El documento discute la importancia de integrar los departamentos de tecnología, seguridad de la información y cumplimiento legal en las instituciones de salud para proteger la privacidad e integridad de los datos de los pacientes. También enfatiza la necesidad de implementar sistemas y procesos que cumplan con las leyes de privacidad de datos y los derechos de los pacientes.
1. Seguridad de la Información – Auditoría de Sistemas
Publicado en Revista CISALUD – Edición 11 – Página 29
Nuestra salud digital
La brecha entre el tratamiento de datos sensibles y la regulación legal… O los
derechos de los Pacientes y la integridad de su información de salud.
La salud del Paciente no solo está en manos de los profesionales de la salud; en la
actualidad los departamentos legales y tecnológicos son sus socios naturales en el
cumplimiento de las leyes respecto de la integridad y tratamiento de los datos
sanitarios… Y por sobre todo en la disponibilización e integridad de la información
que puede salvar una vida.
Para interiorizarnos en esta problemática e interpretar como se ha globalizado la
responsabilidad en la atención de la salud dentro de cada una de las Instituciones Sanitarias
a través de sus distintos departamentos operativos, primero debemos partir de desde estas
tres premisas:
Iniciar este artículo conociendo estos conceptos nos
ayudará a entender y a “naturalizar” el porqué de la
integración de departamentos tan disímiles como las
áreas técnicas médicas (profesionales de la salud en
cualquiera de sus disciplinas), las áreas tecnológicas
(responsables de los sistemas, comunicaciones y
seguridad de la información) y las áreas técnicas
legales (responsables de acompañar y guiar en la
implementación de soluciones para el cumplimiento
que surge del marco regulatorio de las entidades de salud).
Ahora el objetivo… La salud del Paciente. El símbolo de la moral colectiva y la promesa
ética de los médicos unidos por un único propósito de curar y aliviar a sus Pacientes
se materializa en el Juramento Hipocrático, que desde su concepción ha
evolucionado como así también lo hizo la práctica de la medicina a través de la
influencia tecnológica.
Desde mi opinión, esta evolución ha permitido que de distintas formas se cambie el enfoque
de concentrarse en curar enfermedades a interesarse en el cuidado de la persona como un
ser concreto abarcando tanto sus aspectos físicos como psíquicos, responsabilidad no solo
de los profesionales médicos en cualquiera de sus especialidades sino también de otras
personas del área de la salud y principalmente relacionadas con la tecnología médica.
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
1. Contamos con regulaciones legales definidas y orientadas a la protección de datos
personales y a los derechos de los Pacientes, que son nuestro primer marco de
referencia para asegurar la atención. (LEY 17.132 Nacional - Ejercicio de la Medicina,
Odontología, y de las actividades de colaboración, Ley 14.494 Provincial (Bs.As.) Historia clínica electrónica, Ley 26529 Nacional - Derechos del Paciente, historia
clínica y consentimiento informado, Ley 25506 Nacional - Firma digital)
2. Cambio de enfoque de las áreas de tecnología y seguridad de la información como
componentes de servicio necesarios para los procesos asociados a la atención y
cuidado de los Pacientes (ISO/IEC 20.000 Sistema de Gestión de Servicios de TI,
ITIL, CobIT, ValIT)
3. Establecimiento de una nueva visión para la gestión de control corporativo,
denominada GRC y que se basa en la gobernabilidad corporativa, gestión integral de
riesgos del negocio y cumplimiento de leyes y regulaciones.
1
2. Seguridad de la Información – Auditoría de Sistemas
Publicado en Revista CISALUD – Edición 11 – Página 29
Debido a ello, y específicamente desde las áreas de tecnología de la información, es que
deben brindar a los profesionales de la salud un ambiente seguro de trabajo garantizando
confidencialidad e integridad de los datos a Pacientes y Afiliados, reflejando en los sistemas
y soluciones tecnológicas aquellas medidas de cumplimiento surgidas de las diferentes
leyes que regulan a las Organizaciones de Salud, y a su vez las áreas tecnológicas deben
obtener la guía y asesoramiento desde el área legal para poder definir la arquitectura de la
solución tecnológica acorde al cumplimiento de las leyes y del compromiso profesional de
los profesionales de la salud para con los Pacientes.
Ahora bien, el tratamiento de los datos
presupone un entorno de riesgos asociados
a la operatoria de los sistemas que deben
ser tenidos en cuenta y medidos en función
del entorno de aplicación. La exposición de
los datos sensibles de las personas
(historias
clínicas,
resultados
de
investigaciones); errores de gestión de
seguridad con Gerenciadoras de Contratos,
Distribuidoras,
Droguerías,
Farmacias,
Obras Sociales y empresas de medicina
prepaga y prestadores médicos, pueden ser
solo algunos de los riesgos en el
intercambio, gestión e integración de
información relacionada con la atención de sanidad y la gestión de servicios de salud.
Las transacciones para trasmitir datos de registro de pacientes, admisión, cobertura de
salud, imágenes, órdenes y resultados de laboratorio, observaciones sanitarias y de
enfermería, indicaciones de exámenes, dietas y medicamentos pueden verse afectados y
levarnos a incurrir en errores en la Historia Clínica electrónica con las siguientes
consecuencias:
•
PERDIDA DE DATOS - ¿Qué ocurre si no se elabora la Historia Clínica o se omite
anotar algún procedimiento o medicación? Todo lo que no se precise en ella puede
ser usado en contra de quien cometió la omisión, pero adicionalmente se expone a
las sanciones ante el Tribunal de Ética Médica, disciplinariamente.
•
FALTA DE INTEGRIDAD DE LOS DATOS ¿Qué ocurre si se hacen anotaciones de
las condiciones de salud de una persona, o actos médicos o procedimientos que
nunca se realizaron? Se comente el delito de falsedad ideológica en documento
privado. Todo lo que no se precise en ella puede ser usado en contra de quien
cometió la omisión, pero adicionalmente se expone a las sanciones ante el Tribunal
de Ética Médica, disciplinariamente.
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
Como podrán haber visto, en lo planteado hay un estricto sentido de dirección en
integrar diferentes áreas enfocándolas hacia la protección integral de la información
del Paciente, y si vemos el proceso de la atención de su salud desde el aspecto del
cumplimiento conseguiremos encausar cada necesidad de implementación tecnológica no
como un proyecto individual para resolver una situación puntual sino como una herramienta
de solución a procesos de tratamiento de información y atención médica de las personas.
2
3. Seguridad de la Información – Auditoría de Sistemas
Publicado en Revista CISALUD – Edición 11 – Página 29
•
FALTA DE CONFIDENCIALIDAD DE LOS DATOS - ¿Qué sanción tiene una persona
particular que revele algo que esté en la Historia Clínica de otra persona? Comete el
delito de divulgación y empleo de documentos reservados.
La Tecnología entonces debe responder a dos compromisos asumidos desde la práctica
médica en pos de la defensa del derecho del Paciente:
1. El ético y moral que surge del contacto entre el médico y el paciente y se refleja en la
Historia Clínica donde se recoge la información necesaria para la correcta atención
de los pacientes.
2. El legal, establecido por el Estado como marco de cumplimiento para la buena
práctica y cuidado de la persona no solo en el derecho de asistencia médica sino
también de la información relativa a su salud.
En relación a estas definiciones podemos tomar como ejemplo algunos puntos a analizar en
el Código de Ética para los Equipos de Salud de la Asociación Médica Argentina publicado
en 2001, que merecen ser tenidas en cuenta al momento de proyectar la implementación de
soluciones tecnológicas relacionadas con el tratamiento de datos:
Definiciones de tratamiento
El Artículo 171 que dice “La historia clínica debe
ser legible, no debe tener tachaduras, no se debe
escribir sobre lo ya escrito, no debe ser borrada,
no se deben dejar espacios en blanco. No se debe
añadir nada entre renglones.”
El artículo 178 dice “la historia clínica completa y
escrita en forma comprensible, es una de las
mayores responsabilidades del equipo de salud y
su redacción defectuosa es un elemento
agravante en los juicios de responsabilidad legal.”
El artículo 181 dice “… la desaparición de la
historia clínica o su falta de conservación
entorpecerá la acción de la justicia. Así mismo
negara la oportunidad de defensa en juicio.”
Condición tecnológica
El artículo 185 dice “en caso de computarización de la
historia clínica deberán implementarse sistemas de
seguridad suficientes para asegurar la inalterabilidad
de los datos y evitar el accionar de violadores de
información reservada”.
Verlo de esta forma nos ayudará a reducir el impacto negativo sobre la protección de datos
que en la actualidad se traduce en un riesgo de vida al Paciente. En mi experiencia he
podido determinar que la mayoría de los Organismos carece de:
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
Bajo este contexto, y si bien la hemos puesto
en tercer lugar, la premisa más importante es
la de establecer un Gobierno Corporativo
que permita administrar los diferentes
procesos tecnológicos para garantizar que
el uso de las tecnologías cumple con los
objetivos éticos y legales de la atención
médica. Esto nos llevará a primeramente a
interpretar cada una de las leyes de aplicación
para de esta manera adecuar nuestros
sistemas a las necesidades de cumplimiento y
así brindar al Paciente seguridad en la
confidencialidad de sus datos y resguardar su
salud a brindar a los profesionales médicos
integridad en la información utilizada para
confirmar diagnósticos, realizar análisis o decidir tratamientos.
3
4. Seguridad de la Información – Auditoría de Sistemas
Publicado en Revista CISALUD – Edición 11 – Página 29
• Procedimientos de control para el desarrollo y mantenimiento de sistemas, desde
modificaciones no autorizadas sobre los Sistemas, falta de documentación e
implementación de Sistemas no probados
• Procedimientos aprobados para las tareas de administración de seguridad, con el fin
de evitar accesos no autorizados a la información o los recursos del Organismo,
inexactitud o falta de confiabilidad de los datos o Sistemas y falta de disponibilidad de
la información o recursos necesarios.
• Un plan para afrontar contingencias ante interrupciones a la continuidad operativa del
Organismo, con el consiguiente perjuicio al Paciente
• Procedimientos documentados para la generación de back ups maximizando la
pérdida de información.
• Garantizar transparencia en el tratamiento de la información y su comunicación
cuando los datos personales se sometan a tratamiento de forma automatizada,
implementando medidas técnicas y organizativas que garanticen un nivel de
seguridad adecuado en relación con los riesgos en el tratamiento y la naturaleza de
los datos.
• Realizar una evaluación de los riesgos para adoptar medidas de protección de los
datos contra su destrucción accidental o ilícita, o su pérdida accidental, y de impedir
cualquier forma de tratamiento ilícito, en particular la comunicación, la difusión o el
acceso no autorizados o la alteración de los datos personales.
• Especificar conformidad en los criterios y condiciones aplicables a las medidas
técnicas y organizativas para sectores específicos y en situaciones de tratamiento de
datos específicas, habida cuenta en particular de la evolución de la tecnología y de
las soluciones de privacidad desde el diseño y la protección de datos.
Fabián Descalzo
Gerente de Governace, Risk & Compliance (GRC)
Cybsec S.A. – Security Systems
Fabián Descalzo es Gerente de Governance, Risk & Compliance (GRC) en Cybsec S.A., certificado ITIL v3-2011 y auditor
ISO 20000, con 20 años de trayectoria en Seguridad de la Información. Posee amplia experiencia en la implementación y
cumplimiento de Leyes y Normativas Nacionales e Internacionales en compañías de primer nivel de diferentes áreas de
negocio en la optimización y cumplimiento de la seguridad en sistemas de información, Gobierno de TI/SI y Continuidad del
Negocio. Actualmente es responsable de servicios y soluciones en las áreas de Gobierno, Riesgos y Cumplimiento
asociados al aseguramiento del Negocio.
Tel. (05411) 15 3328-6859 fabiandescalzo@yahoo.com.ar
Como respuesta a los puntos arriba enumerados, si analizamos la Ley 25.326 de protección
de datos personales podremos ver que nos sirve como marco de implementación para dar
respuesta a lo indicado tanto para la Ley Nacional Nº 17.132 para el Ejercicio de la Medicina
como la Ley 26.529 de Derechos del Paciente en su Relación con los Profesionales e
Instituciones de la Salud, dando respuesta directa de solución al secreto profesional y
garantías sobre la integridad y legibilidad de la información. Algunos de los principales
objetivos son:
4