Auditoría resalta sensibilidad de datos en EDUS
Sistema tiene la información médica de los pacientes.
La Auditoría Interna de la Caja Costarricense de Seguro Social (CCSS) se refirió a la sensibilización del manejo de datos personales en el Expediente Digital Único en Salud (EDUS), plataforma digital que se implementó en la institución desde el 2018.
EDUS es un sistema electrónico que integra la información médica de los pacientes en un solo lugar, la cual es accesible por los profesionales de la salud que cuentan con la autorización necesaria.
En la Ley de Expediente Digital Único en Salud No. 9162, se establece que la información en EDUS pertenece a los usuarios.
El expediente digital único de salud en su concepto, diseño, operación, plataforma tecnológica, códigos fuentes, soluciones de valor orientados al titular de los datos y demás contenido material del EDUS son propiedad exclusiva de la CAJA.
La información derivada de la atención de los usuarios de los servicios de salud o del titular de los datos, con las limitaciones que establece el artículo 9 inciso d) de la Ley No. 8968, pertenece a estos usuarios o titulares de los datos.
De acuerdo con la Auditoría, el EDUS debe alinearse al cumplimiento de la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales No. 8968, así como a otras consideraciones legales.
Según la ley No. 8969, la información que se administra en EDUS son datos personales porque identifican a una persona física que accede a los servicios médicos de la Caja y algunos de estos datos se clasifican como sensibles.
Para proteger los datos de los usuarios del sistema médico, la Auditoría hizo una serie de observaciones a la Gerencia Médica.
En primer lugar, se destacó la importancia de recordarle a los funcionarios que la información debe ser utilizada estrictamente con fines estadísticos y desvinculados de la identidad de la persona, a menos que el titular haya otorgado un consentimiento previo para la divulgación.
También, es importante que los funcionarios tomen en cuenta la responsabilidad de mantener la confidencialidad de cualquier persona diagnosticada con una condición médica.
"Esto implica no solo salvaguardar la información personal, la privacidad y la confidencialidad de los pacientes que acceden a los servicios de la Institución, sino también cumplir con el deber ético de protegerla".
El órgano fiscalizador le hizo un llamado a la Caja sobre la transparencia y la confianza en los sistemas que tienen para que los usuarios denuncien la vulneración de sus derechos de privacidad.
Para asegurar la seguridad de los datos de los usuarios de la Caja, Auditoría considera que "se podría fortalecer las habilidades de los funcionarios de la Institución en lo referente al manejo de datos, asegurando que se adhieran a los principios éticos afines al procesamiento justo y legal de la información".
Esto se lograría a través de la socialización permanente de los protocolos que eviten la divulgación de datos personales; generando conciencia en la responsabilidad de los funcionarios y brindando capacitación, sobre sus deberes en el desarrollo de funciones.
Auditoría le pidió a la Gerencia que realice una valoración para que se concrete a la brevedad posible las acciones necesarias para el abordaje en el ámbito estratégico, táctico y operativo del manejo de datos personales en el Expediente Digital Único en Salud.
Leyes y acciones
Hay leyes que protegen a los usuarios en este sentido. Por ejemplo, en el artículo 2 de la Ley No. 8239 Deberes y Derechos de las Personas Usuarias de los Servicios de Salud Públicos y Privados, los usuarios de los servicios de salud tienen derecho a recibir atención médica con la eficiencia y diligencia debida, bajo criterios de confidencialidad.
En la ley 8968 se definen los tipos de datos y se establece que los responsables de las bases de datos deben guardar la confidencialidad.
Por otro lado, en la ley No. 9162 se confirma que todos los datos contenidos en EDUS es "información privada que contiene datos sensibles".
Cuya divulgación no autorizada constituye un delito penado con multa, prisión y/o inhabilitación para el ejercicio de cargos públicos, de conformidad con el artículo 203 y 196 bis del Código Penal, se lee en la ley.