El presente artículo, no trata simplemente del resumen del informe sobre el análisis de la AEPD, por primera vez, del cumplimiento de la protección de datos en el ámbito de la atención sociosanitaria, sino que estructura su contenido e incluye algunas aportaciones, analizadas desde el punto de vista de una profesional sanitaria que trabaja día a día con esta información.

En primer lugar, se intenta establecer la tipología de centros que han sido auditados, partiendo del concepto de atención sociosanitaria:

–          Aquella que viene a coordinar la asistencia sanitaria y social, centrándose en colectivos especialmente vulnerables como, entre otros, la tercera edad, enfermos crónicos, personas con alguna discapacidad física, psíquica o sensorial, y en riesgo de exclusión social. Los cuidados sociosanitarios implican una atención integral e interdisciplinar que debe ser dirigida a los colectivos de personas en los que se identifique una necesidad simultánea de cuidados sanitarios y sociales.

–          El diseño de la atención sociosanitaria la previa identificación de los perfiles de las personas destinatarias de los servicios. En el espacio sociosanitario se encuentran típicamente servicios como:   
• atención sanitaria a la convalecencia después de un tratamiento agudo de una enfermedad, y cuidados paliativos,

• rehabilitación (fisioterapia y terapia ocupacional) de pacientes con déficit funcional

• cuidados a personas mayores con alguna enfermedad, dependencia o riesgo social,

• atención de enfermedades mentales o neurológicas avanzadas,

• cuidados sanitarios de larga duración, tanto en el nivel primario como en el especializado, con supervisión médica y de enfermería continuada.

Estos servicios se prestan fundamentalmente en:

• hospitales de media estancia especializados en rehabilitación y/o en pacientes geriátricos,

• centros o complejos asistenciales para pacientes con afecciones psíquicas,

• residencias geriátricas, especialmente en aquellas especializadas en psicogeriatría o enfermedades tales como el Alzheimer.

Una vez establecidos cuales son estas entidades objeto del informe, con carácter público, aparece la primera referencia en materia de protección de datos al incluir los centros privados y establecer que “en la gestión indirecta la Administración Pública será generalmente la responsable de los tratamientos, rigiéndose la relación por un contrato u otro acto jurídico con arreglo al Derecho de la Unión o de los Estados miembros que vincule al encargado con el responsable, que fije el objeto y la duración del tratamiento, la naturaleza y fines del tratamiento, el tipo de datos personales y las categorías de interesados, entre otros aspectos.”

Después de explicar el desarrollo del plan llevado a cabo, comienzan con el análisis en materia de protección de datos propiamente dicho, enumerando las distintas tipologías de datos que se tratan en los centros auditados:

o   Datos básicos personales y datos bancarios.

o   Datos sanitarios, incluyendo Historia Clínica, diagnósticos, tratamientos, analíticas, escalas de valoración, pruebas diagnósticas y evolución clínica, prescripción médico-farmacéutica, etc.

o   Historia Social: informes sociales, información sociofamiliar y del entorno, situación económica personal, redes de apoyo (familiar, vecinal, profesionales públicos, instituciones), programas de intervención social.

o   Informes psicopedagógicos.

o   Datos de evaluación de autonomía, diagnósticos, pruebas utilizadas, inventario de habilidades, escalas de valoración, programas de intervención terapéutica.

o   Registro de incidencias (caídas, acontecimientos diarios que sean de especial relevancia, alteraciones conductuales, etc.) ocurridos durante la prestación del servicio.

o   Contrato de convivencia firmado por la persona usuaria o su representante legal y por el Centro.

o   Plan de Atención Personalizada/Individualizada (PAP/PAI) de la persona usuaria.

o   Datos de familiares de contacto o personas responsables del usuario.

La primera recomendación, analizados los datos que se tratan en este ámbito y su especialidad, es que se deberán seguir garantías específicas, estableciendo las medidas adecuadas para proteger los derechos de los usuarios y, en concreto, que los tratamientos sean realizados por profesionales sujetos al secreto profesional, o bajo su responsabilidad. Además, se hace alusión al principio de minimización de datos, debiendo ser estos adecuados, pertinentes y limitados al objetivo perseguido.

Las siguientes recomendaciones, podemos establecerlas, entorno a la deficiencia examinada y el riesgo que conllevan, para mayor claridad en la exposición:

HISTORIA SOCIOSANITARIA Y DOCUMENTACIÓN

–          Deficiencia: Se siguen utilizando expedientes en papel o historias sociosanitarias en papel, almacenando documentos anexos como informes aportados por la familia, solicitudes de ingreso, etc. Por ello las historias se encuentran troceadas y cada parte dispersa por distintos departamentos.

–          Riesgo: respecto a la integridad de la documentación, al hacerse más difícil su actualización o incluso que la información sufra alguna modificación que no se realice en el resto de las ubicaciones. Igualmente supone un problema de disponibilidad de la información a la hora de localizar documentos: no saber que existe un determinado informe médico y por tanto no tenerlo en consideración.

–          Solución propuesta: la digitalización total de la historia sociosanitaria del centro, con accesos según las necesidades de los diferentes profesionales.

En tanto, no se mantenga toda la historia sociosanitaria digitalizada, se deberá instaurar un procedimiento de gestión de la documentación en papel que incluya el registro de los accesos, de tal forma que pueda saberse qué documentos son accedidos o prestados y por quién. El procedimiento contemplará la adopción de sistemas de almacenamiento seguro, con cerraduras, y controles efectivos de acceso a las salas con documentación sociosanitaria.

En este punto es importante destacar la existencia de un “matiz práctico” por el cual, resulta incompatible con el ritmo de trabajo sanitario y mientras la historia se presente en formato papel, el hecho de que cada profesional vinculado a la historia clínica en el ejercicio de sus funciones, tenga que registrar su entrada al mismo, informando de la parte de historial consultado y en qué momento se produce dicha consulta. El criterio clínico surge, en muchas ocasiones, por la consulta de distintos apartados de la historia clínica, en distintos momentos de la atención prestada, teniendo en cuenta la perspectiva holística que se ha de poner en práctica por parte de los profesionales sanitarios, con el fin de poder dar solución a todas las necesidades detectadas en la persona a tratar.

Igualmente es recomendable la instauración de una política de mesas limpias y debe existir un procedimiento de destrucción segura de documentación.

COMPARTICIÓN DE DATOS ENTRE DISTINTOS PROFESIONALES. PERFILES DE ACCESO A LOS DATOS

1.       Deficiencia:  En los centros sociosanitarios prestan servicios diferentes perfiles de profesionales asistenciales: médicos, enfermeras, fisioterapeutas, terapeutas ocupacionales, psicólogos, psicopedagogos, personal asistencial no diplomado (auxiliares), así como otro personal gestor o de apoyo e, incluso, orientadores espirituales (en los centros religiosos). Todos ellos se coordinan intentando atender al paciente de forma integral y personalizada.

Normalmente cada tipo de profesional cumplimenta un formulario o informe específico de forma autónoma al resto de profesionales. En algunos centros cada profesional puede decidir qué datos son volcados para ser compartidos con el resto de los profesionales. Sin embargo, en otros centros todos los datos son compartidos por todos los profesionales, o el propio Sistema de Información decide qué datos se comparte, siendo normalmente los accesos configurados muy amplios.

2.       Riesgo: Si bien es habitual encontrar perfiles de acceso al Sistema de Información diferenciados para cada grupo profesional, la compartición de datos es general y muy amplia, evidenciándose una aplicación insuficiente de medidas técnicas y organizativas que integren las garantías de protección de datos desde el diseño y por defecto, tendiéndose a otorgar a todos los profesionales privilegios de acceso a los datos muy amplios para evitar problemas puntuales de acceso a la información de los pacientes que se necesita para prestarles la debida atención sociosanitaria.

También, en los centros en los que se encuentran perfiles de acceso diferenciados para los distintos profesionales, las diferencias tienden a limitarse a unas pocas categorías de datos, compartiéndose de forma general toda o prácticamente toda la información de los pacientes. Se ha detectado la utilización de usuarios genéricos en ocasiones, como por ejemplo un usuario genérico compartido por varias personas que atienden en el comedor, al objeto de poder consultar los datos relacionados con las necesidades específicas de un paciente en el comedor (incluidas alergias, disfagias, etc.), o un usuario genérico compartido por varios empleados, en puestos de visualización de imágenes de videovigilancia.

3.       Solución propuesta: De todo lo expuesto, se evidencia la imposibilidad de prestar los servicios sociosanitarios sin compartir determinada información, que comprende categorías especiales de datos personales. Por ello, deben establecerse garantías suficientes:

o   Debe realizarse un esfuerzo para la creación de perfiles de acceso más restrictivos y diferenciados para cada tipo de profesional, atendiendo a sus necesidades de información para el desarrollo correcto de su labor.

o   Los perfiles deben elaborarse considerando la privacidad desde el diseño y por defecto, estructurando la información de tal forma que permita definir distintos accesos y otorgando inicialmente los privilegios de acceso mínimos necesarios para prestar la atención sociosanitaria, depurando posteriormente y puntualmente otras necesidades en base a las nuevas necesidades que se presenten.

o   Se deben estudiar minuciosamente las categorías de datos y los datos específicos que deben compartirse entre unos grupos profesionales y otros, permitiendo acceder solamente a la información necesaria, evitando compartir datos innecesarios para cada tipo de profesional que interviene en la atención al paciente, e impidiendo en todo caso la compartición indiscriminada de todos los datos.

En este punto ha de ser tenido en cuenta el hecho de que, dentro del equipo multidisciplinar, cada profesional tiene unos objetivos específicos con respecto al cuidado de la persona a tratar, influyendo en ellos las características del centro y del nivel asistencial en el que se desarrolle la actividad. De forma general, suele existir lo que se denomina núcleo mínimo del equipo, que estará configurado por el/la médico y el/la enfermero. Para estos profesionales el acceso debería de ser completo e idéntico. El resto de los profesionales, como el trabajador social, los/las auxiliares de enfermería, los/las fisioterapeutas o los/las terapeutas en general, serán colaboradores más o menos habituales, y para cada uno de ellos se establecerá un acceso determinado.

o   La utilización de usuarios genéricos compartidos por varias personas para el acceso a los datos personales no debería permitirse, ya que impide la trazabilidad de los accesos, diluyéndose las responsabilidades. Esta práctica aumenta los riesgos relacionados con accesos no autorizados y con incumplimientos del deber de confidencialidad.

INFORMACIÓN OFRECIDA AL USUARIO

• Deficiencias y riesgos: Se han encontrado solicitudes de ingreso y otros documentos de recogida de datos, como hojas de quejas, que no incluyen cláusulas informativas, o que se encuentran incompletas o desactualizadas con respecto a la nueva normativa.

Además, se ha encontrado como práctica habitual, en la mayoría de los centros, la entrega de información detallada en el momento del ingreso, que se ofrece para su lectura y firma por parte del usuario o familiar con objeto de poder acreditar la información facilitada. Generalmente los pacientes de este tipo de centros, bien por su avanzada edad o por su dolencia, ingresan directamente a planta, siendo un familiar o el acompañante el que realiza los trámites en el departamento de admisión del centro, y al que es facilitada la información sobre la protección de los datos personales. Por otro lado, esta información se refiere y es específica para el usuario. No obstante, al familiar o tutor no se le suele informar sobre los tratamientos que se realizan sobre sus propios datos, que también se recaban.

También se han encontrado casos en los que se especifica como base jurídica el consentimiento del usuario, cuando existe un contrato que regula la relación entre el usuario y el centro.