COMENTARIO

Acceso no autorizado al expediente clínico

Dr. Mauricio Sarmiento

Conflictos de interés

23 de junio de 2022

En el ordenamiento jurídico mexicano se establece que los expedientes clínicos son propiedad de la institución o del prestador de servicios médicos que los genere (numeral 5.4 de la NOM-004-SSA3-2012), pero los pacientes son titulares de los datos contenidos en ellos. Esta diferencia entre la propiedad del expediente y los datos contenidos en el mismo es un tema controversial que se encuentra en discusión. Si alguien tiene interés en leer más del tema les recomiendo el libro Regulación jurídica del expediente clínico electrónico, de Mariana Mureddu, doctora en derecho. En esta columna no se aborda esa discusión y partiremos, como mencioné, de lo que establecen nuestras leyes con relación al expediente clínico.

Uno de los deberes que tiene toda institución de salud o personal de salud con relación a los expedientes clínicos es el de confidencialidad, que se traduce en el derecho a la privacidad de los pacientes. En el artículo 16 de la Constitución Federal se establece que toda persona tiene derecho a la protección de sus datos personales. La reforma constitucional que incluyó este derecho es de 2009 y a partir de ese año se generó una verdadera revolución relacionada con el acceso y resguardo de los datos personales, por lo que es un tema relativamente reciente que aún no ha logrado una adecuada difusión entre el personal de salud.

Por tanto, que la institución de salud o el personal médico sea propietario del expediente no quiere decir que pueda hacer lo que desee con dicha información: tiene el deber de resguardarlo, otorgar una copia al paciente en caso de solicitarlo y por supuesto, no puede difundir o hacer pública sin autorización ninguna información contenida en el mismo, esto independientemente de que se pueda identificar o no al paciente.

Desde este momento tenemos que precisar que los datos del expediente incluyen aquellos considerados sensibles de acuerdo con la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, que en su artículo 3 fracción VI establece que “son sensibles aquellos que afectan la esfera más íntima de su titular o cuya utilización indebida puede dar origen a discriminación o conlleve un riesgo grave para este”.

Algunos datos que se consideran sensibles son los relacionados a salud presente y futura, origen racial o étnico, información genética, creencias religiosas y preferencia sexual. Como podemos ver, un expediente clínico e incluso una historia clínica, contienen múltiples datos sensibles que deben ser resguardados.

El hecho de que los datos contenidos en el expediente clínico sean sensibles tiene muchas consecuencias, entre las cuales se encuentra, por ejemplo, que las penas relacionadas con delitos en materia del tratamiento indebido de datos personales se duplican con respecto al resto de los datos personales.

¿Quién puede tener acceso a dicho expediente?

El acceso al expediente clínico tiene que ser limitado para cuidar la intimidad del paciente y, de manera ideal, en el aviso de privacidad de la institución de salud se debe establecer quiénes y con qué fines pueden acceder al expediente clínico. En un ambiente clínico esto es difícil, ya que en la actualidad la atención médica se otorga en equipos y en cualquier momento es complicado definir quiénes serán la totalidad de los integrantes del equipo, por lo que se debe aclarar al paciente este hecho. En principio solo se autoriza el acceso al equipo médico, pero no a todo trabajador del hospital.

Con la introducción del expediente clínico electrónico y el uso de claves de acceso y contraseñas muchas veces es posible saber quiénes ingresan al sistema para ver un expediente clínico en particular. Esto hace que sea más sencillo detectar un acceso no autorizado.

En la legislación mexicana no está claro quiénes son los autorizados para acceder a un expediente, por lo que existe una zona gris. Desde mi perspectiva, puede ingresar al expediente cualquier persona que forma parte del equipo médico autorizado por el paciente para brindarle la atención de salud. El resto del personal de salud y terceros que no participan en la atención no debería acceder a dicho expediente.

Un caso que puede servir como ejemplo es el ocurrido en 2015 en España, en donde se interpuso una denuncia en contra de un médico que utilizando su número de cuenta y contraseña ingresó hasta en 25 ocasiones al expediente clínico de cinco compañeros sin que tuviera una relación médico-asistencial con ellos. En estos casos, a pesar de que no se hagan públicos dichos datos, la persona que ingresa a ese expediente sin autorización está vulnerando el derecho a la privacidad de los pacientes.

Casos similares se pueden presentar cuando es hospitalizada una figura pública o personaje famoso o reconocido. Alguien con clave de acceso al expediente puede verse tentado a ingresar al expediente sin que sea parte del equipo médico que lo está tratando. El problema es que muchas veces los expedientes clínicos conservan huellas de quiénes (con fecha y hora) ingresaron a dicho expediente y en caso de que exista una queja o demanda puede que se encuentre como responsables a las personas que entraron al expediente sin tener autorización.

Tener un nombre de usuario y una contraseña a un expediente electrónico es una gran responsabilidad y es información de uso personal que jamás debe ser compartida. El personal de salud solo puede ingresar a aquellos expedientes para los que tiene autorización expresa. Si se ingresa a un expediente con el que no tengamos una relación asistencial activa puede acarrear una responsabilidad. Recordemos que no es necesario publicar la información; con el solo hecho de ingresar al expediente ya se está violando la privacidad del paciente.

Los casos relacionados con el acceso no autorizado al expediente clínico en México son extremadamente raros, aun así, debemos tener cuidado con nuestras claves de acceso a los expedientes clínicos y no ingresar a expedientes a los que no estemos autorizados o no formemos parte del equipo médico que está tratando a dicho paciente. El hecho de que en la actualidad estos casos sean poco comunes no quiere decir que en el futuro será igual.

Por último les comento otro caso: un trabajador administrativo ingresa con la clave de una médica al expediente clínico de otra trabajadora de la salud. En dicho expediente se entera de diversas cirugías estéticas de la trabajadora y lo hace público dentro del personal del hospital. En ese caso se aprecian varias conductas preocupantes. Por supuesto, el uso de una clave y contraseña de otra persona, pero también, por una parte, el acceso no autorizado al expediente clínico y la difusión no autorizada de la información.

Acceso no autorizado al expediente clínico frente a difusión no autorizada de información personal del paciente

Estos dos supuestos son diferentes, pero muchas veces se presentan juntos. Simplemente con ingresar sin autorización ya se viola el derecho a la privacidad del paciente. Si además de esto se difunde, creamos un segundo ilícito, el cual es aún más grave. Menciono lo anterior porque muchas veces en redes sociales observo a personal de salud compartiendo imágenes clínicas o estudios de laboratorio o imagen y me pregunto cómo obtuvieron esas imágenes o estudios. Recordemos que no solo se trata de no difundir la información personal de los pacientes, sino también de no ingresar a los expedientes sin autorización e ingresar para los motivos que marca el aviso de privacidad.

No basta con cubrir la información del paciente al difundirla; la violación a la privacidad inicia con el acceso al expediente sin autorización para ese fin. No porque un paciente autorice para ingresar a sus datos para fines de tratamiento hay derecho a difundir anónimamente parte de esa información.

Como conclusión, debemos diferenciar entre acceso no autorizado al expediente clínico de difusión no autorizada de datos personales del paciente. Las dos conductas pueden presentarse juntas, pero no hace falta una para que se presente la otra. Algo que debemos aprender es que si queremos utilizar la información de un paciente para fines académicos, de investigación o divulgación médica en general, es necesario obtener la autorización del paciente. Generalmente si explicamos al paciente, este acepta; en caso de que no acepte nos ahorramos un problema que podría ser, cuando menos, desgastante.

El Dr. Mauricio Sarmiento estudió medicina e hizo residencia en anatomía patológica, medicina interna y hematología clínica. Posteriormente cursó la carrera de Derecho en la Facultad de Derecho de Ciudad Universitaria. Actualmente tiene un despacho jurídico en donde, entre otras cosas, da asesoría a médicos en temas de responsabilidad civil, trámites administrativos y las implicaciones jurídicas de la práctica médica.

Para más contenido siga a Medscape en Facebook, Twitter, Instagram y YouTube.

Contenido relacionado

Comentario

3090D553-9492-4563-8681-AD288FA52ACE
Los comentarios están sujetos a moderación. Por favor, consulte los Términos de Uso del foro

procesando....