Butlletins de l'Oficina de Seguretat

Servei de Salut de les Illes Balears (Ibsalut)

Butlletí núm.79 - Usos correctes de la història clínica des del punt de vista de la protecció de dades

Segons l'article 14.1 de la Llei 41/2002, de 14 de novembre, bàsica reguladora de l'autonomia del pacient i de drets i obligacions en matèria informàtica i documentació clínica (d'ara endavant, LAP), «la història clínica comprèn el conjunt de documents relatius als processos assistencials de cada pacient». En la història clínica s'hi incorpora tota la informació per conèixer l'estat de salut dels pacients i per garantir una assistència adequada.

 

En la història clínica s'incorporen dades de caràcter personal relatius a la salut. Així, aquests documents es converteixen en informació sensible per a la qual s’ha d'aplicar un nivell de protecció especial.

 

Actualment, les dades relatives a la història clínica s'estan deixant de tractar en format paper, per tractar-se en suport electrònic. Aquests sistemes d'informació ofereixen grans avantatges en el sistema sanitari, com ara una atenció més àgil i segura per als pacients. És per això pel que en aquests sistemes ha d'haver-hi un encarregat de custodiar la història clínica dels pacients, amb l'obligació de preservar el contingut d'aquesta. Per salvaguardar-la, s'han d'aplicar una sèrie de controls de seguretat.

 

Segons l'article 7.1 de la Llei 41/2002, de 14 de novembre, (LAP) «tota persona té dret a què es respecti el caràcter confidencial de les dades referents a la seva salut i a què ningú hi pugui accedir sense autorització prèvia emparada en la Llei»

 

És per això que, d'acord amb la legislació vigent, només pot accedir a la història clínica el personal directament implicat en l'atenció sanitària dels pacients o el personal d'administració i gestió dels centres sanitaris. Més encara, el personal només pot accedir a les dades relacionades amb les funcions que li són pròpies.

 

Hi ha múltiples normes que posen de manifest la importància que té la protecció de la intimitat i de les dades personals, especialment sensibles i rellevants en l'àmbit de la salut. La violació del deure de secret o de la intimitat pot comportar penes de presó i inhabilitació.

 

Accedir sense justificació a la història clínica és un delicte que implica sancions penals: penes de presó d'un a quatre anys, multes i inhabilitació.

 

Per preservar la protecció de la intimitat dels pacients, el Servei de Salut té l'obligació de mantenir un registre dels accessos efectuats a les dades relatives a la història clínica de pacients per mitjà dels sistemes que gestionin les dades relatives a la seva salut, i vetllar que aquests accessos es facin a l'empara de la llei. Amb aquests registres, ha de dur a terme auditories i aplicar una sèrie de controls per detectar accessos indeguts a les dades.

 

Són nombroses les condemnes per accessos indeguts a les històries clíniques, per la qual cosa els professionals sanitaris han de ser conscients de la gravetat d'aquestes actuacions. A continuació, es presenta una sèrie de sentències relatives a accessos indeguts a històries clíniques:

 

  • Sentències núm. 5/2015 de 28 gener: accés informàtic no consentit, per part d'un metge, a l'historial clínic de la seva exparella i al dels seus familiars. 
  • Sentències núm. 20/2015 de 16 febrer: accés sense autorització, per part de’un metge, a les bases de dades del Servei de Salut, per consultar les històries clíniques dels seus companys i descobrir dades reservades d'especial rellevància quant a la salut d'aquestes persones. 
  • Sentències núm. 532/2015 de 23 de setembre: accés, per part d'un metge, a la base de dades del Servei de Salut de les Illes Balears per consultar històries clíniques de companys. 
  • Sentències núm. 372/2016 de 5 desembre: accés en repetides ocasions, per part d'una infermera, a la història clínica del seu fill i a la de la parella d'aquest, sota el pretext de protegir els fills menors dels perjudicats, ja que sospitava d'addiccions a drogues per part de tots dos. No va resultar acreditat que l'acusada hagués traslladat la informació a tercers o n’hagués fet un ús de cap altra manera. 
  • Sentències núm.312/2019 de 17 de juny: accés, per part d'un metge a la base de dades a la qual estava autoritzat per consultar un informe de lesions de la seva esposa, de la qual estava separat. El coneixia prèviament per haver estat aportat a un procés judicial. L'acusat va accedir a una radiografia que li havia prescrit ell mateix, amb la finalitat de preparar el judici oral per les lesions causades a la perjudicada. 
  • Sentències núm. 392/2020 de 15 de juliol: accés, per part d'un metge a la història clínica d'un pacient sense el seu coneixement ni consentiment i sense que existís raó assistencial, per conèixer el seu estat de salut i, en concret, l'existència o no d'una part de baixa per incapacitat temporal laboral.

 

Decàleg de protecció de dades per a personal sanitari i administratiu

L'Agència Espanyola de Protecció de Dades va donar a conèixer un decàleg de protecció de dades per a personal sanitari i administratiu:

 

  1. Tracta les dades dels pacients així com voldries que tractassin les teves. 
  1. Estàs segur que has d'accedir a aquesta història clínica? Pensa-ho. Només hi has d'accedir si és necessari per a les finalitats de la teva feina. 
  1. Recorda: els teus accessos a la documentació clínica queden registrats en el sistema. Se sap en quin moment i a quina informació has accedit. Els accessos són auditats posteriorment. 
  1. Evita informar a tercers sobre la salut dels teus pacients, tret que aquests ho consentin o tinguis una justificació lícita. 
  1. Quan surtis del despatx, assegura't de tancar la sessió oberta en el teu ordinador. No facilitis a ningú la teva clau i contrasenya; si necessites un accés urgent, contacta amb el departament d'informàtica. 
  1. No enviïs informació amb dades de salut per correu electrònic o per qualsevol xarxa pública o sense fil de comunicació electrònica; si fos imprescindible, no oblidis xifrar les dades. 
  1. No tiris documents amb dades personals a la paperera; destrueix-los tu mateix o segueix el procediment implantat en el teu centre. 
  1. Quan acabis de passar consulta, tanca amb clau els armaris o arxivadors que continguin documentació clínica. 
  1. No deixis les històries clíniques a la vista sense supervisió. 
  1. No creïs pel teu compte fitxers amb dades personals de pacients; consulta-ho sempre abans amb el departament d'informàtica.

 

És per això que és molt important recordar que s'ha de fer un bon ús de la història clínica i accedir, únicament, a aquella informació necessària per dur a terme l'exercici de les funcions laborables.