Resolución del Defensor del Pueblo Andaluz formulada en la queja 16/6436 dirigida a Consejería de Salud, Servicio Andaluz de Salud, Dirección General de Asistencia Sanitaria y Resultados en Salud del Servicio Andaluz de Salud
El Defensor del Pueblo Andaluz formula Resolución ante la Administración sanitaria recomendando que se inicie una investigación detallada que permita conocer los fallos de seguridad en el mecanismo de protección de datos personales del centro hospitalario implicado, y se proceda a corregir los mismos con el objeto de que infracciones sobre esta materia no vuelvan a producirse.
ANTECEDENTES
La interesada manifiesta que por dos veces se ha visto obligada a reclamar ante ese organismo la revisión y borrado de datos que aparecían reflejados en su historia clínica que no se correspondían con la realidad. A la fecha de su comparecencia en esta Institución se había atendido su primera solicitud de cancelación, motivándose su queja en la falta de respuesta en cuanto a la segunda.
En este sentido nos envía copia de la solicitud remitida a esa Dirección General en noviembre de 2014, poniendo en su conocimiento el error detectado en su historial clínico consultado a través del operativo Clic Salud, el cual consistía en el reflejo en el mismo de un episodio asistencial que no le correspondía, en concreto un proceso de hospitalización en el hospital civil de Málaga fechado el 28.8.2009.
Pues bien, la propia interesada nos dice que dicho error se corrigió, pero tiempo después volvió a consultar su historial por el mismo procedimiento, y detectó un nuevo episodio asistencial que le resultaba totalmente ajeno, en este caso una atención de urgencias en el mismo centro hospitalario que la anterior, por causa de vómitos.
Reclamó su corrección el 5.9.2016 instando al mismo tiempo que se investigara la causa por la que sus datos se mezclaban con los de otro paciente, pero cuando formuló su queja ni le habían contestado ni se había corregido la situación.
Pues bien, tras admitir la queja a trámite y solicitar el informe previsto en el art. 18.1 de nuestra Ley reguladora a esa Dirección General, recibimos un escrito por el que se manifestaba que tras llevar a cabo las averiguaciones oportunas, se sospechó que el registro de los datos erróneamente asignados a la interesada, debía corresponder a otra paciente de nombre muy parecido, por lo que se achacó a esta circunstancia la causa del mismo.
A continuación refería que respecto del episodio de atención urgente en el hospital civil de Málaga, se emitió resolución de cancelación de datos en la historia clínica con fecha 12.4.2017, tras comprobarse la inadecuación de aquel, tras lo cual se ha verificado que sigue existiendo la correspondiente entrada en la estación clínica, pero sin contenido alguno, afirmando que ha desaparecido de la historia de salud única, cuya base de datos es la que alimenta Clic Salud.
Por lo que respecta a la adopción de medidas para evitar la repetición de estas incidencias, se nos dice que el Sistema Sanitario Público de Andalucía articula los mecanismos oportunos para realizar la identificación y verificación inquívocas de las personas en la asistencia sanitaria que pudieran recibir, aunque en los casos en que pudieran ocurrir incidencias del tipo que comentamos, las personas afectadas pueden ejercer su derecho de rectificación y cancelación en la historia de salud, lo cual se ha facilitado delegando en las gerencias de los centros sanitarios la resolución de los procedimientos para el ejercicio de los derechos de acceso, rectificación, cancelación y oposición.
CONSIDERACIONES
La interesada acude a esta Institución ante la preocupación que le suscita la confusión de los datos relacionados con su historia sanitaria, en la medida en que en dos ocasiones han aparecido en la misma episodios que no forman parte de su itinerario asistencial, presumiéndose su pertenencia a la historia clínica de otro/a paciente.
El origen de su inquietud se cifra en el perjuicio que se puede derivar para su salud por la atribución de diagnósticos que no son reales, así como de tratamientos que no ha seguido, y por la aparente falta de corrección del error que motivara inicialmente esta situación, en la medida en que se repitió poco tiempo después (los episodios erróneamente asignados datan ambos del mes de agosto de 2009).
Por su parte, esa Administración sanitaria señala que el error obedeció a la similitud de los nombres de las pacientes implicadas, a pesar de lo cual afirma que cuenta con mecanismos para llevar a cabo una identificación y verificación inequívocas de las personas en relación con la asistencia sanitaria que pudieran recibir.
Ciertamente en este caso, y a diferencia de otros supuestos que se han sometido a la consideración de esta Institución, aún constatándose la confusión que se traduce en la asignación a la interesada en su historia de salud de episodios propios y ajenos, al menos la información asistencial ajena no conlleva los datos identificativos de la paciente a la que realmente corresponde, aunque a nuestro modo de ver hubiera bastado para ello con que la interesada solicitara una copia de su historial.
Pero es que tanto la Ley 15/99, de 13 de diciembre, de protección de datos de carácter personal, como el reglamento que la desarrolla, aprobado por Real Decreto 1720/2007, de 21 de diciembre (el nuevo Reglamento (UE) 2016/679 entra en vigor a partir del 25.5.2018), se dedican a establecer medidas destinadas a proteger las libertades y derechos de las personas físicas en lo que concierne al tratamiento de sus datos personales.
Así, la primera califica los datos relacionados con la salud como especialmente protegidos, existiendo la obligación de adoptar medidas organizativas y técnicas que garanticen su seguridad y eviten su alteración, pérdida, tratamiento o acceso no autorizado. El segundo por su parte los incluye dentro del grupo de ficheros respecto a los que deben aplicarse medidas de seguridad de nivel alto.
Pues bien, del relato de la interesada y el contenido del informe administrativo se deduce que han existido fallos reiterados en las medidas de seguridad aplicadas, que han permitido un tratamiento ilegítimo de los datos personales relativos a la salud de una tercera persona.
Resulta obvio que los mecanismos para la identifficación y verificación de los usuarios no son tan fiables como deberían para que dicha actuación se desarrolle de una forma inequívoca, puesto que basta la mera similitud en los nombres de dos pacientes para que se produzca un error de este calibre.
Y es que a nuestro modo de ver se ha cometido una infracción grave de la normativa de protección de datos, que podría dar lugar a la intervención de la Agencia Española de Protección de Datos, con el inicio de un procedimiento sancionador, y aún cuando a la vista de la titularidad pública del fichero no cabría la imposición de sanciones de carácter pecuniario, si podrían ordenarse medidas para el cese o la corrección de los efectos de la infracción, aparte de proponerse el inicio de actuaciones disciplinarias, si procediere.
Por ello, no podemos coincidir en cuanto a que lo ocurrido es una mera incidencia que se resuelve con su subsanación, sino que resulta exigible una investigación detallada de lo sucedido con revisión de las medidas de seguridad, para poder detectar el origen de las vulneraciones que se han puesto de manifiesto y establecer los mecanismos que realmente impidan que vuelvan a suceder.
Y es que en todo caso no podemos olvidar el riesgo cierto de perjuicio para la salud de la interesada (y puede que para la de la otra paciente también si los episodios que comentamos no se han registrado en su historia) por la asignación de procesos patológicos, o episodios asistenciales que realmente no ha padecido, tratamientos que no ha recibido, etc. Basta reseñar que en el episodio erróneo que se corresponde con un ingreso hospitalario en agosto de 2009, se contemplan diagnósticos y procedimientos asociados tales como: pielonefritis aguda, síndrome respuesta inflamatoria sistémico por infección con disfunción, fallo renal agudo, choque séptico, derrame pleural, colapso pulmón, enfermedad riñón y uréter, artritis reumatoide, abuso tabaco, toracocentesis, TAC abdomen,...
Las consideraciones expuestas nos permiten realizar a esa Dirección General de Asistencia Sanitaria y Resultados en Salud, de acuerdo con lo previsto en el art. 29.1 de la Ley 9/83, de 1 de diciembre, reguladora del Defensor del Pueblo Andaluz, la siguiente
RESOLUCIÓN
RECOMENDACIÓN: Que se inicie una investigación detallada que permita conocer los fallos de seguridad en el mecanismo de protección de datos personales del centro hospitalario implicado, que han producido las incidencias relatadas, y se proceda a corregir los mismos con el objeto de que este tipo de infracciones no vuelvan a producirse.
Ver asunto solucionado o en vías de solución
Jesús Maeztu Gregorio de Tejada Defensor del Pueblo Andaluz
0 Comentarios