Hace unos días tropecé con una cuenta de Twitter en la que se planteaban dos preguntas sobre el soporte técnico informático en al ámbito sanitario, que me parecieron muy interesantes:
- ¿Pueden/deben entrar en las historias clínicas [electrónicas] profesionales no sanitarios?
- ¿Por qué hay que dar el nombre de un paciente a una empresa externa para que entre en la historia (HCE) y confirme una incidencia?
La verdad es que me quedé con ganas de responder, pero 140 caracteres se me quedaban cortos, así que decidí reflexionar un poco más sobre la cuestión y ver qué sustento legal existe sobre este tema.
Para responder a la primera cuestión nos tenemos que adentrar un poco en las dos normas básicas que regulan estos aspectos, además de toda la regulación autonómica existente. Éstas normas básicas y comunes para todo el sistema sanitario español son las siguientes:
En la primera ley, en su Artículo 16, apartado 4 expone: “El personal de administración y gestión de los centros sanitarios sólo puede acceder a los datos de la historia clínica relacionados con sus propias funciones.” Entiendo entonces que, según esto, el servicio de informática de un servicio de salud/centro podría acceder a los registros informáticos de la historia clínica si fuera imprescindible para realizar su cometido. Por ejemplo, si les abren una incidencia porque al intentar acceder a los datos de un paciente aparece un error y no se muestra nada.
Por otra parte, en muchos casos o bien los servicios de informática han sido contratados con un tercero, o bien se requiere el soporte de un tercero para ayudar a los profesionales del servicio de informática que se enfrentan con un problema. Como veremos un poco más adelante, en esos casos es necesario que un técnico externo acceda al registro problemático de la HCE. Y, para acceder, necesita conocer los datos del registro (es decir, en muchos casos necesita conocer datos del paciente cuyo registro da problemas), y se plantea la cuestión: ¿habría comunicación de datos si el servicio de informática proporciona ese dato (o el acceso) al servicio externo?
La respuesta a esta cuestión la podemos encontrar en la LOPD. En su artículo 12 se da cuenta precisamente del acceso a los datos por cuenta de terceros a ficheros de datos protegidos como el de la HC. Y en su apartado 1 expone que “No se considerará comunicación de datos el acceso de un tercero a los datos cuando dicho acceso sea necesario para la prestación de un servicio al responsable del tratamiento”. Además, en su apartado 2 explica las condiciones para considerar este supuesto.
Entonces, si el responsable del tratamiento del fichero es el Servicio de Informática del Servicio de Salud, y el tercero (la empresa externa) presta un servicio a ese responsable del tratamiento (soporte informático), no habría comunicación de datos; por lo tanto, no sería necesaria ninguna autorización previa del paciente para acceder a ese registro por parte del servicio técnico, con las condiciones de este supuesto.
Es decir, en estas condiciones, un servicio técnico sí puede acceder a los datos que necesite para cumplir con su cometido, atendiendo a lo expuesto en la normativa y sin descuidar los otros aspectos contenidos en las normas reguladoras (como el deber de secreto), evidentemente.
Una vez aclarada esta cuestión, nos quedaría responder ahora a la segunda pregunta, ¿por qué es necesario que accedan? ¿Por qué hay que dar datos del paciente? Aunque para los técnicos la respuesta es evidente, muchas personas tienen esta preocupación, dado lo sensible de la información que nuestras HCE contienen. En la próxima entrada expondré mi punto de vista al respecto.
[…] la entrada anterior reflexionábamos sobre si el personal no sanitario puede acceder a la Historia Clínica, y veíamos que sí, que la legislación permite el acceso a la Historia Clínica a personal no […]