El décimo trabajo de Heracles: Los bueyes de Geriones (XI). Trazabilidad

Herakles fighting Geryon (dying Eurytion on the ground). Side A from an Attic black-figure amphora.  By Deutsch: Gruppe E English: E Group Français : Groupe E (Marie-Lan Nguyen (2006)) [Public domain], via Wikimedia Commons
Herakles fighting Geryon (dying Eurytion on the ground). Side A from an Attic black-figure amphora. By Deutsch: Gruppe E English: E Group Français : Groupe E (Marie-Lan Nguyen (2006)) [Public domain], via Wikimedia Commons

Visión del grupo de trabajo del artículo 29, Normativa Europea.

El grupo de trabajo del Artículo 29 (ARTICLE 29 Data Protection Working Party) es núcleo de la interpretación dentro de la normativa Europea de la protección de la información sanitaria.

Como se recoge en sus principios:

The  objective  of  this  Working  Document  of  the  Article  29  Working  Party  is  to  provide guidance on the interpretation of the applicable data protection legal framework for electronic health record (EHR) systems and to establish some general principles.

According  to  the  Directive 95/46/EC the processing of medical data has to satisfy higher privacy requirements since  they  belong  to  the  special  categories  of  data  (Article  8  Directive  95/46/EC). The fundamental right to the protection of personal data is essentially based on Article 8 of the  European  Convention  for  the  Protection  of  Human  Rights  and  Fundamental  Freedoms (ECHR) and on Article 8 of the EU Charter of Fundamental Rights 6 . More precise rules are in particular  laid  down  in  the  EC  Data  Protection  Directive  95/46/EC  and  in  Directive 2002/58/EC  on  privacy  and  electronic  communications 7 ,  and  in  the  national  laws  of  the Member States implementing these Directives.

Hemos recogido algunos aspectos sobre la visión de este grupo de trabajo en relación a la trazabilidad y auditoría recogido en el informe:

ARTICLE 29 Data Protection Working Party  00323/07/EN WP 131 Working Document on the processing of personal data relating to health in electronic health records (EHR) 2007.

Recogiendo en el apartado:

11.  Control mechanisms for processing data in EHR

c) In order to establish trust, a special routine for informing the data subject when and who accessed data in his EHR could be introduced.

d) Regular internal and external data protection auditing of access protocols must take place.  The  already  mentioned  annual  access  report  sent  to  the  data  subjects  would  be  an additional effective means for checking legality of use of EHR data. Data protection officers in  hospitals  which  take  part  in  EHR  systems  would  certainly  improve  the  probability  of correct use of data in these systems.

 

Otro proyecto como es EPSOS de la Historia Clínica Europea, en su documento de especificaciones de seguridad  recoge el principio de trazabilidad de la siguiente manera:

Smart Open Services for European Patients Open eHealth initiative for a European large scale pilot of patient summary and electronic prescription – epSOS – D.3.7.2. FINAL SECURITY SERVICES SPECIFICATION DEFINITION.

Accountability/Non  Repudiation  (Liability):  each  communication  and  each  data transaction  can  be  tracked  back  to  a  certain  originator  in  a  traceable  chain  of activities.

Como vemos se hace referencia de las obligaciones en materia de trazabilidad y auditoria aunque no se concreta periodos y detalles de la misma. Haciendo hincapié de imputabilidad de los hechos.

Autores:

Juan Díaz García
Rafael Marín Jiménez
Miguel Ángel García Hita

El décimo trabajo de Heracles: Los bueyes de Geriones (X). Trazabilidad

Herakles fighting Geryon (dying Eurytion on the ground). Side A from an Attic black-figure amphora.  By Deutsch: Gruppe E English: E Group Français : Groupe E (Marie-Lan Nguyen (2006)) [Public domain], via Wikimedia Commons
Herakles fighting Geryon (dying Eurytion on the ground). Side A from an Attic black-figure amphora. By Deutsch: Gruppe E English: E Group Français : Groupe E (Marie-Lan Nguyen (2006)) [Public domain], via Wikimedia Commons

Visión de la Comunidad de Navarra.

La Ley Foral de Navarra, de 25 de abril de 2002, sobre los derechos del paciente a las voluntades anticipadas, a la información y a la documentación clínica. BON 58 (13 Mayo 2002), recoge que el Servicio Navarro de Salud-Osasunbidea  (SNS-O)  posibilita  que los pacientes puedan solicitar los accesos realizados por profesionales sanitarios a su Historia  Clínica  Informatizada,  tanto  de  Atención Especializada como de Atención Primaria. Las solicitudes se canalizan a través de los Servicios de Atención al Paciente de cada centro sanitario del SNS-O.

Posteriormente desaparece esta amparo por la Ley Foral 17/2010, de 8 de noviembre, de derechos y deberes de las personas en materia de salud en la Comunidad Foral de Navarra, que deroga la anterior.

Autores:

Juan Díaz García
Rafael Marín Jiménez
Miguel Ángel García Hita

El décimo trabajo de Heracles: Los bueyes de Geriones (XII). Trazabilidad

Herakles fighting Geryon (dying Eurytion on the ground). Side A from an Attic black-figure amphora.  By Deutsch: Gruppe E English: E Group Français : Groupe E (Marie-Lan Nguyen (2006)) [Public domain], via Wikimedia Commons
Herakles fighting Geryon (dying Eurytion on the ground). Side A from an Attic black-figure amphora. By Deutsch: Gruppe E English: E Group Français : Groupe E (Marie-Lan Nguyen (2006)) [Public domain], via Wikimedia Commons

Visión de Historia Clínica Digital del Sistema Nacional de Salud (HCDSNS).

En el proyecto de Ministerio de Sanidad sobre Historia Clínica Digital en el Sistema Nacional de Salud, donde se recoge los mecanismos de auditoría como la transposición de los registros de accesos viene a añadir un plus al Ciudadano, facilitando una pantalla de consulta para “Accesos realizados a sus datos clínicos” y otra para “Obtener copia u ocultar sus informes clínicos”.

En concreto podrá consultar:

  1. Fecha acceso: fecha en la que se produjo el acceso
  2. Servicio acceso: servicio que solicitó el acceso
  3. Centro acceso: centro sanitario desde donde se produjo el acceso
  4. Servicio de Salud acceso: servicio de salud desde donde se produjo el acceso
  5. Fecha informe: fecha del informe al que se accedió
  6. Tipo informe: tipo de informe al que se accedió (historia clínica, atención primaria, urgencias…)
  7. Centro informe: centro sanitario en el que está el informe
  8. Servicio salud informe: servicio de salud al que pertenece el informe.

Esta es la pantalla propuesta:

 pantalla

De esta manera se facilita la transparencia y trazabilidad del flujo de información entre Comunidades, donde los Registros son anonimizados pero se plantea la duda en centros pequeños donde con la fecha y hora del acceso, servicio (donde se puede identificar la categoría y/o especialidad) y centro se pueda identificar a los profesionales que han accedido a la historia.

De este modo el hecho de poder revelar información de terceros puede ser una cuestión a tener en cuenta cuando se generalice el uso de la historia clínica compartida.

Autores:

Juan Díaz García
Rafael Marín Jiménez
Miguel Ángel García Hita

 

 

 

 

El décimo trabajo de Heracles: Los bueyes de Geriones (IX). Trazabilidad

Herakles fighting Geryon (dying Eurytion on the ground). Side A from an Attic black-figure amphora.  By Deutsch: Gruppe E English: E Group Français : Groupe E (Marie-Lan Nguyen (2006)) [Public domain], via Wikimedia Commons
Herakles fighting Geryon (dying Eurytion on the ground). Side A from an Attic black-figure amphora. By Deutsch: Gruppe E English: E Group Français : Groupe E (Marie-Lan Nguyen (2006)) [Public domain], via Wikimedia Commons

Visión de la Agencia Vasca de Protección de Datos.

La Agencia Vasca se posiciona ante este mismo hecho y amplía el marco de información no sólo a los propios datos sino al hecho de saber si son tratados o no mediante la información del número de accesos que se han producido.

En concreto en el DICTAMEN  QUE  SE  EMITE  EN  RELACIÓN  CON  LA  CONSULTA  FORMULADA POR EL DEPARTAMENTO DE SANIDAD Y CONSUMO DEL GOBIERNO VASCO SOBRE  LA  IDENTIFICACIÓN  DE  PERSONAS  QUE  HAN  ACCEDIDO  A  LOS DATOS DE UN PARTICULAR EN EL SISTEMA DE IDENTIFICACIÓN IT DE ESE DEPARTAMENTO CN11-009.

Autores:

Juan Díaz García
Rafael Marín Jiménez
Miguel Ángel García Hita

El décimo trabajo de Heracles: Los bueyes de Geriones (VIII). Trazabilidad

Herakles fighting Geryon (dying Eurytion on the ground). Side A from an Attic black-figure amphora.  By Deutsch: Gruppe E English: E Group Français : Groupe E (Marie-Lan Nguyen (2006)) [Public domain], via Wikimedia Commons
Herakles fighting Geryon (dying Eurytion on the ground). Side A from an Attic black-figure amphora. By Deutsch: Gruppe E English: E Group Français : Groupe E (Marie-Lan Nguyen (2006)) [Public domain], via Wikimedia Commons

Visión de la Agencia Española de Protección de Datos.

La Agencia Española de Protección de Datos, en su informe 167/2005 se muestra contraria a que se pueda acceder a conocer por parte del afectado,  las personas que han accedido a sus datos personales.

Dice este informe que “el derecho concedido al interesado por la Ley únicamente abarcaría el conocimiento de la información sometida a tratamiento, pero no qué personas, dentro del ámbito de organización del responsable del fichero han podido tener acceso a dicha información”

Esta visión también está recogida en otros informes y procedimientos como la Resolución R/00865/2010 sobre Tutela de Derechos – Procedimiento Nº: TD/01972/2009 recoge en su apartado SÉPTIMO: En el supuesto aquí analizado, ha quedado acreditado que el reclamante presentó un escrito ante el Ayuntamiento en el que solicitaba diversos extremos, entre otros, quienes han accedido y a qué datos, qué departamentos tienen sus datos, en qué procedimientos es parte interesada.

Como ha quedado expuesto, el derecho de acceso es el derecho del afectado a obtener información sobre sus propios datos de carácter personal, por lo que del análisis de las pretensiones del reclamante expresadas en su solicitud presentada ante el Ayuntamiento, cabe concluir que ninguna de ellas se ajusta a la definición de acceso establecida por la normativa de protección de datos.

En relación a la solicitud del reclamante de que se le facilite quienes tuvieron acceso a sus datos, hay que señalar que, conforme a la LOPD, el reclamante sólo puede solicitar sus propios datos personales, o de aquellas personas cuya representación ostente.

CONCLUSIONES:

  1. El ejercicio del derecho de acceso previsto en el artículo 15 de la LOPD incluye el derecho a conocer el número de accesos que se han producido a los datos de carácter personal de su titular, así como la finalidad del tratamiento que se está realizando.
  2. El  ejercicio  del  derecho  de  acceso  previsto  en  el  artículo  15  de  la  LOPD  no incluye  el  derecho  a  conocer  la  identidad  de  los  concretos  usuarios  que  han accedido a sus datos objeto de tratamiento.

Autores:

Juan Díaz García
Rafael Marín Jiménez
Miguel Ángel García Hita