Seminario en Barcelona sobre el uso de datos masivos en Salud

Seminario en Barcelona sobre la privacidad en Internet
La Facultad de Derecho de la Universidad de Barcelona celebra el XI Seminario Internacional sobre la Declaración Universal sobre Bioética y Derechos Humanos de la UNESCO: "Analítica de Datos Masivos y Salud", el día 16 de febrero. En el sector Salud existen numerosas fuentes de datos de diversa índole. Estos proporcionan una gran cantidad de información relacionada con los pacientes, las enfermedades y los centros sanitarios. Esta información, bien analizada, resulta de gran utilidad para los profesionales sanitarios.

Curso dirigido a profesionales sanitarios

El curso va dirigido principalmente a profesionales de la Salud que deseen conocer cómo gestionar de manera eficiente el big data en el ámbito sanitario. Se pueden obtener datos sobre salud de historias clínicas electrónicas, dispositivos de telemedicina, pruebas clínicas, etc. Asimismo, aportan un valor añadido los datos epidemiológicos, los nutricionales y los genómicos, más relacionados con lo que se conoce como Real World Data (RWD) y con la medicina personalizada. Analizar esa información puede ser muy útil para tomar decisiones tanto a los médicos como a los gestores de los centros sanitarios, lo que repercute en un mejor servicio de salud para los pacientes. La aplicación de las llamadas técnicas de Big Data permite inferir una capa de inteligencia. En la que resulta de gran importancia la aplicación de modelos predictivos que permitan anticiparse a las necesidades sanitarias y que ofrezcan una atención médica más eficaz.

Objetivos de la formación

Con esta formación se pretende dar a conocer las ventajas de una adecuada gestión de los datos masivos de Salud. La analítica de datos masivos aplicada a la investigación pretende explotar conjuntos de datos (incluyendo datos personales) para establecer correlaciones y tendencias que mejoren la toma de decisiones. Este seminario interdisciplinar examina prácticas de investigación e innovación sobre Big Data relacionadas con la salud, centrándose en sus aspectos éticos, legales y sociales. Particularmente, se analizan aspectos vinculados a la integridad científica y a la privacidad.

Ventajas del Big Data en Salud

Recordemos que un dato estructurado es un dato que puede ser almacenado, consultado, analizado y manipulado por máquinas, normalmente, en modo tabla de datos. Un dato no estructurado es todo lo contrario. Datos estructurados, son los datos clásicos de los pacientes (nombre, edad, sexo…) y datos no estructurados son las recetas de papel, los registros médicos, las notas manuscritas de médicos y enfermeras, las grabaciones de voz, las radiografías, escáneres, resonancias magnéticas, TAC y otras imágenes médicas. Existen seis vías mediante las cuales el big data puede cambiar la atención sanitaria, apoyo a la investigación:
  1. Transformación de datos en información.
  2. Apoyo al autocuidado de las personas.
  3. Apoyo a los proveedores de cuidados médicos.
  4. Aumento del conocimiento y concienciación del estado de salud.
  5. Agrupamiento de los datos  para expandir el ecosistema.

Contenido del seminario

  • Big Data en Salud y Bioética
  • Big Data en genómica humana: Retos y riesgos
  • Minería de datos preservando privacidad
  • Seguridad alimentaria en una economía global basada en los datos
  • Análisis de datos de salud como retorno de inversión para el cuidado de los pacientes: Retos para un hospital universitario
  • Compartir los datos de una investigación de forma abierta y ética
  • Big Data y medicina de precisión
  • Directrices sobre Big Data del Consejo de Europa
  • Integridad científica y Big Data en las universidades de la LERU y a nivel de la Unión Europea
  • Integridad científica y políticas de Big Data en el ámbito universitario

Lugar de celebración e inscripciones

El seminario se celebrará en la Universidad de Barcelona, Facultad de Derecho (Aula Magna), Avinguda Diagonal, 684, 08028 Barcelona, de 9:45 a 17:15 horas. La inscripción puede realizarse a través del siguiente enlace. Si manejas datos de salud debes tener en cuenta que son datos especialmente protegidos por lo que es recomendable contratar un experto en Protección de Datos en Barcelona.

Read more


Protección de Datos por profesionales de la salud

A todos nos preocupa que nuestros datos personales circulen por ahí sin saber muy bien quién tiene acceso a ellos y, si hablamos de datos de salud, aún más. Por este motivo me he puesto en contacto con Laura Rodríguez Gutiérrez, Fisioterapeuta –Nº COL Madrid 8309 y Terapeuta PNI clínica, para que me explique un poco mejor su experiencia como profesional de la salud en este tema de Protección de Datos. Esto es lo que muy amablemente Laura me ha contado.

La Ley de Protección de Datos en el ámbito sanitario

Cada uno de nosotros, en mayor o menor medida, hemos sido usuarios de algún servicio sanitario en cualquiera de sus campos de actuación; desde la sanidad pública a cualquier otro servicio o especialidad clínica en el sector privado; medicina general o especializada, nutrición, podología, fisioterapia, psicología, odontología….

¿Eres un profesional de la salud?

Ahora bien, si preguntara cuántos de nosotros hemos sido informados sobre la Ley de Protección de Datos a través de un documento de Consentimiento Informado para su gestión, creo que nos sorprenderíamos al averiguar que muchos usuarios de los servicios sanitarios ni siquiera son conscientes de este derecho amparado por ley.

¿Qué es la Protección de Datos?

La Protección de Datos es un Derecho Fundamental desarrollado a partir del artículo 18.4 de la Constitución Española. Este derecho se refiere a la facultad de disposición y control sobre los datos personales que autoriza a las personas físicas para consentir el conocimiento y tratamiento de sus datos por terceros. De esta forma es la persona física la única facultada para disponer lo que se puede hacer con sus datos de carácter personal.

guia-proteccion-datos-sanidad

Descargar Guía Protección de Datos Sanidad

Datos de salud: protección especial

En nuestro país la legislación vigente es la Ley General de Sanidad de 25 de abril de 1986 y la Ley 41/ 2002, de 14 de noviembre, básica reguladora de la Autonomía del Paciente y de derechos y obligaciones en materia de información y documentación clínica. A ello debemos añadir las normativas autonómicas.

La regulación en materia de protección de datos de carácter personal se constituye por la Ley Orgánica 15/1999, de 13 de diciembre.

Esta ley orgánica nace por la necesidad de proteger y gestionar con un carácter riguroso, datos tan sensibles como los que conciernen a nuestro estado de salud física y mental, así como datos personales como domicilio, DNI e incluso en ocasiones, datos fiscales.

Obligaciones del personal sanitario

Por ello, el personal sanitario, está obligado por ley a ofrecer a todos sus pacientes un Consentimiento Informado en el que se aclara en qué consiste esta ley y cómo se gestionaran todos los datos que se manejen en su consulta, así como el derecho que tiene el usuario a darlos de baja cuando lo desee.

Entre los datos que se gestionan desde esta Ley, están como hemos indicado, los de “Carácter personal” (cualquier información que identifique o haga posible identificar a una persona física) y los “Datos de Salud”. Estos últimos son más ambiguos ya que no están definidos por ley pero si se ha llegado a un consenso enmarcando en esta categoría cualquier información sobre la salud actual y pasada, informes médicos y hábitos (alcoholismo, drogadicción, conductas sexuales, aspectos psico-patológicos) que el paciente perciba como de carácter “sensible e intimo”

Entre los datos que se gestionan desde esta Ley, están como hemos indicado, los de “Carácter personal” (cualquier información que identifique o haga posible identificar a una persona física) y los “Datos de Salud”.

Esta ley se aplica a todos los profesionales sanitarios, sea cual sea su disciplina, al igual que el secreto profesional que estaría muy vinculado a este tema. También están obligadas a su cumplimiento, instituciones, clínicas y hospitales que generen historiales clínicos.

Requisitos de la Protección de Datos de salud

Los profesionales para poder cumplir con esta Ley deben de aplicarla con unos principios determinados:

  • Principio de Calidad de datos: donde sólo se recoja aquella información necesaria y relativa a la consulta actual
  • Principio de Información y Consentimiento: por el que el paciente ha de ser informado de la existencia de esta ley y de sus derechos al respecto así de cómo se gestionara la información recogida en la consulta. Esta información ha de ser registrada en unos ficheros que a su vez han de ser dados de alta en la Agencia Española de Protección de Datos.
  • Principio de Seguridad: no todos los datos, son igual de sensibles en su recogida. Hay datos que requieren más atención que otros, como pueden ser datos de información fiscal o de carácter personal al que el paciente le de especial importancia. Para ello hay 3 niveles de gestión; alto, medio y básico.
  • Principio de confidencialidad: el profesional está obligado al secreto profesional sobre cualquier dato recogido en consulta.
  • Principio de comunicación de datos: si se requiere que la información registrada sea compartida por circunstancias muy específicas, el usuario ha de ser informado y firmar un consentimiento al respecto.

El incumplimiento de lo que hasta ahora ha sido mencionado sería sancionable.

Así bien, a partir de ahora como usuario espero que sepa un poco más sobre este derecho del que dispone por Ley y de gran importancia para gestionar información tan sensible como la que atañe a nuestra salud y datos personales. Debe exigirlo en cualquier servicio sanitario al que asista, público y/o privado.

También confío, que otros compañeros sanitarios, que realizan sus servicios y cumplen con este deber, estén de acuerdo conmigo que en la práctica diaria manejamos mucha información sensible de pacientes para los que somos unos totales desconocidos y confían en nosotros compartiendo su intimidad. Qué menos que hacerles este proceso mucho más fácil mostrándoles que todo lo que compartan con nosotros será respetado y tratado como la “Ley Ordena”.

Cesión de datos de salud

Al igual que en casi todos los sectores, en el campo de la salud también existe la subcontratación. Así, cuando un odontólogo encarga una pieza dental a un protésico, o si un médico pide a un laboratorio un análisis de uno de sus pacientes o manda a éste a hacerse una radiografía.

En estos casos habrá siempre un movimiento de datos necesarios para realizar la actuación encomendada, y según la Ley Orgánica de Protección de Datos (LOPD), habrá que determinar si se trata de datos personales y, si es así, el profesional que recibe el encargo actuará sobre esos datos como responsable del fichero o encargado del tratamiento.

La AEPD establece que el profesional que recibe el encargo de este tipo de trabajos se considera responsable del fichero en el momento en que mantenga contacto directo con el afectado, ya sea facturándole directamente o en el caso de que necesite disponer de información personal del paciente para garantizar una actuación adecuada.

En este caso, la cesión de los datos por parte del primer profesional al segundo, debe legitimarse bien con el consentimiento expreso de los afectados o en una Ley, dado que tratándose de datos de salud resulta aplicable el artículo 7.3 de la LOPD.

Acceso a datos por cuenta de terceros

Por el contrario, si el protésico o analista no tienen ningún tipo de relación con los pacientes, realizan los trabajos por encargo y las facturas emitidas no implican un vínculo personal con el paciente, en estos casos estamos ante una prestación de servicios por cuenta de terceros, es decir, un encargado del tratamiento., detallado en el artículo 3 g) de la LOPD y en el artículo 5.1 i) Reglamento de desarrollo de la LOPD señalando que:

Artículo 3 g) y Artículo 5.1 i) del Reglamento de la LOPD

Encargado del tratamiento es la persona física o jurídica, pública o privada, u órgano administrativo, que solo o conjuntamente con otros, trate datos personales por cuenta del responsable del tratamiento o del responsable del fichero, como consecuencia de la existencia de una relación jurídica que le vincula con el mismo y delimita el ámbito de su actuación para la prestación de un servicio.

En cualquier caso hay que añadir que en ambos casos existe un tratamiento de datos de salud, que requiere implantar medidas de seguridad de nivel alto, medidas que se deberán implantar tanto si se procede como responsable del fichero o como encargado del tratamiento.

Además si se da una relación de encargado del tratamiento, ésta deberá de precisarse por escrito haciendo constar los extremos previstos en el artículo 12 de la LOPD y los de los artículos 20 a 22 del Reglamento.

¿Necesitas cumplir la LOPD?

Read more


10 Preguntas frecuentes sobre protección de datos de salud

sector sanitario nivel de seguridad alto lopd

Ayer fui testigo de un hecho bastante preocupante. Acudí a una consulta médica y mientras estaba siendo atendida por mi médico podía ver varios historiales de otros pacientes que estaban abiertos sobre la mesa con todos los datos visibles. Es decir, si hubiera querido, podía haber recopilado datos de salud de otras personas sin su consentimiento.

Los datos de salud, junto con datos sobre ideología, afiliación sindical, religión, creencias, origen racial, vida sexual y comisión de delitos penales o administrativos, son considerados por la LOPD como "datos especialmente protegidos" por afectar especialmente a la intimidad, los derechos fundamentales y las libertades públicas de las personas y, por tanto, se exige una mayor protección que para el resto de datos personales. Estos datos sólo podrán ser recogidos, tratados y cedidos por razones de interés público, cuando lo establezca expresamente una ley o con el consentimiento previo y manifiesto del interesado.

Preguntas sobre tratamiento de datos de salud

Vamos a responder a las dudas más habituales que nos surgen en relación a la protección de nuestros datos sanitarios.

¿Quién se considera el responsable del fichero "Historia Clínica"?

Se considera responsable de ese fichero al Hospital, Clínica o Profesional de la salud que tiene su consulta privada. Con carácter previo a la recogida de los datos personales se debe crear el fichero e inscribirlo. Si tenemos datos informatizados y datos en papel no necesitamos crear dos ficheros, basta con uno, considerado como fichero mixto y al que se aplicarán las medidas de seguridad correspondientes a cada una de las partes.

Solicitud del correo electrónico y el móvil al paciente

Estos datos pueden solicitarse siempre con el consentimiento expreso e informado del paciente y únicamente para la finalidad relacionada con la asistencia sanitaria.

El uso posterior de los datos de salud sólo puede hacerse para fines históricos, estadísticos o científicos. Los datos personales recogidos no pueden usarse para ofrecer productos para curar una enfermedad o para cursos privados ya que esto se considera una infracción de la LOPD por ser opuesto a esa finalidad de asistencia sanitaria.

¿Eres un profesional de la salud?

Cumplimiento del derecho de información en la recogida y tratamiento de datos sanitarios

En el formulario de admisión se debe informar al paciente sobre la recogida de sus datos, salvo en casos de urgencia, en los que esta información puede facilitarse posteriormente.

El texto que se utiliza normalmente para la información es:

Los datos personales recogidos serán incorporados y tratados en el fichero (indicar nombre), cuya finalidad es (describirla) y podrán ser cedidos a (indicar), además de otras cesiones previstas en la Ley. El órgano responsable del fichero es (indicarlo), y la dirección donde el interesado podrá ejercer los derechos de acceso, rectificación, cancelación y oposición ante el mismo es (indicarla).

Para tratar estos datos necesitamos igualmente el consentimiento del paciente salvo el caso establecido en la LOPD en que por razones de interés general, así lo establezca una Ley.

¿Pueden los hospitales y clínicas contratar a una empresa externa para grabar los datos en el fichero historia clínica o para destruir documentos?

Esto se considera un acceso a datos por cuenta de tercero y para ello se necesita un contrato entre el responsable del fichero y el tercero en el cual se indiquen expresamente las obligaciones de este. El encargado del tratamiento adquiere idénticas obligaciones al responsable del fichero e incurre en las mismas responsabilidades.

ejemplos proteccion de datos

Multa al Hospital Nuestra Señora de la Salud de 18.000 € por tirar a la basura documento con datos de pacientes. PS/00698/2010

Cesión de datos de pacientes

Otras cuestiones importantes sobre la Protección de Datos sanitarios

Aparte de los casos tratados existen otras cuestiones de especial interés en materia de Protección de Datos que afectan a datos de salud.

Debemos tener en cuenta que sólo los profesionales sanitarios o quienes les representen están facultados para recabar estos datos de salud.

Cuando un paciente facilita sus datos a un profesional sanitario para que éste elabore su ficha médica o en caso de ingreso hospitalario, puede exigir al médico que le informe sobre el uso que se va a dar a esos datos. El paciente debe ser informado de modo claro, conciso e inequívoco que sus datos van a ser almacenados en un fichero, de la finalidad para la que se recogen y de los destinatarios de los mismos.

Así mismo, el paciente puede ejercer los derechos de acceso, rectificación, cancelación y oposición, y para poder hacerlo deberá ser informado de la identidad del responsable del tratamiento y de la dirección del mismo.

Ficheros que contienen datos de pacientes con VIH

Actualmente existe un fichero nacional, que depende del Ministerio de Sanidad en el que se registran los datos de los pacientes enfermos de SIDA (Síndrome de Inmunodeficiencia Adquirida). Se trata de una enfermedad de declaración obligada, por lo que los médicos han de advertir de que tienen un paciente enfermo de SIDA, esta información se remite a las delegaciones provinciales, que la trasladan a las autoridades autonómicas, que a su vez realizan las actualizaciones del fichero y lo envían al Ministerio de Sanidad.

Los médicos tienen obligación de avisar al paciente de que existe este fichero, que incluye su nombre y apellidos, dirección, fecha de nacimiento y fecha de defunción.

El propósito de creación de este fichero es el interés general, para llevar un control de esta enfermedad.

Ficheros con datos sobre donaciones

Existe un fichero de donaciones, en el que se almacenan el nombre, apellidos, dirección y resultados de los análisis del donante. La finalidad de hacer este registro es la de terner acceso a los resultados y poder comunicar al paciente la siguiente cita.

El Real Decreto 1854/1993, de 22 de Octubre, por el que se determina con carácter general los requerimientos técnicos y requisitos mínimos de la hemodonación y bancos de sangre, regula en su artículo 29 el control de estos datos.

Los datos se guardarán durante un plazo no superior a 5 años, sin embargo, si se estima que hay posibilidad de contagio de enfermedades infecciosas se mantendrán indefinidamente.

Los datos genéticos y biométricos

¿Necesitas cumplir la LOPD?

Read more


Cesión de datos de médico a clínica

médico LOPDNos llega esta consulta de un lector: Soy un médico que ha estado trabajando por su cuenta con una consulta alquilada dentro de una clínica. Ahora me voy a un espacio propio pero los dueños de la clínica me piden copia de todas las historias médicas de pacientes tratados por mí en el centro para seguir tratando a los clientes que así lo prefieran. Argumentan que ofrecen un tratamiento integral que exige por razones médicas acceder a todos los datos. ¿Es esto legal?

Read more


El peligro de guardar documentos sin control

El peligro de guardar documentos sin control Resulta de capital importancia para el cumplimiento de la Ley de Protección de Datos (LOPD) disponer de una correcta y actualizada política de gestión documental. Y además disponer de ella por escrito de cara a posibles cambios de responsables sobre ese área. Lo contrario puede desembocar en problemas y sanciones como la que veremos a continuación por mantener un fichero con datos de salud de trabajadores, del que el actual Jefe de Personal de la empresa sancionada no tenía conocimiento.

Read more


No envíes datos personales por fax

En nuestro artículo sobre Los riesgos de la ofimática en protección de datos ya avísabamos respecto al fax que: "Cuando se envía una comunicación por fax no tenemos ningún control sobre quién es la o las personas que van a tener acceso a esa información en el momento de su recepción. Su uso no es aconsejable cuando se trate de transmitir datos de carácter personal." Y obviamente tal consejo es más válido aún cuando además tales datos son de nivel alto, como aquellos que se sitúan en el ámbito de la salud. No seguir esta recomendación puede costar una sanción de varios miles de euros por parte de la Agencia Española de Protección de Datos (AEPD) como veremos en el procedimiento sancionador Nº PS/00353/2010.

Read more


Nivel de seguridad en tarjetas de implante

El artículo 33 del Real Decreto 1591/2009, de 16 de octubre, por el que se regulan los productos sanitarios, requiere que determinados implantes se acompañen de una tarjeta de implantación en la que se incluyen varios datos personales. Cuál será el nivel de seguridad a aplicar a estos datos es la cuestión a que se responde en el Informe 0410/2010  (actualización: este informe ha desaparecido de la base de datos de la AEPD) del Gabinete Jurídico de la Agencia Española de Protección de Datos (AEPD).

Read more


Test psicotécnicos y LOPD

Los test psicotécnicos son una de las herramientas de uso habitual en las selecciones de personal. Estos tets conllevan la evaluación psicotécnica de aptitudes, características de personalidad y preferencias profesionales de los sujetos. Teniendo en cuenta que el artículo 5.1 g) del Reglamento de desarrollo de la Ley Orgánica 15/1999, define los datos de salud, como “las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo” no cabe duda que nos encontramos ante datos de salud, a los que habrá que aplicar las correspondientes medidas de seguridad de nivel alto.

Read more