Sobre historias clínicas y pruebas con datos reales.

Escucho en televisión que una organización profesional de enfermería descubre la existencia de identidades replicadas o desdobladas en los ficheros de los hospitales privatizables de la Comunidad de Madrid. En esencia esto vendría a significar que el Sr AAA pueda tener una historia clínica abierta en su hospital de referencia y otra con una numeración divergente en otro hospital.

Partamos de la base de no prejuzgar en absoluto cuál sea la realidad material de las cosas. Sería una imprudencia poco menos que temeraria realizar cualquier afirmación sobre el caso concreto. Lo que allí haya sucedido lo conocerá el responsable de seguridad, el administrador del sistema y en su caso los gestores. Sin embargo, tal y como fue formulado por los medios de comunicación ofrece un escenario pedagógico de primer nivel.

Supongamos que efectivamente, como parecen indicar fuentes oficiales, los errores proceden de una carga de datos realizada para realizar una proyección estadística, -o no-, del total de pacientes potencialmente asignables al área de influencia de un determinado hospital.

La primera cuestión relevante, gira en torno al concepto de anonimización en relación con un modo extremo de abordar la proporcionalidad como minimización de los datos. ¿Pudo obtenerse el mismo resultado sin utilizar identidades reales? ¿Se estudió la posibilidad de asignar códigos/paciente no relacionables? Si el objetivo final era obtener una información numérica que permitiese evaluar aspectos como la potencial carga de trabajo, ¿para qué duplicar historias clínicas reales?

A partir de aquí, e imaginando que la anonimización no resultase una opción funcional, podemos obtener inputs relevantes desde un punto de vista jurídico con proyección en el desarrollo técnico de la tarea. Así, podemos definir distintos escenarios considerando distintas disposiciones del Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de protección de datos de carácter personal (RLOPD).

Creemos un fichero temporal.

Cómo es sabido el artículo 5 del RLOPD define los ficheros temporales cómo «ficheros de trabajo creados por usuarios o procesos que son necesarios para un tratamiento ocasional o como paso intermedio durante la realización de un tratamiento». Parece, que de esto se trataría, creamos un fichero adicional para realizar tareas que desbordan los márgenes funcionales del original.  En esta dirección apunta, la regulación del artículo 87 RLOPD, del que se desprenden una justificación y dos principios de actuación adicionales. Primero, que la naturaleza de la tarea a emprender sea claramente temporal o auxiliar. En segundo lugar, se plantea la necesidad de garantizar el nivel de seguridad que les corresponda conforme a los criterios establecidos en el artículo 81. Y para finalizar, se hace indispensable proceder a su borrado o destrucción una vez que haya dejado de ser necesario para los fines que motivaron su creación.

Del conjunto de los objetivos de seguridad que persigue el RLOPD resultaría una necesidad adicional.  Procedería asegurar que esa explotación de datos personales, ese fichero temporal que como recordaremos no busca finalidad clínica alguna, se ubicase en un entorno aislado de modo que no contamine el sistema de información adicional. Cuestión, sobre la que regresaremos al final de este artículo.

Trabajando con datos reales.

 El párrafo cuarto del artículo 94 incorpora un principio, que si bien no es aplicable a este caso resulta profundamente inspirador. Dice así:

«4. Las pruebas anteriores a la implantación o modificación de los sistemas de información que traten ficheros con datos de carácter personal no se realizarán con datos reales, salvo que se asegure el nivel de seguridad correspondiente al tratamiento realizado y se anote su realización en el documento de seguridad».

Obsérvese, el elemento predominante en los objetivos del precepto. El responsable debe asegurar la preservación de los datos y debe documentar aquello que hace. Al fin y al cabo estamos en “pruebas” y no podemos permitir que se produzca algún error que afecte a cualquier dimensión de la seguridad, confidencialidad, disponibilidad y sobre todo integridad de los datos. Y debemos documentar lo que hacemos.

Todo apunta a que la “noticia” no lo hubiera sido si la tarea se hubiese ejecutado bien anonimizando los datos, bien mediante un sistema alternativo “en pruebas” inaccesible de todo punto al personal sanitario.

El impacto en la integridad, certeza y calidad de los datos.

La cuestión aquí planteada, apreciada desde el punto de vista de un jurista, desborda con mucho el territorio de la seguridad y se proyecta directamente sobre aspectos esenciales no ya de la LOPD sino, y sobre todo, en la posibilidad de generar riesgos para la seguridad del paciente.

Veamos los párrafos segundo al cuarto del artículo 4 de la LOPD:

« 2. Los datos de carácter personal objeto de tratamiento no podrán usarse para finalidades incompatibles con aquellas para las que los datos hubieran sido recogidos. No se considerará incompatible el tratamiento posterior de éstos con fines históricos, estadísticos o científicos».

Es evidente que podríamos encontrar una base jurídica para nuestro tratamiento. No obstante, no hay que perder de vista el marco funcional propio del ámbito sanitario en cuyo detalle no entraremos por razones de extensión. Pero una idea debe quedar muy clara, debería existir en el Ordenamiento sectorial una habilitación competencial precisa que justifique y legitime el tratamiento.  

«3. Los datos de carácter personal serán exactos y puestos al día de forma que respondan con veracidad a la situación actual del afectado».

Imaginemos un supuesto hipotético en un escenario de historia clínica electrónica compartida. El Sr. AAA ingresa en las urgencias del hospital en el que se ha detectado el problema de duplicación de historias clínicas en un momento previo a esa detección. Ha sufrido un grave traumatismo y, se encuentra inconsciente sin poder ayudar en nada a los facultativos. A partir de este supuesto básico podríamos considerar dos escenarios catastróficos adicionales:

a) El facultativo busca al paciente y encuentra la historia clínica “B”, según la noticia de prensa incompleta. ¿Qué sucede con alergias, antibióticos, anticoagulantes…?

b) El facultativo se encuentra con dos historias clínicas distintas y resulta que una de ellas, precisamente la más incompleta, es la más actual y la propia de su centro hospitalario. ¿En cuál confía?

Parece evidente el potencial de riesgo que plantea una crisis de confianza en la veracidad de los datos ante una situación de urgencia máxima en la que la rapidez en la adopción de decisiones clínicas de alto riesgo resulta crucial.

«4. Si los datos de carácter personal registrados resultaran ser inexactos, en todo o en parte, o incompletos, serán cancelados y sustituidos de oficio por los correspondientes datos rectificados o completados, sin perjuicio de las facultades que a los afectados reconoce el artículo 16».

Finalmente, el párrafo cuarto, junto con el deber de gestionar y anotar la incidencia, nos marca el camino a seguir que, por extraño que pueda parecer a un lego en la materia, no consiste en el borrado de los datos sino en su bloqueo al menos por dos años, si creemos estar ante una posible infracción grave a la LOPD. Obviamente, si se han adoptado decisiones clínicas usando historias incompletas los plazos para la prescripción de una posible responsabilidad por daños serían mayores.