El décimo trabajo de Heracles: Los bueyes de Geriones (I). Trazabilidad

Herakles fighting Geryon (dying Eurytion on the ground). Side A from an Attic black-figure amphora.  By Deutsch: Gruppe E English: E Group Français : Groupe E (Marie-Lan Nguyen (2006)) [Public domain], via Wikimedia Commons
Herakles fighting Geryon (dying Eurytion on the ground). Side A from an Attic black-figure amphora. By Deutsch: Gruppe E English: E Group Français : Groupe E (Marie-Lan Nguyen (2006)) [Public domain], via Wikimedia Commons

El décimo trabajo de Heracles consistió en llevar los famosos bueyes de Geriones desde Eritrea, una isla situada cerca de la corriente del Océano, sin pedirlos ni pagarlos. Geriones, hijo de Crisaor y Calírroe, hija ésta del titán Océano, era rey de los Tartesos en España, y tenía fama de ser el hombre más fuerte del mundo. Había nacido con tres cabezas, seis brazos y tres cuerpos unidos en la cintura. Los bueyes rojos de Geriones, animales de una belleza maravillosa, estaban guardados por el pastor Euritión, hijo de Ares, y el perro bicéfalo Órtro, anteriormente propiedad de Atlante, nacido de Tifón y Equidna. El décimo trabajo de Heracles: Los bueyes de Geriones. Los Mitos Griegos. Robert Graves

En este capítulo, recogemos la problemática que se presenta con frecuencia sobre la custodia, accesos y posibles fugas de información correspondiente a la historia clínica electrónica.

Desde el punto de vista de seguridad hablamos del principio de trazabilidad como elemento clave para poder asegurar los accesos que se han producido, poder discernir la pertinencia de los mismos y conocer los flujos de la información de salud.

La información personal de salud está amparada como un bien especialmente protegido como principio fundamental por la Ley Orgánica de Protección de Datos de Carácter Personal así como por la legislación sanitaria especialmente recogida por la Ley 41/2002, básica reguladora de la Autonomía del Paciente, donde se recoge entre otros el derecho de acceso a la historia clínica.

También se establece la obligación de custodia y las medidas de seguridad a establecer por los centros sanitarios para velar por la seguridad de la información sanitaria. Estos se basan fundamentalmente bajo los tres principios básicos como la disponibilidad, integridad y confidencialidad y todos ellos pueden verse afectados en la actividad diaria y pueden ser objeto de intereses personales no legítimos.

Es necesario aplicar medidas de seguridad a la información sanitaria para garantizar su correcto uso, entre los cuales se incluye asegurar la trazabilidad de todas las acciones y tratamientos de la información contenida en los diferentes subsistemas de información que aparece en nuestra red de asistencia sanitaria.

Ciertas medidas de seguridad se recogen en el Reglamento de desarrollo de la LOPD aprobado por el Real Decreto 1720/2007, y en concreto la necesidad de establecer registros de accesos sobre la información  y operaciones que realicemos con ella.

Revisaremos diferentes aspectos de este principio de “trazabilidad” y como es implementado en nuestras organizaciones sanitarias donde el paciente necesita hacer uso de él, como garantía de transparencia y buenas prácticas.

El paciente puede considerar que no se hace un correcto uso de su información y no tiene  mecanismos básicos que le ayude a verificarlo, ya que la legislación es restrictiva y garantista de los controles internos y la administración sanitaria se convierte en juez y parte en las fases iniciales de esta problemática.

La propia Ley Orgánica de Protección de Datos y la protección de la información de sus titulares establece la no revelación de datos de terceros que pueden acceder, confeccionar, controlar, participar en la asistencia sanitaria o que puede ser referenciada en las historias clínicas, y estos derechos pueden obstaculizar la percepción de transparencia de los pacientes y sus mecanismos de defensa de sus derechos.

Autores:

Juan Díaz García
Rafael Marín Jiménez
Miguel Ángel García Hita

EL NOVENO TRABAJO DE HERACLES: EL CINTURÓN DE HIPÓLITA (XVII). No se Puede Hacer Investigación Sanitaria y Cumplir la LOPD

Herakles fighting against the Amazons, detail of an Attic black-figure amphora, ca. 530 BC–520 BC. By English: Near Group E Français : Près du Groupe E (Jastrow (2006)) [Public domain], via Wikimedia Commons
Herakles fighting against the Amazons, detail of an Attic black-figure amphora, ca. 530 BC–520 BC. By English: Near Group E Français : Près du Groupe E (Jastrow (2006)) [Public domain], via Wikimedia Commons

El que algo quiere, algo le cuesta… ¡Si se puede! Conclusiones.

La investigación sanitaria, es necesaria e imprescindible para conseguir los avances científicos y logros en salud, que nos benefician a todos, y que tiene un precio incalculable para la salud y el bienestar de la humanidad.

Los datos sanitarios están cada vez más ligados a las nuevas tecnologías, lo que implica que el tratamiento de datos se realiza con programas o herramientas informáticas que nos ayudan a realizar casi cualquier operación sobre los datos.

Esto implica, que tenemos que compatibilizar por un lado las leyes y burocracia que establece limitaciones al tratamiento de datos, con las nuevas tecnologías en la actividad investigadora. Luego la parte jurídica, no la tenemos que ver como un obstáculo para la investigación, sino al contrario, utilizarla y ver la parte positiva de su aplicación, es decir usarla de forma que nos ayude proteger tanto a los investigadores como a los sujetos del estudio o investigación.

Una parte importante de las denuncias ante la AEPD, son a consecuencia del desconocimiento de la LOPD, y cómo se pueden aplicar las medidas de seguridad. Dichas denuncias, se podrían haber evitado haciendo campañas, cursos de formación, jornadas o artículos de sensibilización en materia de LOPD en los centros, entidades o empresas, que ayudarían a sus empleados a conocer y cumplir con la LOPD de la forma más adecuada.

Otras de las causas o excusas que se dan, es que se genera un nuevo coste económico a las empresas o centros. Pero si se realiza un estudio a fondo, este coste es muy bajo, comparable con las sanciones económicas o administrativas, que impone la AEPD, o peor aún, la mala reputación que puede tener una empresa, cuando se conoce que hay una fuga o pérdida de datos personales, lo que puede generar la quiebra o pérdida de clientes de dicha empresa. Además, hay medidas de índole organizacional, que dependen de las direcciones de los centros o empresas, que tienen un coste muy bajo o coste cero y que no se implantan por desconocimiento.

Por nuestra experiencia personal, como miembros del comité de ética de la investigación provincial, a la hora de evaluar los proyectos de investigación, se nota claramente que los proyectos de más envergadura e innovadores como ensayos clínicos, proyectos multicéntricos e internacionales han tenido en cuenta las diferentes leyes o reglamentos que les afectan, mientras otros solo tienen en cuenta algunas, y en pocas ocasiones no han tenido en cuenta ningún reglamento en materia de protección de datos, claramente por desconocimiento de las normativas debido a la falta de campañas de formación y concienciación en su ámbito laboral.

Por finalizar, la clave de todo esto, es conocer las excepciones  e instrumentos que nos ofrecen las distintas regulaciones para que los profesionales puedan satisfacer sus necesidades investigadoras, respetando en todo momento los derechos de los sujetos, lo que implica respetarnos nosotros mismos.

Autores:

Miguel Ángel García Hita
Mª Esther González Revuelta
Juan Díaz García

Bibliografía de la serie

  • Sección 1.ª De los derechos fundamentales y de las libertades públicas de la Constitución Española
  • Sentencia del tribunal constitucional 292/2000, de 30 de Noviembre
  • Directiva 95/46/CE del parlamento europeo y del consejo de 24 de octubre de 1995 relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos.
  • Decisión de la Comisión de 15 de junio de 2001 relativa a cláusulas contractuales tipo para la transferencia de datos personales a un tercer país previstas en la Directiva 95/46/CE.
  • Propuesta de REGLAMENTO DEL PARLAMENTO EUROPEO Y DEL CONSEJO relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (Reglamento general de protección de datos). http://eur-lex.europa.eu/LexUriServ/LexUriServ.do?uri=COM:2012:0011:FIN:ES:PDF.
  • Artículo 8 del Convenio Europeo de Derechos Humanos.
  • Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal
  • Real Decreto 1720/2007 de Medidas de Seguridad.
  • Ley 14/1986, General de Sanidad
  • LEY 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.
  • Ley 14/2007 de Investigación Biomédica
  • Real Decreto 223/2004, de 6 de febrero, por el que se regulan los ensayos clínicos con medicamentos.
  • Real Decreto 1301/2006, de 10 de noviembre, por el que se establecen las normas de calidad y seguridad para la donación, la obtención, la evaluación, el procesamiento, la preservación, el almacenamiento y la distribución de células y tejidos humanos y se aprueban las normas de coordinación y funcionamiento para su uso en humanos.
  • Material de Formación de la Unidad de Gestión de Riesgos Digitales de la Subdirección de Tecnologías de la Información. Servicio Andaluz de Salud.
  • Código Tipo de Farmaindustria de Protección de Datos Personales en el ámbito de la investigación clínica y de la farmacovigilancia. Versión 10 de Noviembre de 2009. (http://www.farmaindustria.es)
  • Agencia Madrileña de Protección de datos. (www.madrid.org/apdcm/)
  • Decisión de la Comisión de 15 de junio de 2001 relativa a cláusulas contractuales tipo para la transferencia de datos personales a un tercer país previstas en la Directiva 95/46/CE
  • Alonso Hurtado Bueno, (www.alonsohurtado.com)

EL NOVENO TRABAJO DE HERACLES: EL CINTURÓN DE HIPÓLITA (XVI). No se Puede Hacer Investigación Sanitaria y Cumplir la LOPD

Herakles fighting against the Amazons, detail of an Attic black-figure amphora, ca. 530 BC–520 BC. By English: Near Group E Français : Près du Groupe E (Jastrow (2006)) [Public domain], via Wikimedia Commons
Herakles fighting against the Amazons, detail of an Attic black-figure amphora, ca. 530 BC–520 BC. By English: Near Group E Français : Près du Groupe E (Jastrow (2006)) [Public domain], via Wikimedia Commons

Consejos vendo, y para mí no tengo… Consejos y Aclaraciones que surgen en la realización de un proyecto o estudio de investigación en relación a la LOPD.

  1. Los proyectos de Investigación deben pasar obligatoriamente por la comisión de Ética e Investigación, donde una de las funciones es velar por la protección de datos personales, y su adecuación a la LOPD.
  2. El responsable del fichero, es la persona física que dirige un Centro o Institución que,  en el caso de Hospitales públicos, es el director/a Gerente del centro de donde provienen los datos, y el responsable funcional, es el responsable de la unidad de donde se obtienen los datos. Los Jefes de Servicio o Directores/as de Unidad son los responsables funcionales. También se puede dar el caso, que un responsable delegue sobre el investigador Principal del Proyecto. En los casos que proceda, el responsable del fichero, tiene que dar la autorización pertinente.
  3. El procedimiento a seguir, en la Protección de Datos Personales en el ámbito de la investigación clínica, debe estar incluido en un anexo específico, dentro del Documento de Seguridad del Centro o Institución. Dicho anexo, debe incluir todas las medidas y normas a seguir en materia de LOPD. Dicho procedimiento será actualizado, y revisado cuando sea necesario.
  4. Para el tratamiento de los datos personales, en los Ficheros de Investigación, tiene que existir un consentimiento en materia LOPD del paciente/sujeto/participante del estudio, siempre que sus datos no estén disociados, salvo excepciones.
  5. Hay que tener muy claro  en qué casos se aplica la LOPD. Una buena práctica es hacer un circuito o esquema de las posibles situaciones que se pueden presentar. Incluir  algún diagrama de flujo, para discernir los diferentes casos que se pueden presentar: cesión a terceros, disociación de datos (Si/No), derechos de acceso, rectificación, cancelación u oposición etc.
  6. Siempre que sea posible se deberían tratar o trabajar con datos disociados en temas de Investigación, y esto implicaría que no aplicaría la LOPD. En los casos que no sea posible la disociación, habría que obtener los consentimientos de los sujetos del estudio.
  7. En cualquier formulario de recogida de información con datos personales, se debe pedir el consentimiento e informar si hay alguna cesión de datos prevista; se debe incluir un pie de página, informando de los derechos de acceso, rectificación, cancelación u oposición en materia LOPD, la forma de ejercerlos y donde.
  8. Si nos tienen que realizar alguna prestación de servicios, hay que formalizar los acuerdos de prestación de servicios contemplando, la figura del Encargado del Tratamiento.
  9. Aplicar las medidas de seguridad que correspondan a los datos tratados, considerando que con datos de salud  hay que aplicar medidas de nivel alto.
  10. Cuando nos hace falta crear un nuevo fichero con datos personales para nuestra investigación, deberíamos comprobar que dicho fichero está contemplado en los que tiene declarados nuestra institución o Centro en la Agencia Española de Protección de Datos, ya que hay obligación de declarar dicho fichero a la Agencia Española de Protección de Datos. Por ejemplo, podríamos tener un fichero declarado que cubriera todo el ámbito de la Investigación de nuestro centro. Para asegurarnos que existe el fichero declarado, podemos consultar al Responsable de Seguridad del Centro, al Departamento de Informática o TIC, o a la Comisión de Seguridad en caso de que exista. Además, podemos entrar en la Web de la Agencia Española de Protección de Datos. (https://www.agpd.es), y consultar los ficheros que tiene inscritos nuestro Centro o Institución.
  11. Los ficheros como bases de datos, hojas de cálculo, etc., que contengan datos personales, deberían estar alojados en servidores con las medidas de seguridad requeridas en función de la sensibilidad de los datos. Los servicios de Informática o TIC, seguro que colaboran y asesoran para el alojamiento y manejo de estos ficheros.
  12. Una buena práctica, cuando se realizan estudios y/o proyectos de investigación con laboratorios, es comprobar si dicho laboratorio, está adherido al Código Tipo de Farmaindustria de Protección de Datos Personales en el ámbito de la investigación clínica y de la farmacovigilancia, que puede ser consultado en el sitio web de Farmaindustria (http://www.farmaindustria.es), en el apartado Código Tipo.
  13. Ante cualquier duda o aclaración, en materia LOPD, se puede consultar con el responsable de Seguridad del Centro,  el servicio de Informática o TIC, o también se le puede hacer la consulta directamente a la Agencia Española de Protección de Datos, de una de las siguientes opciones:

 

  • Por correo Postal,  a la siguiente dirección: Agencia Española de Protección de Datos. C/ Jorge Juan, 6  28001-Madrid.
  • llamando al teléfono 901 100 099 o al 91.266.35.17 (ambos del Área de Atención al Ciudadano)
  • Por correo electrónico a la dirección ciudadano@agpd.es
  • Rellenando un formulario en la Web de la Agencia Española de Protección de Datos. (https://www.agpd.es)

Autores:

Miguel Ángel García Hita
Mª Esther González Revuelta
Juan Díaz García

EL NOVENO TRABAJO DE HERACLES: EL CINTURÓN DE HIPÓLITA (XV). No se Puede Hacer Investigación Sanitaria y Cumplir la LOPD

Herakles fighting against the Amazons, detail of an Attic black-figure amphora, ca. 530 BC–520 BC. By English: Near Group E Français : Près du Groupe E (Jastrow (2006)) [Public domain], via Wikimedia Commons
Herakles fighting against the Amazons, detail of an Attic black-figure amphora, ca. 530 BC–520 BC. By English: Near Group E Français : Près du Groupe E (Jastrow (2006)) [Public domain], via Wikimedia Commons

 ¡Me gustan los Investigadores e Investigadoras concienciadas y sensibilizadas!, Tienen algo que… Planes de concienciación y sensibilización

 Una de las tareas más importantes y relevantes en Materia de LOPD, es la concienciación y sensibilización de los usuarios.

Se deberían realizar planes de concienciación y sensibilización, impartiendo cursos y/o seminarios en materia de LOPD, dirigidos a los investigadores, esto les ayudaría a adaptar sus proyectos y estudios con la LOPD y a cumplir con las diferentes normativas de la forma más liviana posible. Además seguro que les interesa y lo agradecen.

Autores:

Miguel Ángel García Hita
Mª Esther González Revuelta
Juan Díaz García