¿Con qué finalidad acceden las administraciones a nuestros datos de salud?
Durante el pasado verano tuvimos noticia de que la Audiencia Nacional había dictado sentencia en la que ordena se incoen actuaciones inspectoras y el inicio del procedimiento sancionador al Servicio Vasco de Salud (Osakidetza) y al Servicio Cántabro de Salud (SCS), por posible acceso a historias clínicas y modificación de la prescripción, sin el consentimiento del médico.
Esta sentencia es consecuencia del recurso contencioso-administrativo interpuesto en 2011 por el Consejo General de Colegios Oficiales de Médicos (CGCOM) contra una resolución de la Agencia Española de Protección de Datos (AEPD) que acordó no incoar actuaciones a la denuncia formulada por el propio Consejo General ante el tratamiento de los datos de salud por las Administraciones sanitarias del País Vasco y Cantabria, y por el cambio o alteración de la prescripción electrónica de los médicos de dichos Servicios de Salud.
Destacamos tres aspectos a analizar:
1. El presunto acceso indebido a la Historia Clínica por parte de ambas Administraciones
2. La actuación de la AEPD
3. La sustitución del criterio profesional médico por la Administración sanitaria.
El último de estos tres aspectos no resulta menos relevante, dado que puede cuestionarse si ésta decisión por parte de la Administración Sanitaria puede estar justificada, aun cuando ésta responda a razones de racionalización del gasto farmacéutico. En este sentido, cabe mencionar que, al menos en el caso de la Comunidad Cántabra se permite al profesional rechazar/aceptar la propuesta una vez que el sistema propone el cambio de tratamiento, mientras que en Osakidetza, esta facultad no estaba operativa y debía justificarse la oposición al cambio efectuado ante la Dirección Médica.
En relación con el acceso indebido a la Historia Clínica, y la actuación de la AEPD por la que ésta no incoa acciones inspectoras, la Sentencia de la Audiencia Nacional (SAN 3186/2014), basa su decisión en el fundamento jurídico cuarto, por el cual expone la necesidad de clarificar si el cambio informático y automático de la prescripción de los medicamentos constituye o no un acceso a la historia clínica y un tratamiento de datos. Expone igualmente las posiciones de la AEPD y País Vasco, considerando estos que no estamos ante un acceso a la historia clínica, contrariamente a la posición del CGCOM y de Cantabria, que sí lo consideran como un acceso a la historia clínica.
Para analizar dichas posiciones, se debe analizar:
1.- Qué se considera tratamiento de datos.
2.- Cuándo ese tratamiento afecta a los datos de salud comprendidos en la Historia Clínica.
Para lo primero cabe decir que tanto el artículo 3 de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos, como el artículo 5.1.t) del Real Decreto 1720/2007, de 21 de diciembre, de desarrollo de la misma, consideran como tratamiento el acceso o consulta de datos y la modificación de los mismos.
En relación con lo segundo, la Ley 41/2002, de 15 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, dispone en su artículo 14 y 15 la definición y los datos que integrarán la Historia Clínica. En este sentido, la prescripción constituye uno de los datos de salud integrantes de la misma.
En base a lo anterior, cuando hablamos de un acceso o modificación de un dato contenido en la historia clínica, deberán aplicarse las reglas que disponen los artículos 7.3 y 7.6 de la Ley Orgánica 15/1999, los cuales establecen que el tratamiento de datos de salud sólo podrá efectuarse cuando medie consentimiento del afectado, a excepción de aquellos supuestos en los que éste tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.
Se contempla por tanto la posibilidad de que personas diferentes a un profesional sanitario, puedan efectuar un tratamiento de datos siempre y cuando este responda a las necesidades mencionadas. Así mismo se pronuncia la Ley 41/2002, de 15 de noviembre, en su artículo 16.
Concretamente cuando el tratamiento se refiere al acceso a los datos, éste debe realizarse al conjunto de datos que sean necesarios para desarrollar las funciones de su competencia y siempre y cuando se sometan al deber de secreto profesional.
No obstante, si el tratamiento está referido a la modificación de datos de salud, aún efectuándose por parte de un sistema automatizado en el que no exista un acceso o consulta de dicha información, en base al artículo 15.3 de la Ley de Autonomía del paciente, este tratamiento no se podrá efectuar de forma automática sin previo consentimiento del profesional sanitario que intervino en los aspectos relacionados con la asistencia directa al paciente, por cuanto es responsabilidad del profesional sanitario, en los términos del apartado cuarto de dicho artículo, el mantenimiento de dicha historia clínica y su cumplimentación de forma que responda a la finalidad que el artículo 15.2 de esta Ley le reconoce, a saber: “facilitar la asistencia sanitaria, dejando constancia de todos aquellos datos que, bajo criterio médico, permitan el conocimiento veraz y actualizado del estado de salud”.
En base a lo anterior, debería considerarse lícito el tratamiento de los datos cuando éste esté justificado en los términos que dispone la legislación expuesta. Por lo que en principio podría argumentarse que tanto el tratamiento de datos realizado por Osakidetza y por SCS a la historia clínica es lícito en tanto en cuanto puede considerarse que este tratamiento se efectuó como necesidad de la gestión de servicios sanitarios que regula el 7.6 de la LOPD y el 16 de la Ley de Autonomía del Paciente. No obstante, no podemos olvidar que tal como dispone esta norma básica, en los aspectos relacionados con la asistencia directa al paciente, será responsable el profesional que intervenga en dicha asistencia. Teniendo en cuenta, que la prescripción pertenece a la esfera del profesional médico, tendrá que ser éste quien consienta por tanto el tratamiento de dichos datos en cuanto a la modificación de la prescripción.
Aun pudiendo considerar que consecuencia de la forma en la que se ha producido esa modificación, no ha habido un acceso a los datos, sí que ha existido sin embargo una modificación que en el caso de Osakidetza se ha efectuado sin el consentimiento del profesional a diferencia del caso de SCS, obviando la responsabilidad del médico para con la información que refleje en la historia clínica.
En resumen, la cuestión a analizar debería por tanto centrarse más en cómo se ha procedido en cada una de las Administraciones a ese cambio de la prescripción. En cualquier caso, estamos ante un tratamiento automatizado de datos de salud especialmente protegidos, que por consiguiente deben tratarse bajo medidas especialmente exigentes tal como reconoce la normativa sobre protección de datos (medidas de seguridad de nivel alto). Y teniendo en cuenta todo lo anterior, tanto la forma de cambio como los datos especialmente protegidos, cabe atreverse a decir que la Agencia debería haber ejercido la potestad de inspección reconocida en el artículo 40 así como 37.1.d), f) y g) que alude la Sentencia de la Audiencia Nacional. Quizás sí que cabría averiguar, o al menos incoar acciones que permitieran el conocimiento de forma más exhaustiva de las medidas adoptadas para la modificación automática de la prescripción.
Publicación de Eupharlaw relacionada: “El Dato Personal Terapéutico”