martes, 20 de diciembre de 2011

LA IDENTIFICACIÓN Y AUTENTIFICACIÓN COMO MEDIDA DE SEGURIDAD EN EL ÁMBITO SANITARIO


Cada vez es más habitual que en los Centros Sanitarios se produzca la informatización de las historias clínicas de los pacientes que son tratados en ellos, comenzando a utilizarse programas informáticos de gestión hospitalaria que recogen los datos de carácter personal de éstos.

Estos programas deben de recoger las diferentes medidas de seguridad que se indican en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 12 diciembre, de Protección de Datos de Carácter Personal, una de ellas es la que se recoge en los Arts. 93 y 98 del citado Reglamento y que hacen referencia a la identificación y autenticación de los usuarios que tienen acceso al sistema informático.

Se denomina Identificación al momento en que el usuario se da a conocer en el sistema; y Autenticación a la verificación que realiza el sistema sobre esta identificación, siendo la primera línea de defensa para la mayoría de los sistemas computarizados, permitiendo prevenir el ingreso de personas no autorizadas. Es la base para la mayor parte de los controles de acceso y para el seguimiento de las actividades de los usuarios.

El responsable del tratamiento de los datos de carácter personal, en nuestro caso el responsable del Centro Sanitario en cuestión, debe en primer lugar adoptar las medidas para garantizar la correcta identificación y autenticación de todos los usuarios, que para la realización de su trabajo tengan acceso al programa informático que recoge los datos de carácter personal como pueden ser los auxiliares, enfermeros o los doctores, estableciendo un mecanismo que permita su identificación de forma inequívoca y personalizada de todo aquel trabajador que intente acceder al sistema y se verifique que éste se encuentra autorizado para ello.

En la mayoría de los casos este mecanismo de autenticación se basa en la existencia de contraseñas, las cuales se asignarán, distribuirán y almacenarán de tal forma, que se garantice su confidencialidad e integridad, no teniendo que conocerse por parte de los trabajadores la contraseña de sus compañeros.
En el Documento de Seguridad del Centro Sanitario se indicará la periodicidad con la que tienen que ser cambiadas las contraseñas, que en ningún caso será superior a un año, y mientras éstas estén vigentes se almacenará de forma ininteligible.

Para cumplir correctamente con esta medida de seguridad, también se debe establecer un mecanismo que limite la posibilidad de intentar reiteradamente el acceso no autorizado al sistema de información.
El incumplimiento de esta medida de seguridad será considerada como una infracción grave de acuerdo con el Art. 44.3.h. de la Ley Orgánica 15/1999, de 12 diciembre, de Protección de Datos de Carácter Personal “3. Son infracciones graves: (…) h. Mantener los ficheros, locales, programas o equipos que contengan datos de carácter personal sin las debidas condiciones de seguridad que por vía reglamentaria se determinen.”, llevando aparejado este tipo de infracciones, una sanción que de acuerdo con el Art. 45 de la Ley Orgánica 15/1999, de 12 diciembre, de Protección de Datos de Carácter Personal, puede oscilar entre los 40.001 a 300.000 euros.

Por todo lo indicado anteriormente, queda claro que se deben cumplir todas las medidas de seguridad que se recogen en el Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 12 diciembre, de Protección de Datos de Carácter Personal, ya que su incumplimiento conlleva la imposición de una cuantiosa multa.

Publicado en Redacción Médica el Martes, 20 de diciembre de 2011. Número 1583. Año VIII.

jueves, 15 de diciembre de 2011

LA AUDITORÍA BIENAL DE LA LOPD


Una de las principales obligaciones que vienen marcadas por la normativa de protección de datos, en concreto en los artículos 96 y 110 del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 12 diciembre, de Protección de Datos de Carácter Personal, es la realización de una auditoría de carácter bienal, sobre el nivel de cumplimiento de las medidas de seguridad adaptada por las organizaciones, cuando los datos tratados o bien sean de nivel medio y/o alto, o cuando se produzcan modificaciones sustanciales en los sistemas de información.

Es bastante fácil entender cuál fue la voluntad del legislador a la hora de incluir esta obligación. Con la imposición de dicha auditoría se instaura un método que avala el continuo y correcto cumplimiento de las medidas técnicas, organizativas y jurídicas que contribuya a la seguridad de los datos manejados por las empresas, asegurando con ello que no basta una simple adaptación de los procedimientos y sistemas de tratamiento a la Ley Orgánica de Protección de Datos y su normativa de desarrollo, si no también la actualización a los procesos evolutivos que sufra el tratamiento de datos.

Esta obligación cobra especial importancia en los Centros Sanitarios tanto públicos como privados, dado que por un lado, al menos uno de sus ficheros declarados contendrá los datos de salud de sus pacientes y por ende les es de aplicación las medidas de seguridad de nivel alto. La realidad es, como destacó la Agencia Española de Protección de Datos en su última memoria anual, que la realización de la auditoría bienal de seguridad del fichero de Historias Clínicas es uno de los aspectos en los que se observa un menor nivel de cumplimiento de la normativa de protección de datos, ya que en un 32,5% de centros esta actuación no se lleva a cabo. En un 85,6% de los centros que realizan la auditoría, se han detectado en ella deficiencias de seguridad. Un 22,5% de los hospitales han realizado la última auditoría en 2010, un 30,8% en 2009, un 10% en 2008 y un 7,4% en 2006 o años anteriores. Un 29,3% de los centros no aporta información sobre la fecha de la última auditoría de seguridad realizada.

Pero no debemos olvidar, que la obligación de esta Auditoría no se da como hemos dicho, únicamente por tratar datos de nivel medio y/o alto, sino también por cambios sustanciales en los sistemas de tratamiento de datos, que cada vez son más frecuentes, a causa de la integración de las tecnologías de la información y la comunicación aplicadas al mundo sanitario, con conceptos tales como la Historia Clínica Electrónica y la E-Receta, así como la evolución de los software de salud, conllevando la necesidad de una continua actualización y realización de las aquí mencionadas Auditorías con una periodicidad menor a esos dos años marcados.

El incumplimiento por parte de los responsables del tratamiento de datos de la realización de esta revisión de medidas de seguridad lleva aparejada el inicio de un procedimiento sancionador de la Agencia Española de Protección de Datos, que califica el hecho como una infracción grave, con una posible sanción que oscila entre los 40.001€ hasta los 300.000€, acumulándose a la posible sanción por fracción grave por la incumplimiento de requerimiento por parte de las autoridades, ya que este informe final deberá de estar a disposición de la Agencia Española de Protección de Datos, previa solicitud de este organismo.

Por todo lo expuesto, queda claro que el cumplimiento de la normativa de protección de datos va más allá de una simple y primera adaptación, dado que como legislación flexible a los procesos evolutivos de las entidades que la aplican, es necesaria su constante actualización a través de Auditorías, que plasmen en primer lugar, la situación real del cumplimiento de las medidas de seguridad, junto con las recomendaciones necesarias para su correcta aplicación de las deficiencias que puedan ser encontradas.

Publicado en Redacción Médica el Jueves, 15 de diciembre de 2011. Número 1580. Año VIII.

martes, 13 de diciembre de 2011

INSTRUCCIONES PREVIAS VS. DEMENCIAS


Dentro del Capítulo IV de la Ley 41/2002, de 14 de noviembre, Básica Reguladora de la Autonomía del Paciente y de Derechos y Obligaciones en Materia de Información y Documentación Clínica, el artículo 11 se refiere al documento de instrucciones previas. De alguna manera el derecho del hombre a una muerte digna se relaciona con el derecho a una vida digna. De ahí que suela señalarse que, cuando causas de naturaleza médica impiden a un ser humano desarrollar su propia vida, o lo pongan en situación de menoscabar su dignidad como persona, o le supongan padecimientos físicos permanentes e irreversibles, se le debe dar la oportunidad de expresar su voluntad y de respetar la misma cuando se produzcan determinadas situaciones.

Especial interés suscitan, respecto a esta institución, los requisitos de capacidad para otorgar el documento de instrucciones previas.

Dice el artículo 11.1 de la Ley 41/2002, de 14 de noviembre, que, “por el documento de instrucciones previas, una persona mayor de edad, capaz y libre, manifiesta anticipadamente su voluntad, con objeto de que ésta se cumpla en el momento en que llegue a situaciones en cuyas circunstancias no sea capaz de expresarlos personalmente, sobre los cuidados y el tratamiento de su salud o, una vez llegado el fallecimiento, sobre el destino de su cuerpo o de los órganos del mismo”.

De esta forma, el paciente no sólo puede emitir su voluntad en relación con la práctica o no de un tratamiento médico determinado, sino que puede emitir una declaración de voluntad relativa, por ejemplo, a la donación de órganos, siendo su fundamento legal prácticamente el mismo que el del consentimiento informado pues, al fin y al cabo, no deja de ser sino la plasmación de la voluntad y autonomía del paciente en los casos en los cuales deba someterse a una intervención sin gozar de la capacidad suficiente para otorgar un consentimiento válido y, precisamente por ello, al igual que sucede con la responsabilidad por la falta de información o falta de consentimiento, no debe descartarse la posibilidad de exigencia de responsabilidad profesional a los facultativos en aquellos casos en que no se haya atendido una instrucción previa, o se haya efectuado una indebida aplicación de la misma.

Con ésta definición, el legislador establece como presupuestos subjetivos para la validez de este tipo de documento, el que el mismo sea otorgado por una persona mayor de edad, capaz y libre, aunque este último término parece referirse más a la declaración de voluntad en qué consisten las instrucciones previas y no a la persona.

La literalidad del precepto es lo suficientemente clara para entender que debe tratarse de personas mayores de dieciocho años, sin que quepa interpretar tampoco que los menores emancipados pueden otorgar el documento de instrucciones previas, lo cual parece poco coherente con el tratamiento que los emancipados y los que han obtenido el beneficio de la mayor edad tienen en otros preceptos de la Ley 41/2002, de 14 de noviembre, como acontece en el caso previsto en el artículo 9. 3. c) de la Ley 41/2002, en sede de consentimiento por representación, que reconoce no sólo al menor emancipado sino a todo mayor de 16 años, el derecho a prestar su consentimiento informado por sí mismo, excluyendo en tal caso el consentimiento por representación, por lo que no parece que existan razones que para que el legislador, de modo implícito, haya negado que, con carácter general, y dentro de los parámetros establecidos en la Ley 41/2002, el mayor de 16 años o emancipado pudiera manifestar válidamente, y por sí mismo, sus instrucciones previas.

Aparte de lo anterior, parece que en los casos de incapacitación del sujeto otorgante de las instrucciones previas tampoco se reconoce eficacia a este documento, pues el precepto legal alude a una persona “capaz”. La cuestión puede tener justificación en algunos casos, pero no en todos.

De nuevo, si se ponen en relación las instrucciones previas con el consentimiento informado, como manifestaciones ambas instituciones, de la autonomía de la voluntad del paciente, no se acierta a entrever los motivos (si es que existen) que han guiado al legislador a adoptar esta decisión cuando se trata de incapacitados con aptitud para entender el alcance de su declaración (por ejemplo, en alguna de las circunstancias en que, con arreglo al Código Civil, el incapacitado está sometido a simple curatela), dado que estamos ante una decisión de carácter personalísimo.

Lo que parece claro es que la incapacitación posterior al otorgamiento del documento de instrucciones previas, dado en su momento por una persona plenamente capaz, no puede suponer la ineficacia de aquél. Y ello porque puede afirmarse que lo dispuesto en el artículo 11 impide la aplicación del consentimiento por sustitución o representación regulado en el artículo 9.3. Así, por ejemplo, si el paciente no puede tomar decisiones como consecuencia de que su estado físico o psíquico no le permiten hacerse cargo de su situación, antes de solicitar el consentimiento al representante legal o a las personas vinculadas con aquél por razones familiares o de hecho, el médico responsable tendrá que atenerse a lo expresado por el paciente en el mencionado documento.

Publicado en Redacción Médica el Martes, 13 de diciembre de 2011. Número 1578. Año VII.