xmlns:xi="http://www.w3.org/2003/XInclude" xmlns:qti="http://www.imsglobal.org/xsd/imsqti_v2p1" Documentació sanitària Documentació sanitària

Legislació aplicada a la documentació clínica

  • Eugènia Sarsanedas Castellanos

  • Juliana Ribera Catarina

PID_00244817
Els textos i imatges publicats en aquesta obra estan subjectes –llevat que s'indiqui el contrari– a una llicència de Reconeixement-NoComercial-SenseObraDerivada (BY-NC-ND) v.3.0 Espanya de Creative Commons. Podeu copiar-los, distribuir-los i transmetre'ls públicament sempre que en citeu l'autor i la font (FUOC. Fundació per a la Universitat Oberta de Catalunya), no en feu un ús comercial i no en feu obra derivada. La llicència completa es pot consultar a http://creativecommons.org/licenses/by-nc-nd/3.0/es/legalcode.ca

1.Introducció

La legislació aplicable a la documentació clínica és diferent en cada país o estat amb capacitat legislativa en aquest tema. Els principals aspectes legislables referents a la història clínica són:

  • Propietat de la història clínica

  • Accessos i confidencialitat

  • Custòdia i conservació

Caldria dir que si bé la llei concreta aplicable a la documentació clínica pot ser diferent en cada territori, hi ha punts en comú que expliquen l’evolució de la societat que hi queda reflectida.
Antigament, hi havia poques persones que accedissin a l’educació, fins i tot a la més bàsica. Això comportava grans diferències de coneixement i per tant de capacitat d’entendre i gestionar la informació més o menys complexa que et poguessin donar especialistes en un tema concret per poder prendre una decisió encertada. En aquest context, un metge era una persona que, a més de tenir coneixements de medicina, l’aplicava segons el seu criteri i decidia ell pel pacient, ja que aquest en aquelles circumstàncies no era capaç de decidir adequadament sobre la seva salut. Aquesta era una actitud paternalista que ha durat quasi fins als nostres dies.
En la medicina moderna, internacionalment, sobretot als països desenvolupats, aquest paper paternalista del metge ja no existeix. El pacient és capaç d’informar-se i d’entendre perfectament els pros i contres de la malaltia que té, de la seva gestió i dels seus tractaments, és el qui decideix sobre què vol i què no vol fer. És un plantejament completament diferent i la legislació ho reflecteix així.
També en el tema de la propietat de la història clínica hi ha hagut un canvi, ja que, en principi, la història clínica era propietat de la institució i/o del metge que l’escrivia. Actualment, és el pacient el qui en té la propietat, però el centre que l’atén la custodia.

2.Legislació aplicable a la documentació clínica

El marc legal que regula els aspectes relatius a la informació clínica té com a objectiu bàsic garantir els aspectes següents que configuren la seguretat de la informació clínica:

  • L’accessibilitat-disponibilitat: assegurar els accessos autoritzats en tot moment i en funció de les necessitats.

  • La confidencialitat: impedir els accessos no autoritzats.

  • La integritat: impedir l’eliminació i l’alteració de les dades.

  • Altres drets del pacient: informació sobre l’ús que es farà de les dades.

Drets ARCO:

  • Accés. El pacient té dret a accedir a dades referents a la seva salut amb l’extensió i les limitacions que dicta la legislació vigent.

  • Rectificació. El pacient té dret a la rectificació de les dades incorrectes i/o incompletes que constin en la seva història clínica.

  • Cancel·lació. El pacient té dret a la cancel·lació de dades assumint totes les consideracions i responsabilitat que d’això se’n derivi i sempre en compliment dels dictats de la llei.

  • Oposició. El pacient pot fer ús del dret d’oposició a fer difusió o a algunes utilitzacions de la informació continguda en la història clínica del pacient en les condicions que la legislació indiqui.

Com s’ha exposat anteriorment, la legislació és diferent en cada país.
Es considera que les dades de salut estan subjectes a la més alta protecció i confidencialitat. Internacionalment, es considera així. Però al nostre país, sobretot, des de l’aplicació de la Llei de protecció de les dades personals, s’han implementat molts mecanismes per garantir-ne el compliment.
Tots els centres sanitaris per exercir les seves funcions recullen dades identificatives i de salut dels pacients. Això està subjecte a la Llei de protecció de dades. Tot el personal dels centres sanitaris en el moment que inicien una relació laboral, d’aprenentatge, d’inspecció, d’avaluació o de qualsevol tipus queden subjectes al deure de confidencialitat. Això vol dir que totes aquelles persones vinculades a institucions sanitàries que per les seves funcions hagin de tractar dades de salut n’hauran de preservar la confidencialitat.
Segons la Llei de protecció de dades, es considera que hi ha tres nivells de seguretat que s’han d’adoptar davant de dades personals, i cada nivell requereix una protecció específica. Les dades de salut són dades que requereixen la màxima protecció, ja que són del nivell 3, el més alt.
Les agències de protecció de dades vetllen pel compliment de la legislació vigent en matèria de protecció de dades personals. Tots els fitxers que continguin dades personals cal que siguin declarats a l’Agència de Protecció de Dades. Qualsevol canvi referent a aquesta declaració (canvi de nom del centre, per exemple, o altres canvis) també s’ha de notificar.
Per triar-ne un exemple, posarem el de la legislació aplicable a Espanya i Catalunya.
La Constitució espanyola reconeix el dret a tota persona a la intimitat i la protecció de la salut. La legislació a continuació és més específica amb referència a la sanitat i la documentació clínica:

Llei general de sanitat: Llei 14/86, de 25 d’abril, general de sanitat. (BOE núm. 102, 29.4.1986).

Aquesta Llei de sanitat proporciona en el nostre context el marc general de la sanitat. Fa una menció específica del dret a la intimitat i confidencialitat de tota la informació relacionada amb el procés dels pacients durant la seva estada a les institucions sanitàries.
En aquesta Llei s’exposa que el pacient té dret que quedi constància escrita de tot el seu procés clínic, i també a rebre un informe d’alta al final de l’assistència. La història clínica del pacient ha de ser única i ha d’estar identificada unívocament.

Reial Decret 63/1995, de 20 de gener de 1995, sobre el catàleg de prestacions de la Seguretat Social. Assistència Sanitària de la Seguretat Social. Ordenació de prestacions sanitàries del Sistema Nacional de Salut.

Regula el dret del pacient a rebre una còpia de l’historial clínic. Igualment, el centre sanitari que l’ha atès n’ha de conservar una còpia. El sistema sanitari públic ha de vetllar pel dret dels pacients a la confidencialitat de les dades clíniques incloses en les històries clíniques.

Llei de protecció de dades: Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal (LOPD). (BOE núm. 298, 14.12.1999).

Regula els accessos a la història clínica i preveu sancions per als accessos no autoritzats i tipifica com a delicte greu els que produeixin un perjudici de tercers.

Llei d’autonomia del pacient: Llei bàsica 41/2002, de 14 de novembre, reguladora de l’autonomia del pacient i de drets i obligacions en matèria d’informació i documentació clínica.

Llei 21/2000, de 29 de desembre, sobre els drets d’informació concernent a la salut i l’autonomia del pacient i la documentació clínica.

Modificada la conservació de documents: Llei 16/2010, de 3 de juny:

Reial decret 994/1999, d’11 de juny, pel qual s’aprova un reglament de mesures de seguretat per als fitxers automatitzats que continguin dades de caràcter personal.

Reial decret 1093/2010, de 3 de setembre: aquest Reial decret 1093/2010, de 3 de setembre, regula un conjunt mínim bàsic de dades que han de contenir els informes clínics en el Sistema Nacional de Salut espanyol.

En el nostre context hi ha lleis que provenen de l’Estat i són aplicables a tot el territori espanyol, i n’hi ha d’altres d’autonòmiques, que només són aplicables a l’autonomia que les legisla. Sovint, especialment en matèries que tenen les competències traspassades i que depenen de les autonomies, com la sanitat, l’Estat fa una llei marc, cada vegada més sovint en concordança amb directives europees, i les autonomies són les encarregades de matisar-les o acabar-les d’articular per aplicar-les en cada territori específic.

3.Compromís de confidencialitat

Què és la confidencialitat?
La confidencialitat és la capacitat de prevenir la divulgació d’informació a persones o sistemes no autoritzats. En el nostre cas, la informació que caldria divulgar seria informació sobre dades de salut de persones concretes.
Una altra definició de confidencialitat podria ser:

“The ethical principle or legal right that a physician or other health professional will hold secret all information relating to a patient, unless the patient gives consent permitting disclosure”.

The American Heritage® Medical Dictionary

Relacionat amb el concepte de confidencialitat hi ha altres conceptes com:
Intimitat:
Àmbit privat d’una persona, família, parella... (Diccionari de l’Institut d’Estudis Catalans, DIEC).
Zona espiritual íntima i reservada d’una persona o d’un grup, especialment d’una família (Diccionario de la Real Academia Española, DRAE).
Privacitat (privadesa):
Qualitat de privat (DIEC).
Àmbit de la vida privada que es té el dret a protegir de qualsevol intromissió (DRAE).
El deure de confidencialitat dels metges en la relació metge-pacient és un tema ja considerat des de, com a mínim, el jurament hipocràtic (500 aC). Aquest és un concepte que sempre ha anat lligat a la professió mèdica. S’assumeix que qualsevol informació donada per un pacient a un metge en la seva relació professional és confidencial. Actualment, però aquest deure s’ha ampliat i la confidencialitat ja no sols afecta els metges.
Està reconegut internacionalment el deure de confidencialitat dels professionals assistencials envers la informació que els pacients els comuniquen en el procés assistencial.
Inicialment, podria semblar que només els metges i les infermeres estan subjectes a aquest deure, però no és així, ja que tot el personal que gestiona tota la informació clínica i identificativa dels pacients també hi estan subjectes. Actualment, ja en els contractes de tots els empleats de centres assistencials hi ha una clàusula referent a aquest tema.
Totes les empreses contractades per fer algun tipus de tractament o oferir algun servei que permeti qualsevol accés a dades protegides per la legislació ha d’acceptar el compromís de confidencialitat que sovint ja va inclòs en el contracte proposat per la institució sanitària.
A priori podria semblar molt clar quins són els límits d’aquesta confidencialitat, però en algunes cultures és molt difícil que no es comparteixi informació confidencial, en principi, sense cap interès de fer mal.
El cas de vulneració del dret a la confidencialitat que es dóna més freqüentment és quan un company de feina és atès com a pacient al mateix centre sanitari on treballa. Aquest és un tema encara mal resolt. Tot i que s’està treballant per aconseguir que un treballador sanitari pugui ser un pacient i tingui els mateixos drets que quan no el coneix ningú, la veritat és que és difícil de mantenir.

4.La legislació davant les noves tecnologies

En els darrers anys veiem una afluència de noves tecnologies mèdiques capaces de monitoritzar de forma remota la salut i els comportaments de les persones per a detectar, gestionar i prevenir problemes de salut.
Per tant, més enllà de la història clínica, la legislació també ha de cobrir els aspectes de garantia de bon ús i confidencialitat d’aquests suports.
La telemedicina amb wereables, la captura i monitorització de dades i el seu processament amb tècniques de big data, l’explosió de les dades genòmiques i altres àmbits, fan que les fronteres de les dades mèdiques hagin deixat d’existir.
En el cas de la monitorització remota, l’objectiu és complementar l’atenció mèdica amb la vigilància de la salut fora de l’atenció tradicional en entorns com ara hospitals i centres d’atenció primària, i podem trobar des dels dispositius mòbils d’un sol sensor a xarxes complexes de sensors de mesurament de paràmetres i resultats fisiològics.

4.1.L’impacte de la genòmica

Revisem algunes de les reflexions sobre la informació genòmica, aportades al document sobre Bioètica i Big Data de Salut
per l’Observatori de Bioètica i Dret del Parc Científic de Barcelona.
Destaquem:

“La custòdia de les mostres i la confidencialitat de les dades que se n’obtenen generen conflictes bioètics que cal tenir en compte. Els estàndards europeus de protecció de dades –recollits, alhora, per la legislació espanyola–, estableixen l’obligació de respectar els principis de finalitat i secret de les dades obtingudes (Directiva 95/46/CE i Llei orgànica 15/1999). La informació derivada del DNA es considera sensible, ja que no només proporciona informació sobre la persona de qui s’obté la mostra –el titular de les dades–, sinó que pot revelar informacions rellevants sobre la seva família biològica.

I fan una declaració:

Tenint en compte que:

  • Les informacions obtingudes de les proves genètiques concerneixen la intimitat personal i familiar, ja que gran part de la informació genètica és compartida amb altres membres de la família.

  • Les anàlisis genètiques afecten els drets fonamentals de les persones implicades.

  • Les investigacions de paternitat són una matèria especialment sensible que molt sovint implica menors.

  • L’interès superior del menor és el criteri suprem establert per la legislació amb caràcter general.

  • Quan se sol·licita una anàlisi d’aquest tipus és davant de situacions que ja són de conflicte, l’objectiu ha de ser minimitzar-los en benefici sempre de les parts més vulnerables.

  • La informació obtinguda mitjançant la pràctica d’una prova de DNA és merament fàctica i no té, ni ha de tenir, efectes jurídics si es du a terme extrajudicialment.

  • Hi ha marcadors genètics, útils en matèria d’identificació, que podrien revelar dades sobre la salut i altres informacions sensibles alienes al propòsit de la investigació.

  • L’emmagatzemament de mostres biològiques i la inclusió de les dades obtingudes en bases de dades informatitzades té una potencialitat informativa que pot donar lloc a situacions que cal regular.

  • L’anàlisi de mostres no identificades comportaria un perill evident de mal ús i d’intromissions injustificades en la vida privada i la intimitat de les persones.

  • L’exigència d’estàndards de qualitat per a la realització de les anàlisis genètiques identificatives dóna més fiabilitat als resultats.

  • Al nostre país l’acreditació dels laboratoris que fan proves de DNA no és obligatòria.

  • Hi ha dubtes fonamentats sobre la fiabilitat dels resultats mitjançant anàlisis fetes amb kits de venda online a laboratoris de diagnòstic que no compleixen els estàndards de qualitat.

  • Les anàlisis de mostres sempre hauran d’estar completament identificades i d’anar acompanyades del consentiment informat pertinent.

  • Respecte als adults: no s’haurà de fer cap anàlisi si no hi consta per escrit el consentiment informat.

  • Respecte als menors: cal el consentiment dels titulars de la pàtria potestat per a fer la prova biològica, i no és possible l’actuació o l’exercici individual de només un dels progenitors quan aquesta sigui compartida. El menor haurà de ser informat segons el seu grau de maduresa i, necessàriament, per imperatiu de la llei a partir dels dotze anys. També se n’haurà d’obtenir el seu consentiment si té judici suficient i, en tot cas, a partir dels setze anys.

  • Cal homogeneïtzar criteris i elaborar una normativa específica per a l’ús de les proves de DNA.

  • Els laboratoris han de complir els estàndards tècnics i de procediment proposats per la comunitat científica.

  • Les proves d’identificació mitjançant anàlisis de DNA només s’haurien de realitzar als laboratoris especialment acreditats per a dur-los a terme, d’acord amb la seva competència i després que s’hagin superat uns controls de qualitat.

  • En la investigació de la paternitat, cal regular la utilització de marcadors apropiats i suficients per a la determinació de la filiació que assegurin que no es proporciona cap informació clínica rellevant ni tampoc altres informacions fora del propòsit de la investigació.

  • Encara que el DNA conté informació sensible, les mostres s’hauran de guardar per a fer-ne una contraprova i custodiar-les adequadament durant un temps limitat i raonable segons s’estableixi amb criteris científics. Després d’aquest període de temps les mostres s’hauran de destruir.

  • La conservació de mostres per a propòsits d’investigació diferents de l’objectiu de l’anàlisi –com ara estudis poblacionals–, haurà de tenir el consentiment informat corresponent. A més, s’hauran de dissociar les mostres del seu origen, en la mesura que sigui possible i, en tot cas, complint les exigències de la llei.

El Grup d’Opinió de l’Observatori de Bioètica i Dret ha arribat a les conclusions següents:

I

La realització de proves privades –extrajudicials– no té, ni ha de tenir, cap efecte sobre les relacions de filiació preexistents, ni sobre l’atribució de la pàtria potestat o qualsevol altra de les obligacions derivades de la paternitat. Qui vulgui reclamar o impugnar una paternitat haurà d’acudir al jutge, ja que només per sentència ferma es podrà modificar legalment la filiació i els deures que n’emanin.

Quan hi hagi menors implicats, s’ha de tenir sempre present que l’interès superior del menor és el criteri suprem que cal tenir en compte tal com ja estableix la legislació amb caràcter general.

II

S’han d’establir requisits per als laboratoris que facin proves genètiques d’identificació, filiació i parentiu:

a) Requisits respecte a l’obtenció de les mostres:

b) Requisits de qualitat en la realització de la prova:

c) Requisits respecte a la conservació de les mostres:

III

Els laboratoris són responsables del compliment dels estàndards tècnics i de procediment, i també dels ètics i jurídics. En cas d’incompliment, la llei haurà de preveure les sancions corresponents.

IV

S’ha de prohibir la venda d’equips identificadors de paternitat, tant als laboratoris com als comerços o per Internet, ja que no n’asseguren la fiabilitat, no disposen del consentiment informat preceptiu dels diversos implicats, no garanteixen que es realitzi el consell genètic preceptiu, ni asseguren la identificació dels sol·licitants.

Aquesta és una mesura que ha de prendre el legislador per a les entitats registrades a Espanya. Aquesta competència –i per tant la prohibició– es podria estendre a més a tots els supòsits en què qui ho sol·liciti o les persones afectades siguin espanyoles en virtut del criteri de la personalitat, en lloc de la territorialitat, que resulta molt més efectiu –especialment respecte d’Internet–, en un context de “globalització” i mercantilització. La norma ha de preveure les sancions corresponents per a laboratoris i sol·licitants.

És convenient afavorir una normativa supranacional, tenint en compte la facilitat de burlar aquestes limitacions adquirint els reactius necessaris per a fer aquests assajos en altres països per mitjà de kits online.”

Com a documentalistes ens hem de plantejar el rol en aquest nou ecosistema.
El cost de seqüenciar segueix baixant i genera una explosió d’informació, que integrada a la informació clínica, revela les bases de malalties infeccioses, hereditàries, neoplàsies i la resposta a la medicació.
A la pràctica, però no és tan senzill, per la dispersió de registres i formats. No disposar de dades compartides afecta negativament a tots els involucrats: pacients, investigadors, gestors, planificadors, etc.
Diferents entitats treballen per a crear una plataforma d’estàndards oberts, formats i eines per a la recerca. Al nostre entorn tenim Bioinformatics Barcelona.
Per a obtenir els resultats de generació de coneixement útil i aplicat a la pràctica clínica encara resten molts reptes.
Existeixen mancances significatives en la genòmica clínica, incloses les normes
per a la codificació i transmissió de dades. Aquí el paper dels documentalistes serà clau.
Figura 1. Nexe entre genòmica i clínica
Font: elaboració pròpia
Font: elaboració pròpia

4.2.La Internet de les coses

Al primer mòdul hem avançat el concepte de tecnologia portable (wereables i apps) com un dels canvis de model per a la recollida i monitorització de dades de salut.
No hi ha una normativa ni un marc legal prou clars, i tampoc unes recomanacions d’ús general.
El Pla mestre de mobilitat (mHealth.Cat) reconeix que “falta claredat en la legislació sobre protecció de dades”.
Avançar en infraestructures i serveis, sense un marc normatiu adequat, ja s’ha vist que posa en risc iniciatives de l’Administració, molt necessàries per al progrés del model de salut.
El Pla mestre indica:

Cal facilitar l’ús de l’mHealth als professionals i ciutadans per diversos canals amb l’objectiu de fer els serveis el màxim d’accessibles i universals possibles.

Amb la responsabilitat de construir:

1. Guia d’usabilitat i continguts: contindrà recomanacions de bones pràctiques en matèria d’experiència d’usuari (UX) i accessibilitat dels serveis mHealth. S’utilitzaran estàndards existents desenvolupats per W3C (WAI’s mobile guidelines: WCAG, UAAG, ATAG, ARIA). De la mateixa manera, caldrà preveure un catàleg ‘mestre’ de continguts comuns.

2. Interoperabilitat i missatgeria: caldrà determinar quin és l’estàndard per a la missatgeria i la interoperabilitat dels serveis mHealth als diversos nivells de l’arquitectura definida (apps i dades, devices, sistemes d’informació, components, etc.). En aquest sentit, es recomana basar-se en estàndards ja existents com ara els de Continua Health Alliance.

3. Requisits i ús de solucions de seguretat i identitat: caldrà determinar quins paràmetres de seguretat es necessiten i quines solucions de seguretat i d’identificació s’utilitzen:

  • S’hauran de definir els requeriments de seguretat que es demanaran als serveis mHealth en base a diversos nivells de fortalesa i en funció del tipus de servei mHealth que es tracti (més orientat a informació o més orientat a tractament), pel que fa a la facilitat d’ús i nivell d’accés per part de la població, robustesa de la solució, interoperabilitat i escalabilitat generacional, etc. Les solucions que complexin aquests requeriments podran ser ‘certificades’ però es recomana disposar de 2 o 3 solucions des del començament.

  • Una solució software (usuari i password robust) per a serveis que no tinguin una forta implicació o incidència en la salut i el benestar social de les persones amb l’objectiu de no posar barreres excessives al seu ús per part dels ciutadans i fer-los el màxim d’accessibles i universals.

  • Una solució basada en certificat digital (a la SIM o software dins el dispositiu) per aquells serveis que tinguin una major incidència en la salut i el benestar social dels usuaris (monitorització o tractament de malalties, interacció amb un professional del sistema, etc.).

  • Es disposarà de diversos nivells d’homologació en funció del tipus de servei que es tracti: més orientat a continguts i informació, més orientat a tractament o seguiment, etc.

  • L’homologació ha de ser el més transparent possible, mitjançant una checklist que faciliti, fins i tot, l’autocertificació prèvia per part dels desenvolupadors de les solucions mHealth. Es recomana establir una senya d’identitat per a certificacions fetes pel Pla mHealth (logos o imatges).

  • L’homologació i la checklist serà responsabilitat de l’OGEP. Es podrà homologar una solució, emetre recomanacions per a corregir deficiències i que pugui passar l’homologació, o revocar solucions si es detecta que han sofert algun canvi que fa que deixin de complir els criteris de la checklist d’homologació.

  • Es recomana que l’homologació tingui una vigència determinada en mesos (en funció del tipus de solució, si està més orientada al tractament o monitorització, la freqüència de renovar la certificació serà més alta).

  • Ha de ser accessible des del call center i ha de tenir accés als sistemes d’informació rellevants per a l’mHealth (HCE, HSE, nou sistema d’informació que suporti l’mHealth - CPS) per a disposar d’una visió 360º del ciutadà.

  • Permetrà disposar d’alarmes automàtiques, campanyes de prevenció basades en mHealth, processos de seguiment i monitorització dels usuaris i processos d’activació de protocols d’emergències.

  • Ha de permetre impulsar totes les iniciatives BYOD que s’executin.

  • El millor candidat per a desenvolupar aquesta funció de gestor de processos és el nou sistema d’informació per a la gestió de la cronicitat que iniciarà el Departament de Salut i la Fundació TicSalut.

4. Criteris de compliment legal: a causa que els serveis mHealth faran ús de dades de caràcter personal, cal disposar d’una guia o checklist per a assegurar que s’han implementat els processos per a complir amb la normativa de la Llei orgànica 15/1999, de 13 de desembre de Protecció de dades de caràcter personal. Es pot preveure en la mateixa guia recomanacions de cara a permetre l’accés per part dels usuaris a les seves dades així com una posterior reutilització o explotació de les dades recollides en els serveis, mentre que caldrà preveure’n els futurs usos d’acord a la Llei 23/1998, de 30 de desembre d’Estadística de Catalunya i la Llei 21/2000 de, 29 de desembre, sobre els Drets d’informació concernent a la salut i autonomia del pacient.

5. Criteris per a l’homologació (o certificació) i per al compliment d’estàndards de qualitat: una vegada dissenyats els criteris d’usabilitat, interoperabilitat, seguretat i identificació i compliment legal, es podrà determinar el procés per a determinar si un servei mHealth pot ser homologat:

6. Adaptació Call Center unificat basant-se en el PIAISS: com a mesura per a potenciar una major integració dels serveis sanitaris i de benestar social, alhora que per a permetre la ubiqüitat de canals de les solucions mHealth, es proposa dissenyar un callcenter únic integrat als protocols d’atenció no presencial i al nou Pla interdepartamental.

7. Gestor de processos basant-se en el i-SISS.Cat: caldrà disposar d’un gestor de processos que permeti dotar d’una major intel·ligència als serveis mHealth que es desenvolupin:

La Internet de les Coses (IOT en les sigles en anglès) està al llindar de la integració en la nostra vida diària. S’estan fent dispositius per a monitoritzar aspectes de salut, i també per a comunicar-nos amb les nostres llars, cotxes, treball i lleure.
El G29 va emetre un dictamen específic sobre el fet que la IOT planteja una sèrie de reptes de privacitat i protecció de dades, alguns nous, altres més tradicionals, però sobretot ve donat per l’augment exponencial del processament de dades que recull. La importància de l’aplicació del marc jurídic de protecció de dades de la UE i de les recomanacions pràctiques que dona el G29 cal tenir-les en compte.
Comentem alguns dels aspectes que s’hi tracten:
1) La manca de control dels contractes de serveis.
Per a proporcionar serveis generalitzats d’una manera personalitzada, ens podem trobar sota supervisió de tercers. Això pot donar lloc a situacions en què l’usuari pot perdre el control sobre la difusió de les seves dades, depenent de si la recollida i el tractament d’aquestes dades es fa de manera transparent o no.
2) Qualitat del consentiment.
En molts casos, l’usuari pot no ser conscient del tractament de dades que es fa en determinats aparells de registre. Aquesta manca d’informació constitueix una barrera important per a demostrar el consentiment vàlid en virtut de la llei de la UE, ja que l’interessat ha d’estar informat.
Dispositius portables, com ara rellotges intel·ligents, estan connectats i porten càmeres, micròfons i sensors de moviment que poden gravar i transferir dades sense ser-ne prou conscients, i sense tenir el consentiment per a aquest tractament. Cal que hi hagi alguna alerta o avis important en la compra.
3) Les inferències derivades de les dades i la reutilització de les mateixes.
Les dades generades per la IOT en combinació amb les tècniques modernes relacionades amb big data faciliten donar uns usos secundaris a les dades, ja siguin relacionats o no amb el propòsit assignat al tractament inicial.
Aquella persona que té una aplicació de recollida de dades, per exemple l’acceleròmetre, es pot trobar que després utilitzi aquestes dades per a inferir altres informacions amb un significat totalment diferent (per exemple, els hàbits de conducció de la persona). Aquesta possibilitat de derivar inferències a partir d’aquesta informació “en brut” s’ha de combinar amb els riscos habituals d’integrar les dades.
4) Generació de patrons de comportament i perfils.
La integració de dades recollides a diferents entorns, des de xarxes socials a pagament electrònic, etc., pot revelar aspectes específics d’hàbits, comportaments i preferències de les persones. Les anàlisis basades en la informació capturada en diferents aparells podrien permetre la detecció de patrons de vida molt detallats. Cal un equilibri entre l’ús i l’anonimat.
5) Riscos de seguretat: la seguretat enfront de l’eficiència.
La IOT planteja diversos reptes de seguretat. Concretament, encara no està clar com els fabricants de dispositius equilibraran l’aplicació de mesures de confidencialitat, integritat i disponibilitat a tots els nivells de la seqüència de processament amb la necessitat d’optimitzar l’ús de recursos computacionals per objectes i sensors.
Per tant, hi ha el risc que la IOT pugui convertir un objecte quotidià en un perill potencial per a la seguretat i la privacitat, i alhora en una protecció d’atacs, per la facilitat de pràctiques de vigilància, recuperar dades robades i altres proteccions.
Figura 2. Imatge de cerca de Google de l’exemple comentat de rellotges intel·ligents
Font: Google
Font: Google
Recordem que en l’àmbit jurídic, el recurs “d’anonimat” el trobem a la normativa actual de protecció de dades, que prové d’una Directiva europea de 1995 i que es recull en la Llei 37/2007, de 16 de novembre, sobre la reutilització de la informació del sector públic.
Cal diferenciar entre la legitimació legal i la voluntària, basada aquesta segona en el consentiment lliurement atorgat. La primera fa referència a finalitats relacionades amb l’atenció sanitària, la qualitat i gestió del servei i fins científics (epidemiològiques, d’investigació i docència).
Sembla que el consentiment informat s’ha d’aplicar a l’ús de les dades de salut com a mecanisme més facilitador de l’avenç amb el processament de la informació amb garanties.
Curiosament, no és un tema que trobem en la literatura com a mecanisme de protecció. Tracta més els buits legals en la protecció que no en com involucrar els ciutadans en la cessió de les seves dades.
Pel que fa al metge:
El metge sempre ha estat prescriptor i ara té la responsabilitat afegida d’apps i el seu monitoratge.
No entrem en la seva certificació, encara que aquest any la FDA (web) ha revisat només 100 dels 900.000 a EUA.
Recomanacions
1. Generar i potenciar una cultura ciutadana de la privacitat en matèria de dades personals. Tal com hem dit no sabem l’ús de les dades que es recullen.
2. Informar la ciutadania sobre possibilitats de reversió de l’anonimat.
3. Aplicar escrupolosament el principi de cenyir-se a la finalitat del registre.
4. Concretar les funcions de governança de l’Administració (a vegades tenim confusió amb el suport real que donen).
5. Millorar la formació en deontologia i ètica dels facultatius.
6. Millorar la formació jurídica dels comitès, des dels de direcció als de recerca.
7. Clarificar molt bé els drets i deures. És reconeix el dret a la privacitat de les persones, i caldria ampliar la reflexió de si aquests drets són absoluts en casos d’emergència personal o de salut pública, on els valors puguin anar per davant de la privacitat absoluta.
8. La informació d’identificació i la informació generada durant alguna activitat o procés d’atenció són coses diferents a l’hora de protegir-ne l’ús. S’ha de poder utilitzar la informació amb tot el seu potencial per a la gestió i recerca.

Resum

En aquest capítol s’ha fet menció de la legislació referent a la documentació clínica. En aquest context, cal tenir en compte que les dades de salut són dades especialment protegides per la llei i com a tals, necessiten una supervisió especial.
Cal saber que hi ha unes mesures específiques per aquestes dades de salut i que tots els centres estan obligats a respectar-les.
En el cas que el personal o les institucions incompleixin aquestes normes, les sancions poden ser molt greus. Hi ha una especial vigilància i sensibilitat social en referència a aquest tema i per aquest motiu es van crear les agències de protecció de dades que en fan un seguiment especial.
La digitalització i les noves tecnologies, especialment la Internet de les coses i la genòmica, van més endavant que el marc normatiu, que cal adaptar.

Bibliografia

Llei 14/1986, de 25 d’abril, general de sanitat. Butlletí Oficial de l’Estat, 29 d’abril de 1986, núm. 102, pàg. 15207-15224. http://www.boe.es/boe_catalan/dias/1986/12/31/pdfs/A00145-00166.pdf
Llei 21/2000, de 29 de desembre, sobre els drets d’informació concernent la salut i l’autonomia del pacient, i la documentació clínica. Diari Oficial de la Generalitat de Catalunya, núm. 3303, pàg. 464-467. http://www20.gencat.cat/portal/site/portaljuridic/template.PAGE/menuitem.d15a4e5dfb99396dc366ec10b0c0e1a0/?javax.portlet.tpst=ba5f51819ed19d6c56159f10b0c0e1a0&javax.portlet.prp_ba5f51819ed 19d6c56159f10b0c0e1a0=action=fitxa&documentId =246194&mode=single&
Llei 41/2002, de 14 de novembre, bàsica reguladora de l’autonomia del pacient i de drets i obligacions en matèria d’informació i documentació clínica. Butlletí Oficial de l’Estat, 15 de novembre de 2002, núm. 274, suplement 21, pàg. 3057-3062. http://www.boe.es/boe_catalan/dias/2002/12/02/pdfs/A03057-03062.pdf
Llei 16/2010, de 3 de juny, de modificació de la Llei 21/2000, de 29 de desembre. Diari Oficial de la Generalitat de Catalunya, núm. 5647, pàg. 45005. http://www20.gencat.cat/portal/site/portaldogc/menuitem.c973d2fc58aa0083e4492d92b0c0e1a0/?vgnextoid=485946a6e5dfe210VgnVCM1000000b0c1e0aRCRD&appInstanceName=default& action=fitxa&documentId=541336&language=ca_ES
Llei orgànica 15/1999, de 13 de desembre, de protecció de dades de caràcter personal. Butlletí Oficial de l’Estat, 14 de desembre de 1999, núm. 298 (17). pàg. 1399-1411. http://www.boe.es/boe_catalan/dias/1999/12/30/pdfs/A01399-01411.pdf
Reial decret 63/1995, de 20 de gener, sobre ordenació de prestacions sanitàries del Sistema Nacional de Salut. Butlletí Oficial de l’Estat, núm. 35, pàg. 4538-4543. http://www.boe.es/boe/dias/1995/02/10/pdfs/A04538-04543.pdf
Reial decret 1093/2010, de 3 de setembre, pel qual s’aprova el conjunt mínim de dades dels informes clínics en el Sistema Nacional de Salut. Butlletí Oficial de l’Estat, núm. 225, pàg. 1-26. http://www.boe.es/boe_catalan/dias/2010/09/16/pdfs/BOE-A-2010-14199-C.pdf
Altres fonts consultades
Agència Espanyola de Protecció de Dades http://www.agpd.es/portalwebAGPD/index-idca-idphp.php
Autoritat Catalana de Protecció de Dades http://www.apd.cat/ca/index.php
Bioètica i Big Data de Salut. http://www.publicacions.ub.edu/refs/observatoriBioEticaDret/documents/07899.pdf
Butlletí Oficial de l’Estat (BOE) http://www.boe.es/g/es/
Diari Oficial de la Generalitat de Catalunya (DOGC). Generalitat de Catalunya http://www20.gencat.cat/portal/site/portaldogc
Kho, A. N.; Pacheco, J. A.; Peissig, P.L. i altres (2011). “Electronic medical records for genetic research: results of the eMERGE consortium”. Science Transnational Medicine (vol. 3, núm. 79).
Noticias Jurídicas http://noticias.juridicas.com/
OMS. Alert, response, and capacity building under the International Health Regulations http://www.who.int/ihr/en/
Altra normativa de referència internacional
Carta dels drets fonamentals de la Unió Europea (DOUE núm. 83, de 30 de març de 2010).
Consell d’Europa. Convenio para la protección de los derechos humanos y la dignidad del ser humano con respecto a las aplicaciones de la Biología y la Medicina (Conveni relatiu als drets humans i la biomedecina). Oviedo, 4 d’abril de 1997.
Directiva 1995/46/CE, de 24 d’octubre, del Parlament i del Consell, sobre Protecció de les persones físiques pel que fa al tractament de dades personals i a la lliure circulació d’aquestes dades.
Directiva 2002/58/CE del Parlament Europeu i del Consell, de 12 de juliol de 2002, relativa al tractament de dades personals i a la protecció de la intimitat en el sector de les comunicacions electròniques (Directiva sobre la privacitat i les comunicacions electròniques).
UNESCO. Declaració universal sobre Bioètica i Drets Humans, de 19 d’octubre de 2005.