Permiso a la carta del paciente contra el acceso fraudulento a historiales

La protección de los datos clínicos del paciente es uno de los retos a futuro que tienen por delante los sistemas sanitarios. Con el incremento de los ciberataques, y la "revalorización" de este tipo de información de los pacientes, así como las reincidentes vulneraciones de la intimidad, que a veces hacen que personas que no deben ver una historia clínica accedan a ella, los hospitales y centros sanitarios deben "ponerse las pilas" para mejorar el acceso y manejo de los datos de sus pacientes.

Medicina y Enfermería asumen que todavía tienen trabajo por hacer a este respecto. Maribel Moya, vicepresidenta primera del Consejo General de Colegios Oficiales de Médicos (Cgcom), explica a Redacción Médica que la idea es que "los datos estén tan abiertos como sea posible y, tan cerrados como sea necesario". De lo que habla es de la interoperabilidad de las historias clínicas, que, por el momento, asegura "es limitada en nuestro país". "Cuando esté más avanzada, es importante que se tomen medidas de seguridad que permitan que un facultativo solo entre en una historia clínica cuando haya una necesidad asistencial", asegura la vicepresidenta.

Diego Ayuso, secretario general del Consejo General de Enfermería (CGE), defiende la misma línea que comentan desde Medicina. "Consideramos que hay que avanzar en tener claramente definidos los niveles de acceso en las diferentes organizaciones con garantías de protección de datos", explica Ayuso, que va un paso más allá y pide "avanzar en formación para los profesionales sanitarios respecto a estos temas de protección de datos". 

El futuro de la protección de datos

Desde ambas profesiones tienen ideas de cómo debe ser ese futuro de la protección de datos médicos. Por ejemplo, Maribel Moya comenta que, dado que la interoperabilidad avanza hacía "un espacio europeo de datos", una de las maneras que ven para mejorar la protección es que el ciudadano tenga potestad para dar permiso directo a sus datos sanitarios. "Nosotros somos los que decidimos qué se hace con los datos, pero no son de nuestra propiedad, son los prestadores de servicios los que se tienen que asegurar de que estén protegidos", recuerda la vicepresidenta.

---

"Para mejorar la protección el ciudadano debe tener potestad para dar permiso directo a sus datos sanitarios"

---

De esta manera, su propuesta pasa por que cada persona, a través de su móvil, pudiera dar 'in situ' permiso a los sanitarios para revisar los datos. "Este sería el entorno ideal, que el sujeto de los datos pudiera, a través de una identidad digital segura, ser el que diera el permiso de acceso a los datos", desarrolla.

Por su parte, Diego Ayuso comenta una mejora del acceso de la historia clínica, para que esta limite el acceso "solo a los pacientes que se estén atendiendo en el Servicio". "Existen perfiles de acceso por categoría profesional y limitación de acceso en función de unidad o Servicio y queda registrado el motivo de acceso. Esto es un buen control para que, por ejemplo, una enfermera de hospitalización de una unidad no pueda acceder a pacientes que no están ingresados en su unidad y garantizar el acceso a la información clínica y velar por la protección de datos", desarrolla.

¿Es viable juridicamente un acceso al historial a la carta?

En materia jurídica, Ricardo De Lorenzo y Aparici, socio director del Área de Derecho Digital del Bufete De Lorenzo Abogados, expresa su "preocupación" en torno a la posibilidad de que sea el paciente el que de acceso a la carta de su historia clínica al profesional sanitario. "Ese cambio de roles nos preocupa muchísimo dado que la responsabilidad en el caso de que hubiera un mal uso de los datos clínicos recaería en el hospital", detalla.

Antes, detalla, las administraciones deberían elaborar un estudio centrado en un "análisis de riesgo" que muestre las fortalezas y debilidades que tiene la posibilidad de que sea el paciente el que tenga el control total de sus datos. Para llegar a ese punto De Lorenzo y Aparici recuerda que "se necesita una inversión ingente de dinero que permita atesorar todos los requisitos técnicos de seguridad y protección de datos clínicos".

---

"Si el paciente hace mal uso de sus datos, la responsabilidad recaería en el hospital"

---

Otro dilema que plantea el abogado experto en protección de datos es la experiencia que puede tener o no el paciente a la hora de ceder sus datos. "Entramos en un terreno en el que presuponemos que el paciente tiene la suficiente capacidad para saber cuándo y quién ceder sus datos médicos. En ese caso, la Agencia Española de Protección de Datos ya ha dicho que la experiencia del profesional sanitario prevalece sobre la del paciente", concluye.

Adaptación tecnológica para mejorar la historica clínica

¿Y esto se puede hacer realidad? José de la Cruz, director técnico de Trend Micro Iberia, explica a este periódico que "tecnológicamente es posible", pero que es importante que se haga correctamente desde un punto de vista de ciberseguridad. Por ello, el experto comenta que la ciberseguridad "tiene que empezar a ser considerada desde la fase de diseño de los sistemas de seguridad" y que implica tanto los sistemas "de reposo (almacenamiento de sistemas) como en tránsito (comunicaciones con los correspondientes servicios cloud)".

---

"La ciberseguridad se debe tener en cuenta desde la fase de diseño de los sistemas de seguridad"

---

Adicionalmente, señala que "sería interesante implementar mecanismos que permitan supervisar la actividad de dichos dispositivos". Esto implicaría tanto un punto de vista individual, es decir los dispositivos como tal, como uno global: comunicaciones, interacción con datos y otros sistemas. "Esto permitiría identificar de manera temprana cualquier indicio de compromiso de dicho dispositivo y, por tanto, de sus datos", asegura.

Así, de la Cruz comenta que el futuro de la protección de datos va camino de "una gestión descentralizada de dicho dato". Para esto se debería disponer de un repositorio global, donde esté los historiales de pacientes y sus pruebas médicas, por ejemplo, y que este pueda ser accedido desde dispositivos remotos y móviles que, a su vez, almacenen información localmente.

"Este futuro cabe esperar que implemente mejores controles, y que estos sean considerados desde la misma fase de diseño antes de que pueda almacenar cualquier dato sensible", concluye.