La constitución política de Colombia establece en su artículo 15 que: «la intimidad personal es un derecho fundamental y que los datos privados son inviolables, así entonces se entenderá que toda institución que ejerce actividades relacionadas con la salud garantizará este derecho a cada uno de sus pacientes e implementará procedimientos adecuados para que se mantenga la confidencialidad requerida».
De hecho, la Ley de Protección de Datos Personales permite que todo tipo de organización pueda identificar sus propias brechas y decidir las acciones a tomar, acciones que quedarán plasmadas en políticas, protocolos y procedimientos que en adelante servirán de guía para el efectivo manejo y custodia de la información recopilada.
En general las instituciones de salud que buscan cumplir con ese derecho a la intimidad y confidencialidad de los pacientes se enfocan en los siguientes cuatro aspectos:
Infraestructura física: Es absolutamente indispensable lograr que la relación paciente institución sea ser totalmente privada, para lograrlo deben construirse cabinas de atención que le permitan al paciente revelar su información con toda tranquilidad sin que personas diferentes a su interlocutor puedan oír, ver o intervenir en la actividad realizada. Por lo expuesto es muy común que las instituciones cuenten con consultorios, cuartos de valoración y salas de exámenes y pruebas diagnósticas totalmente privadas, sin embargo, para la mayoría de los procesos masivos tales como registro de ingreso de pacientes, servicio de asignación de citas y procesos de solicitud de información general las instituciones no asignan suficiente presupuesto permitiendo con esto que datos personales tengan que ser revelados en público bajo la presencia del resto de pacientes.
Por otra parte, es necesario garantizar que existan sitios seguros para el almacenamiento de la información digital y los registros médicos, requiriendo cuartos, racks y gabinetes cerrados optimizados para proteger equipos y sistemas en su interior, que cuenten con circulación de aire climatizado, que estén ubicados en instalaciones antisísmicas, anti-fuego y anti-inundación, recordando con esto que la información de la institución siempre será el corazón de los servicios que presta.
Seguridad Informática: Todos los procesos de registro, almacenamiento, actualización y consulta de datos deben ser seguros, segmentados según su funcionalidad y accesibles mediante procedimientos realizados por los encargados de captura, por los médicos tratantes o por las entidades externas que estén autorizadas. Además, la copia, modificación o eliminación debe cumplir con un protocolo estricto de exija autorizaciones de diferente nivel. Un ejemplo común de fallos en este aspecto consiste en registrar y actualizar la historia clínica en una ficha que habitualmente se cuelga al respaldo de la cama del paciente, al suceder eso no solo los médicos tienen acceso a la ficha sino otros pacientes o inclusive visitantes quienes al pasar junto a tal cama pueden tanto leer la ficha como adulterarla. Lo anterior ha ido cambiando rápidamente con la introducción de tabletas con pantalla digital cuyo acceso se logra mediante la huella digital de los médicos tratantes o de las enfermeras encargadas del paciente, en ellas se puede leer o registrar el padecimiento, los tratamientos, las medicinas asignadas y la programación de actividades dentro de la institución, todo con un mejor control, una mayor seguridad, una logística óptima y total confidencialidad.
A las anteriores necesidades se le deben sumar la de implementar sistemas de almacenamiento de datos con respaldo y de contar con métodos ágiles de recuperación de la información, así se podrá enfrentar cualquier desperfecto, falla técnica o error humano, compensando la pérdida de los datos y permitiendo su restablecimiento en cualquier instante.
Seguridad presencial: El ingreso a zonas de archivo físico debe ser restringido con vigilancia 24/7, además se debe contar con personal que prohíba el uso de material de grabación dentro de las instalaciones o el ingreso de este tipo de equipos por parte de los funcionarios o contratistas de la institución que tienen acceso a pantallas de información o a registros físicos de los pacientes.
Capacitación: Es claro que en la mayoría de los procesos de un paciente hay intervención humana, por tanto todo el personal involucrado deberá conocer los aspectos básicos y los principios de la protección de datos personales, entendiendo qué desafíos y qué obligaciones establece la Ley 1581, permitiendo también administrar correctamente los datos que son recopilados, sabiendo identificar y prevenir riesgos asociados al tratamiento, y conociendo el protocolo y conducto a seguir para los casos en que se presente algún incidente que afecte la confidencialidad.
Gestión administrativa y de control: Los sistemas de protección de datos personales exitosos siempre cuentan con procedimientos de seguimiento y control los cuales son la herramienta más eficaz para garantizar que todos los procesos involucrados trabajen conforme su diseño y planeación y que, al final se pueda cumplir con los objetivos de privacidad trazados por la organización. Desafortunadamente este es un aspecto en el que las instituciones menos invierten, y es por ello una y otra vez aparecen brechas las cuales solo se resuelven hasta que se produce una incidencia, una afectación a un paciente o una multa proveniente de una auditoría de la SIC. Las evaluaciones, la medición de resultados y la actualización de los sistemas deben convertirse en la prioridad para la administración de la institución de salud, de esa manera se podrá asegurar que se cumple con el principio de responsabilidad y con las obligaciones de la Ley 1581 de 2012 y sus decretos reglamentarios.
Descubre más desde Blog de Privacidad, Seguridad y Compliance
Suscríbete y recibe las últimas entradas en tu correo electrónico.
