Expediente digital estaría vulnerando la privacidad de pacientes con VIH positivo

(CRHoy.com) El Expediente Digital Único en Salud (EDUS) de la Caja Costarricense del Seguro Social (CCSS) estaría vulnerando la privacidad de las personas con VIH positivo o Sida, según un grupo de pacientes y funcionarios que trabajan para dicha institución, quienes prefieren el anonimato por temor a represalias.

De acuerdo con estas personas, es posible conocer quién tiene VIH y quién no, sin ningún filtro o casi nulo. Lo mismo estaría sucediendo con la información de pacientes con Hepatitis C, Hepatitis B o varicela, así como en personas con problemas psiquiátricos.

Incluso narraron que, no siendo ellos los médicos tratantes de dichos pacientes, pueden observar la condición de la persona con tan solo ingresar al expediente, a pesar que existe una prohibición sobre el tema y eso está tutelado en la ley 8968 de Protección de la Persona Frente al Tratamiento de sus Datos Personales.

Por ejemplo, si al paciente con VIH positivo lo atienden en la Clínica de Coronado porque tiene una neumonía o una gripe, el doctor puede ver en el expediente -sin ninguna restricción- que la persona tiene una cita de infectología  y además determinar cuál tratamiento tomó. Con solo esos datos, el médico puede darse cuenta que presenta la condición de VIH positivo, a pesar que esa no fue la consulta por la que el paciente se presentó y el centro médico podría no ser el mismo donde asiste al control de la condición que padece.

"Es decir, todos los médicos pueden ver eso. Con solo introducir el nombre del paciente cualquier médico general puede visualizar dicha información y pueden ver qué le hicieron, excepto en psiquiatría que sí sé que tienen restricción", contó una de las fuentes.

Lo que dice la ley

En la ley 8968  de Protección de los Datos Personales se detalla, en el artículo 9 que, que ninguna persona estará obligada a suministrar datos sensibles. Además, se prohíbe el tratamiento de datos de carácter personal que revelen el origen racial o étnico, opiniones políticas, convicciones religiosas, espirituales o filosóficas, así como los relativos a la salud, la vida y la orientación sexual, entre otros.

Así también en el inciso d de este artículo: d) El tratamiento de los datos resulte necesario para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos, o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos sea realizado por un funcionario o funcionaria del área de la salud, sujeto al secreto profesional o propio de su función, o por otra persona sujeta, asimismo, a una obligación equivalente de secreto.

Inclusive en el artículo 10 la ley señala claramente que se debe tener un correcto manejo de la seguridad de los datos en el que el responsable deberá contener las medidas de índole técnica y de organización necesarias para garantizar dicha seguridad y evitar su alteración, hasta el tratamiento no autorizado.

Adicionalmente a esto, la población con VIH-Sida tiene otra protección especial resguardada en la ley General sobre el VIH-Sida 7771, donde también se habla de la confidencialidad de la información, y se señala que nadie podrá referirse al padecimiento de esta enfermedad sin el previo consentimiento del paciente.

Por último, la creación de la ley del Expediente Digital Único en Salud (N° 9162) donde también señalan sobre este tema y se estipulan estos rubros sobre seguridad y privacidad de la información.

En curso

Por su parte Ana Karen Cortés, directora Nacional Agencia de Protección de Datos de los Habitantes (Prodhab), indicó que han tenido acercamientos con la CCSS al punto de que el doctor Román Macaya, presidente ejecutivo, nombró una comisión con representación de cada una de las gerencias para que atiendan dicha ley.

Adicional a esto, la Prodhab ha aconsejado la inscripción del EDUS ante la Prodhab con el objetivo de que solo determinados especialistas, a partir de perfiles, puedan acceder a los datos de estas personas en condición de vulnerabilidad.

"Ellos (Caja) reconocen que los datos son sensibles por la ley del Edus (N° 9162), y por la ley de protección de datos que así lo reafirma, se está trabajando el tema de la inscripción ante la agencia. Nosotros pedimos una serie de requisitos mínimos; una es política de seguridad, una de gestión de riesgo, una gestión de perfiles de acceso, entre otros", externó Cortés Víquez.

Incluso la directora de la Prodhab recomienda a la población con VIH que si sienten violentados sus derechos interpongan la denuncia formal ante la agencia para que ellos puedan proceder a investigar.

Según Víquez, a grandes rasgos- al ser una comisión que atiende la ley 8968 -lo que busca es la conformación la seguridad de la información y protección de los datos de las personas.

Además reconoció que la Caja se encuentra en la etapa de protocolos de seguridad en los últimos meses; no obstante, "es el camino en el que se encuentra la CCSS y se está trabajando en el tema".

Diferentes posiciones

Ante la consulta de este medio sobre los protocolos técnicos que mantienen en el EDUS en temas de sensibilidad de la información para pacientes con VIH- SIDA, la CCSS se desdice en menos de una semana.

Primero, en una respuesta ofrecida el día 3 de abril- vía correo electrónico- indicaron: "en relación a este tema no hay ningún protocolo trabajado en específico que mencione y aborde el componente técnico y tecnológico o particularmente en EDUS VIH-SIDA, Hepatitis C, Hepatitis B o varicela, o en pacientes con problemas psiquiátricos".

Además, de manera general nombraron una serie de protocolos que -según dijeron- abarcan de forma "general e integral" el manejo de la información en EDUS:

No obstante, no hacen alusión al tema de la ciberseguridad y protección de los datos de la población con VIH- Sida.

Después, por la misma vía, para el lunes 8 de abril, remiten una respuesta institucional por medio del departamento de Comunicación tras la solicitud de entrevista con algún vocero:

"La CCSS cuenta con un Sistema de Gestión de Seguridad en TIC que soporta de forma integral la operación del EDUS, de forma tal que se preserva la confidencialidad, disponibilidad, integridad y no repudio del manejo de la información, dicho sistema se encuentra en constante revisión y evolución; un trabajo que incluye a la Dirección y los usuarios, asimismo,  intervienen los aportantes tanto de la sociedad civil, como de los proveedores de servicios TIC tanto nacionales como sus respectivas casas matrices", justificaron.

A Robert Picado, subgerente de Tecnologías de Información y Comunicaciones de la Caja, se le consultó cuáles funcionarios tienen acceso los expedientes de cada paciente con VIH y la respuesta fue "direccionar al nuevo gerente médico, Mario Ruiz". Según Picado, "no puedo saber de manera operativa cómo es usado, sin embargo constantemente nosotros hacemos mantenimiento".

Pacientes con temor

Integrantes de la Organización Movimiento de Apoyo a una Nueva Universalidad (MANU)– quienes tienen la condición y se les respeta su privacidad- subrayaron que el tema de la confidencialidad no se garantiza con el expediente.

"Es una invasión total a la confidencialidad. Me pasó que el doctor colocó en mis recetas que soy VIH y él me respondió es para que se proteja chavalo y le dije que a todos los pacientes se debe proteger y usar las mismas medidas de higiene. Y luego solo colocó que soy VIH Positivo en la receta", contó preocupado un paciente con la condición.

Laura Sánchez, directora del Proyecto VIH-CR de Hivos, indicó que está en discusión el tema de la confidencialidad del expediente digital con la CCSS, ya que las clínicas que atienden a estos pacientes les han externado las preocupaciones al respecto y el manejo indiscriminado a la fecha.

"Efectivamente en nuestra sociedad sigue habiendo discriminación", dijo Sánchez.

"En los últimos años, ha habido discusiones sobre qué medidas se van a tomar en el EDUS. Lo último que hablamos fue módulo especial en el EDUS y que iba a contener toda la información clínica con las personas con VIH", agregó.

Sanciones

De acuerdo con José Adalid Medrano, abogado especialista en derecho informático, de comprobarse alguna violación a la ley la CCSS podría ser denunciada ante la Agencia de Protección de Datos de los Habitantes (PRODHAB) y las sanciones son de hasta cinco salarios base del cargo de auxiliar judicial I, por un tratamiento de datos personales de terceros por medio de mecanismos inseguros, lo que se consideraría una falta leve.

"Si se determina que a través de la falta de control de acceso se reveló información, cuyo secreto esté obligado a guardar conforme la ley, la sanción sería de quince a 30 salarios base del cargo de auxiliar judicial I", explicó el especialista..

Según la directora de PRODHAB las multas económicas van desde los ₡2 millones hasta los ₡15 millones y hasta se podría dar la suspensión del fichero; es decir la anulación de la base de datos.

Puntualmente señaló "es deber del responsable de la base de datos adoptar las medidas de seguridad necesarias para garantizar la seguridad de los datos y evitar un tratamiento ilegal, el no hacerlo es un incumplimiento flagrante de la ley del Expediente Único de Salud (N° 9162) y su respectivo reglamento donde deja muy claras las medidas que deben tomarse".

Artículo 77: Sanciones

La violación a las normas contenidas en este reglamento generará las sanciones administrativas previstas en el ordenamiento interno institucional, sin perjuicio de aquellas que pudieren corresponder, conforme al ordenamiento civil y penal.

"El EDUS es una excelente herramienta y un gran avance para el país, pero debe tener mejores controles de seguridad. Es una herramienta que inclusive podría proveerle a las autoridades información estadística de gran utilidad para la toma de decisiones – inclusive en tiempo real- sin embargo antes de dar un paso en esta dirección se deben corregir estos errores de seguridad.  Es esencial que la CCSS cuente con el apoyo de CSIRT-CR y Prodhab para darle una mayor protección a los datos de salud de los habitantes", finalizó el abogado experto en delitos informáticos.