Presunta filtración de datos a la privada

¿Cómo se gestionan los datos personales de un hospital? ¿Quién debe tener acceso a los datos personales de los pacientes? Los datos personales son personales.

Sin embargo, en ocasiones se filtran datos personales con el objetivo de conseguir beneficios. Esto es lo que ha ocurrido recientemente en el Hospital de Fuenlabrada y que ahora investiga la Consejería de Sanidad. Según la información que publicada hace una semana la cadena SER, el hospital público cedía los datos personales de sus pacientes a la clínica privada Los Madroños y ésta llamaba directamente a los pacientes para concertar citas de pruebas de diagnóstico en su clínica.

La Consejería de Sanidad afirma que ambos centros sanitarios tienen un concierto ‘legal’, pero esas llamadas a los domicilios de los pacientes les correspondían al Hospital de Fuenlabrada. Aunque la investigación continúa abierta, el gerente del hospital, Manuel de la Puente, afirmó que la mencionada filtración de datos se trata de un hecho puntual que apareció tras un supuesto fallo administrativo.

Manuel de la Pinta, según un artículo publicado por El País, informaba de que esta ‘filtración de datos’ se trataba de una “prueba de pilotaje” que comenzó en mayo pero que se había “dilatado en el tiempo”.  El gerente del Hospital de Fuenlabrada explicaba que el objetivo de dicho programa piloto era aligerar la lista de espera de las ecografías.

Francisco Javier Ayala, alcalde en funciones, afirmaba en un comunicado que el Consistorio es “contrario a ningún tipo de externalización o privatización de servicios públicos”. UPyD también se ha pronunciado en ese caso anunciando que tiene previsto denunciarlo ante la Agencia de Protección de Datos y la fiscalía. E Izquierda Unida a exigido la destitución del gerente del Hospital de Fuenlabrada y ha pedido a Sanidad que explique si se trata de un caso aislado o si esta filtración de datos se ha dado en otros centros públicos sanitarios.

La Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (LOPD) y su Reglamento de desarrollo, aprobado mediante Real Decreto 1720/2007 de 21 de diciembre (RLOPD), establecen el marco general que regula el derecho fundamental de protección de datos.

La función que tienen las administraciones que proporcionan servicios sanitarios, se basan en el artículo 37.1 de la LOPD: “velar por el cumplimiento de la legislación sobre protección de datos y controlar su aplicación” (art. 37.1 a), “requerir a los responsables y encargados de los tratamientos, previa audiencia de éstos, la adopción de las medidas necesarias para la adecuación de los tratamientos de datos a las disposiciones de la Ley” (art. 37.1 f), así como “recabar de los responsables de los ficheros cuanta ayuda e información estime necesaria para el desempeño de sus funciones” (37.1 i).

El tratamiento de datos de carácter personal que se realizan en el ámbito hospitalario por comprender la gestión de historias clínicas (o en muchos casos la investigación clínica), incluyen datos de salud, que por ser considerados como  sensibles o especialmente protegidos, tienen un régimen de garantías más reforzado. En este sentido, conforme a lo dispuesto en los artículos 7.3 y 44.4 de la LOPD y el artículo 81 del RLOPD, este mayor nivel de garantías se concreta en:
1. La exigencia de un consentimiento reforzado,
2. La cualificación de las infracciones como muy graves y
3. La aplicación de las medidas de seguridad de nivel alto especificadas en el propio reglamento.

En este sentido, la Agencia Española de Protección de Datos, señala que «los principios de respeto a la intimidad y a la confidencialidad de la información clínica de los pacientes están presentes asimismo en la legislación sanitaria (…) La Ley 14/1986, de 25 de abril, General de Sanidad (…) mantiene el máximo respeto a la dignidad de la persona y a la libertad individual, de un lado, y, del otro, declara que la organización sanitaria debe permitir garantizar la salud como derecho inalienable de la población mediante la estructura del Sistema Nacional de Salud, que debe asegurarse en condiciones de escrupuloso respeto a la intimidad personal y a la libertad individual del usuario, garantizando la confidencialidad de la información relacionada con los servicios sanitarios que se prestan. Esta norma se complementa con las previsiones de la Ley 16/2003, de 28 de mayo, de Cohesión y Calidad del Sistema Nacional de Salud.»

Así, la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, completa las previsiones mencionadas y dispone que la persona que elabore o tenga acceso a la información y documentación clínica está obligada a guardar la reserva debida (art. 2.7), al mismo tiempo que establece el derecho que toda persona tiene a que se respete el carácter confidencial de los datos referentes a su salud, y a que nadie pueda acceder a ellos sin previa autorización amparada por la Ley (art. 7.1). Así mismo, esta norma dispone que el personal que en el ejercicio de sus funciones acceda a datos de salud queda sujeto al deber de secreto.

Casos similares al del hospital de Fuenlabrada se están produciendo también en otras Comunidades Autónomas. Concretamente, en Castilla la Mancha (Cuenca, Hospital Virgen de la Luz) donde la Plataforma en Defensa de la Sanidad Pública de Cuenca teme que teme que se esté dando una fuga de datos de los pacientes de Virgen de la Luz en lista de espera, a una clínica privada.

Ciñéndonos en este análisis a la perspectiva de la normativa de protección de datos de salud, el respecto por la autonomía de los pacientes y la salvaguarda de la confidencialidad de sus datos, hace necesario que la cesión de los datos fuera consultada por parte de la administración sanitaria pública a los pacientes. Sólo en ese caso podemos hablar de una correcta observación de los preceptos mencionados.

Parece por tanto necesario, recordar las directrices de buena práctica y respeto a la normativa que señala la Agencia de Protección de datos:

«• Mantener actualizada la inscripción de los ficheros de datos de carácter personal.
• En el caso de ficheros de titularidad pública, tener publicada en el diario oficial correspondiente y actualizada la pertinente disposición general de adecuación a la LOPD y al RLOPD
• Incluir en los impresos y formularios de recogida de datos de los pacientes y usuarios cláusulas informativas respecto al tratamiento de datos personales, conforme al artículo 5 de la LOPD, y adaptarlas en cada formulario en función del fichero en el que se van a incluir los datos y/o finalidad para la que van a ser utilizados (asistencia sanitaria, epidemiología, investigación, docencia, evaluación de la calidad asistencial, etc.).»

En este caso concretamente podríamos señalar que además sería preciso indicar las entidades con las que se tiene concierto.

Otras medidas que menciona son:
«• Colocar carteles informativos sobre el derecho a la protección de datos personales de los usuarios del centro, que sean fácilmente visibles por éstos.
• Informar al personal de limpieza sobre la necesidad de garantizar la confidencialidad de los datos (por ejemplo, en la recogida de la basura).
• Es recomendable aplicar procedimientos de disociación de los datos de carácter personal en los tratamientos de datos que hayan sido externalizados.
• Registrar todos los accesos realizados a los historiales clínicos, almacenando la información de cada uno de ellos prevista en el Reglamento de desarrollo de la LOPD durante un periodo no inferior a dos años.
• Realizar auditorías para verificar si el personal autorizado utiliza los datos para la finalidad que justificó el acceso.
• Almacenar los archivos físicos de historias clínicas en áreas en las que el acceso esté protegido con puertas de acceso dotadas de sistemas de apertura mediante llave o dispositivo equivalente. Asimismo, y en el interior de estas áreas, almacenar los expedientes clínicos en archivadores que dispongan de mecanismos que obstaculicen su apertura.
• Custodiar la documentación clínica de pacientes cuando ésta no se encuentre archivada en los dispositivos de almacenamiento indicados en el punto anterior por encontrarse en proceso de revisión o consulta, impidiendo que pueda ser accedida por personas no autorizadas.
• Adoptar medidas para evitar la sustracción, pérdida o acceso indebido a la documentación durante su transporte (ej. traslado de las historias clínicas).
• Realizar la auditoría bienal de seguridad del fichero de historias clínicas y de otros que puedan contener datos relativos a la salud de las personas, adoptando medidas correctoras para subsanar las deficiencias encontradas.»

Ciudadanos, profesionales y administraciones, debemos ser conscientes de la importancia de que éste derecho a la confidencialidad de los datos de salud debe respetarse, y que no pueden utilizarse en beneficio de otras personas físicas o jurídicas. Es responsabilidad de todos velar por el correcto cumplimiento de las normas y buenas prácticas en la protección de datos personales y de salud.