investigadora, pueden afectarle diferentes leyes y normativas según el ámbito y los sujetos del estudio, como puede ser la Constitución Española, la Ley General de Sanidad, Ley de medicamentos, leyes Autonómicas, resoluciones, el Código Civil, etc.

Para el personal investigador esto supone un esfuerzo extra, y suelen tener la percepción de que es una traba más a su investigación. Debemos comprenderlos, pues a menudo se han de enfrentar al cumplimiento de distintas legislaciones, sin el asesoramiento o la formación específica y adecuada en materia de protección de datos, a la hora de poner en marcha y desarrollar sus investigaciones. Así, lo más común es que piensen que se trata de objetivos incompatibles o difícilmente alcanzables: “No se puede hacer Investigación sanitaria y la vez cumplir con las distintas legislaciones: resoluciones, LOPD, LIB,…“.  Esta percepción, habitual en el ámbito de la investigación sanitaria, debe ir cambiando y espero que con la realización de este capítulo (un granito más…), podamos contribuir a que los investigadores cambien esta percepción, y vean que son más las ventajas que los inconvenientes. Tenemos que hacerles ver, que cumplir con la legislación les puede venir muy bien para protegerse ante posibles denuncias y responsabilidades, lo que a su vez les facilitará dar entidad científica a su estudio, difundirlo y publicarlo en revistas de impacto, etc.

Autores:

Miguel Ángel García Hita
Mª Esther González Revuelta
Juan Díaz García

El quinto trabajo de Heracles: Los establos de Augías(XV). Las indestructibles historias

De una forma simplificada describiremos el proceso de digitalización de los Consentimientos Informados Médicos, por ser el proceso más complejo al implicar la firma del paciente. Para la digitalización de las Historias Clínicas sólo habría que considerar el circuito de digitalización certificada, mucho más sencillo. El proceso mostrado no considera la arquitectura necesaria para garantizar la confidencialidad ni la disponibilidad de la información con objeto de simplificar el proceso, pero en el desarrollo de un proyecto como este dicha arquitectura de seguridad resultaría imprescindible.

Consentimiento Informado Médico Electrónico y digitalización certificada. (Manuel Jimber)
Consentimiento Informado Médico Electrónico y digitalización certificada. (Manuel Jimber)

El proceso de consentimiento informado se realiza en la forma tradicional, en el acto médico‐ paciente, mediante el cual se informa al paciente de los aspectos recogidos en la Ley 41/2002 (LAP). El médico utilizará un repositorio de plantillas de consentimiento adaptadas, escogiendo la plantilla oportuna para cada caso. La plantilla será completada con los datos del paciente que podrían proceder de la Base de Datos de Pacientes de la organización en cuestión para los datos de filiación y para los datos concretos del episodio en el caso de que el consentimiento informado tuviera que incorporarlos.

El facultativo informará al paciente y completando los apartados con contenidos específicos si fuera necesario, (SITUACIONES ESPECIALES QUE DEBEN SER TENIDAS EN CUENTA, OTRAS INFORMACIONES DE INTERES…), y se marcarán las opciones oportunas de consentimiento (APARTADO 2.3 CONSENTIMIENTO de la orden de 8 de julio de 2009 sobre consentimiento informado).

A continuación se imprimirá una copia para el paciente. La copia del documento electrónico irá referenciada adecuadamente para que pueda ser identificada en el futuro.

El paciente podrá llevarse la copia del documento electrónico para leerlo y valorar su decisión al consentimiento. En el mismo acto, o en otro posterior, se ofrecerá al paciente la posibilidad de aceptar o rechazar el consentimiento. Antes de imprimir la copia del consentimiento electrónico, deberá ser firmada electrónicamente por el médico responsable. De esta forma se garantiza que el documento queda cerrado y no puede modificarse después de entregar la copia en papel al paciente. El consentimiento informado en papel deberá ir identificado adecuadamente mediante un código electrónico (por ejemplo el Hash del documento firmado electrónicamente por el médico) u otro medio equivalente que la identifique adecuadamente. Debería incluirse en el documento papel una nota indicando que se trata de copia de un documento electrónico y opcionalmente, podríamos pensar en ofrecer en una URL de forma que el propio paciente, utilizando el hash que identifica al documento, pueda acceder al documento electrónico original (esta opción habría que pensarla detenidamente y tomar medidas de seguridad extremas para garantizar que sólo el propio paciente puede acceder a su consentimiento informado)

El documento electrónico ira firmado de tres formas:

–         Por el médico responsable usando firma electrónica reconocida (por ejemplo DNI electrónico)

–         Por el paciente a través de la digitalización de su firma. (el paciente tiene derecho a firmar su consentimiento por otros medios)

–         En todo caso, podrá firmar utilizando su propio DNI electrónico.

–         Podría utilizar otra firma electrónica reconocida o firma electrónica avanzada

–         Podrá decidir firmar en la forma tradicional firmando en el papel (en cuyo caso deberá firma dos copias en papel)

–         La tercera firma consiste en el sellado de tiempo de una Autoridad de sellado de tiempo Acreditada (por ejemplo: la Fábrica Nacional de Moneda y Timbre)

 Si el paciente ha firmado el documento electrónico (mediante la digitalización de su firma o con su propia firma electrónica), éste se archivará en el repositorio de consentimientos informados electrónicos, siempre después de su sellado de tiempo.

Si el paciente ha optado por la firma tradicional del documento en papel, se le entregará una copia y la otra se enviará al Servicio de Archivo (o servicio que se decida para la digitalización del documento). En lugar de archivar el papel en la historia del paciente, se procederá a la Digitalización Certificada del documento, obteniendo así una copia electrónica del documento en papel con las mismas condiciones de seguridad e integridad que para el documento electrónico obtenido en la propia consulta.

Para este documento serán necesarias dos firmas:

–         Firma electrónica del funcionario público habilitado para estas funciones. Podrá ser una firma institucional

–         Sellado de tiempo de Autoridad de Sellado de Tiempo autorizada.

 Una vez digitalizado el papel, éste pasará al repositorio de consentimientos informados electrónicos al igual que cualquier otro. El original se destruirá por medios adecuados.

Autores:

Manuel Jimber del Río
Francisco José Sánchez Laguna.
Rafael Marín Jiménez

Bibliografía

–         Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de

–         derechos y obligaciones en materia de información y documentación clínica. (LAP)

–         Ley 14/2007, de 3 de julio, de investigación Biomédica. (LIB)

–         Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios

–         Públicos. (LAECS)

–         Ley 59/2003, de 19 de diciembre, de firma electrónica (LFE)

–         Ley  Orgánica 15/1999, de 13 de diciembre, de Protección de datos de carácter personal (LOPD)

–         Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RDLOPD)

–         ORDEN EHA/962/2007, de 10 de abril, por la que se desarrollan determinadas disposiciones sobre facturación telemática y conservación electrónica de facturas, contenidas en el Real Decreto 1496/2003, de 28 de noviembre, por el que se aprueba el Reglamento por el que se regulan las obligaciones de facturación. (OEHA)

–         Real Decreto 3/2010, de 8 de enero, por el que se regula el Esquema Nacional de Seguridad en el ámbito de la Administración Electrónica.

–         Real Decreto 4/2010, de 8 de enero, por el que se regula el Esquema Nacional de Interoperabilidad en el ámbito de la Administración Electrónica.

–         GUÍA DE APLICACIÓN DE LA NORMA TÉCNICA DE INTEROPERABILIDAD.  Digitalización de Documentos.

–         GUÍA DE APLICACIÓN DE LA NORMA TÉCNICA DE INTEROPERABILIDAD.  Documento Electrónico.

–         GUÍA DE APLICACIÓN DE LA NORMA TÉCNICA DE INTEROPERABILIDAD.  Expediente Electrónico.

–         GUÍA DE APLICACIÓN DE LA NORMA TÉCNICA DE INTEROPERABILIDAD.  Procedimientos de copiado auténtico y conversión entre documentos electrónicos.

–         GUÍA DE APLICACIÓN DE LA NORMA TÉCNICA DE INTEROPERABILIDAD.  Política de Firma Electrónica y de certificados de la Administración.

 

 

El quinto trabajo de Heracles: Los establos de Augías(XIV). Las indestructibles historias clínicas.

Hércules limpia los establos de Augías desviando el cauce de los ríos Alfeo y Peneo. Detalle del mosaico romano de Los Doce Trabajos de Liria (Valencia, España). Luis García [GFDL (http://www.gnu.org/copyleft/fdl.html) or CC-BY-SA-3.0-2.5-2.0-1.0 (http://creativecommons.org/licenses/by-sa/3.0)], via Wikimedia Commons
Hércules limpia los establos de Augías desviando el cauce de los ríos Alfeo y Peneo. Detalle del mosaico romano de Los Doce Trabajos de Liria (Valencia, España).
Luis García [GFDL (http://www.gnu.org/copyleft/fdl.html) or CC-BY-SA-3.0-2.5-2.0-1.0 (http://creativecommons.org/licenses/by-sa/3.0)], via Wikimedia Commons
Para que el paciente pueda firmar su consentimiento informado electrónico deberá disponer de una firma electrónica reconocida, según hemos visto. Esto puede ser una barrera hasta tanto la extensión del DNIe se generalice y el ciudadano aprenda a utilizarlo electrónicamente. Pero hemos mencionado varias veces los dispositivos de creación de firma electrónica, ¿Puede haber otros sistemas de firma reconocida más sencillos y al alcance del ciudadano en sus relaciones con la administración pública? De momento veamos qué condiciones deben cumplir estos dispositivos para crear una firma electrónica reconocida.

Un dispositivo de creación de firma es un programa o sistema informático que sirve para aplicar los datos de creación de firma. Un dispositivo seguro de creación de firma es un dispositivo de creación de firma que ofrece, al menos, las siguientes garantías:

–         Que los datos utilizados para la generación de firma pueden producirse sólo una vez y asegura razonablemente su secreto.

–         Que existe una seguridad razonable de que los datos utilizados para la generación de firma no pueden ser derivados de los de verificación de firma o de la propia firma y de que la firma está protegida contra la falsificación con la tecnología existente en cada momento.

–         Que los datos de creación de firma pueden ser protegidos de forma fiable por el firmante contra su utilización por terceros.

–         Que el dispositivo utilizado no altera los datos o el documento que deba firmarse ni impide que éste se muestre al firmante antes del proceso de firma.

–         La certificación de dispositivos seguros de creación de firma electrónica es el procedimiento por el que se comprueba que un dispositivo cumple los requisitos establecidos en esta ley para su consideración como dispositivo seguro de creación de firma.

–         La certificación podrá ser solicitada por los fabricantes o importadores de dispositivos de creación de firma y se llevará a cabo por las entidades de certificación reconocidas por una entidad de acreditación designada de acuerdo con lo dispuesto en la Ley 21/1992, de 16 de julio, de Industria y en sus disposiciones de desarrollo.

En los procedimientos de certificación se utilizarán las normas técnicas cuyos números de referencia hayan sido publicados en el «Diario Oficial de la Unión Europea» y, excepcionalmente, las aprobadas por el Ministerio de Ciencia y Tecnología que se publicarán en la dirección de Internet de este Ministerio.

Los certificados de conformidad de los dispositivos seguros de creación de firma serán modificados o, en su caso, revocados cuando se dejen de cumplir las condiciones establecidas para su obtención.

Los organismos de certificación asegurarán la difusión de las decisiones de revocación de certificados de dispositivos de creación de firma.

Después de esta breve descripción de los conceptos fundamentales para la documentación electrónica podemos hacer un ejercicio de imaginación, pero no de ciencia ficción, para describir un posible proceso de digitalización que acabaría con el papel en los centros sanitarios ahorrando cientos de miles de euros al año por centro.

Autores:

Manuel Jimber del Río
Francisco José Sánchez Laguna.
Rafael Marín Jiménez

El quinto trabajo de Heracles: Los establos de Augías(XIII). Las indestructibles historias clínicas.

Hércules limpia los establos de Augías desviando el cauce de los ríos Alfeo y Peneo. Detalle del mosaico romano de Los Doce Trabajos de Liria (Valencia, España). Luis García [GFDL (http://www.gnu.org/copyleft/fdl.html) or CC-BY-SA-3.0-2.5-2.0-1.0 (http://creativecommons.org/licenses/by-sa/3.0)], via Wikimedia Commons
Hércules limpia los establos de Augías desviando el cauce de los ríos Alfeo y Peneo. Detalle del mosaico romano de Los Doce Trabajos de Liria (Valencia, España).
Luis García [GFDL (http://www.gnu.org/copyleft/fdl.html) or CC-BY-SA-3.0-2.5-2.0-1.0 (http://creativecommons.org/licenses/by-sa/3.0)], via Wikimedia Commons

Se pueden distinguir varios tipos de copias auténticas. La copia electrónica auténtica con cambio de formato, en la que tanto el documento original como el nuevo documento generado son de naturaleza electrónica pero con diferente formato. La copia electrónica auténtica de documento papel, es decir, a partir de un documento en papel se crea un documento electrónico con calidad de copia auténtica mediante un proceso de digitalización, este es el caso que nos ocupa precisamente para la digitalización certificada de las historias clínicas. La copia electrónica parcial auténtica, en la que tanto el documento origen como la copia generada tienen naturaleza electrónica, pero su contenido se reproduce sólo parcialmente por motivos de confidencialidad. Por último, la copia papel auténtica de documentos públicos administrativos electrónicos, en el que el documento origen es un documento público administrativo electrónico y la copia se realiza sobre papel.

Cada uno de estos tipos de copias se desarrollan en los apartados IV al VII de la NTI de copiado auténtico y conversión entre documentos electrónicos.

 

Proceso de copiado auténtico. (De la Guía de Aplicación de la Norma Técnica de Interoperabilidad. Procedimientos de copiado auténtico y conversión entre documentos electrónicos)
Proceso de copiado auténtico. (De la Guía de Aplicación de la Norma Técnica de Interoperabilidad. Procedimientos de copiado auténtico y conversión entre documentos electrónicos)

Otro de los temas a considerar es la impresión del documento electrónico en papel. ¿Cómo se garantiza la autenticidad de la copia en papel del documento electrónico? Además de una reproducción exacta en papel del documento, debe incluirse la siguiente información:

–         Código seguro de verificación, para su posterior verificación en la sede electrónica.

–         Datos de representación en papel de la firma, incluyendo la información mencionada en el punto anterior para cada firma electrónica contenida en el documento electrónico.

 La copia impresa deberá incluir la información de la firma electrónica al menos en una de sus páginas, aunque también se podría emplear una leyenda asociada.

Autores:

Manuel Jimber del Río
Francisco José Sánchez Laguna.
Rafael Marín Jiménez