LEY DE SISTEMA ÚNICO DE REGISTRO DE HISTORIAS CLÍNICAS ELECTRÓNICAS EN ARGENTINA (2).
Por Nicolás Lafferriere.
Primeras consideraciones sobre la ley
Más allá de las buenas intenciones que subyacen a la ley y que se vinculan con los beneficios de contar con una historia clínica disponible en cualquier lugar del país para el paciente y el profesional de la salud, subsisten importantes dudas e interrogantes sobre la ley.
a) ¿Se justifica la creación compulsiva de una base con los datos de salud de toda la población?
La ley 27706 reafirma que la historia clínica electrónica es propiedad del paciente (art. 8), tal como ya lo disponía la ley 26529. Ahora bien, más allá de esa afirmación, esta ley habilita al Estado a formar una gran base de datos con las historias clínicas de toda la población a través del llamado «Sistema Único de Registro de Historias Clínicas». Ello genera una razonable preocupación por los usos que pueda tener esa base.
Al respecto, cabe preguntarse si formar tal base con los datos de todos los pacientes de manera compulsiva es proporcionado a los fines en juego, o si se debía considerar la posibilidad de que sean los pacientes quiénes decidan ingresar sus historias clínicas. La ley 27706 presupone que todos los pacientes están de acuerdo con ser incluidos en el Registro Único. Incluso la ley no ha previsto nada sobre la posibilidad de un paciente de decidir no participar del Registro Único. La ley se podría haber diseñado sobre la base de una participación voluntaria de los pacientes.
Lo mismo puede decirse sobre el Registro único y el respeto a las distintas instituciones implicadas y la posibilidad de participar voluntariamente del registro.
Igualmente, si se consideraba necesario formar ese Registro Único, cabe también precisar mucho mejor qué datos deben compartirse y qué datos no.
Si el objetivo es la portabilidad de la historia clínica, de modo que el paciente pueda llevarla a los distintos lugares donde se va a atender, es clave el trabajo de interoperabilidad entre sistemas. A su vez, la privacidad y seguridad del paciente debería ser el punto de partida de toda la iniciativa, aplicando el principio de subsidiariedad. Así, antes que decidir unificar «todos» los registros de las historias clínicas del país, se deberían especificar mejor las reglas que rigen la privacidad y seguridad de los datos de los pacientes.
Para contar con otras referencias, en Estados Unidos se aprobó la ley sobre tecnología referida a la información en salud para la Salud económica y clínica —Health Information Technology for Economic and Clinical Health Act – HITECH— del año 2009 con la finalidad de promover la adopción y el uso significativo de tecnologías de información en salud. Esta ley dispuso incentivos financieros para adoptar la historia clínica electrónica y aumentó las penas por violaciones a la seguridad y privacidad de los datos. El presupuesto para implementar HITECH fue de 25.000 millones de dólares y con esos fondos se financió el programa «Uso significativo» —Meaningful Use Program— que otorgó incentivos económicos para adoptar los sistemas electrónicos. En 2018, este programa cambió su denominación por el de Promoción de la operabilidad —Promoting Operabilty Program—.
b) La cuestión de la seguridad de los datos
La ley 27705 en distintos pasajes reafirma la importancia de respetar la confidencialidad de la información y la ley 25326. Además de la mención a esa ley en el art. 1, el tema aparece en otros artículos, como el art. 2.c cuando se refiere al «protocolo de carga de historias clínicas» y al «software de historia clínica». Al referirse al Sistema Único de Registro, el art. 6 reitera: «b) La información clínica contenida en el Sistema Único de Registro de Historias Clínicas Electrónicas, su registro, actualización o modificación y consulta se efectúan en estrictas condiciones de seguridad, integridad, autenticidad, confiabilidad, exactitud, inteligibilidad, conservación, disponibilidad, acceso y trazabilidad”. Entre las definiciones del art. 7 incluye: «d) Seguridad: preservación de la confidencialidad, integridad y disponibilidad de la información, además de otras propiedades, como autenticidad, responsabilidad, no repudio y fiabilidad; e) Trazabilidad: cualidad que permite que todas las acciones realizadas sobre la información y/o sistema de tratamiento de la información sean asociadas de modo inequívoco a un individuo o entidad, dejando rastro del respectivo acceso». Y el art. 4 sostiene: «…La información suministrada no puede ser alterada, sin que quede registrada la modificación pertinente, aun en el caso de que tuviera por objeto subsanar un error acorde a lo establecido en la ley 25.326 de Protección de Datos Personales y sus modificatorias». En el art. 8 reitera: «El almacenamiento, actualización y uso se efectúa en estrictas condiciones de seguridad, integridad, autenticidad, confiabilidad, exactitud, inteligibilidad, conservación, disponibilidad y acceso, de conformidad con la normativa aprobada por la autoridad de aplicación de la presente ley, como órgano rector competente».
Sin embargo, las dudas se presentan en relación a la efectiva seguridad de los sistemas, más allá de los términos de la ley. Tengamos en cuenta que los datos personales de salud configuran datos sensibles y que la actual ley de protección de datos personales —Ley 25326 del año 2000— no ha sido actualizada.
Además, las penas por incumplimiento de las disposiciones sobre protección de datos personales son bajas y casi inexistentes en la práctica. Un tipo de norma que se propone armar una base unificada con los datos de salud de todos los argentinos deberían ir precedida por normas mucho más precisas sobre derechos del paciente a la privacidad y confidencialidad de la información de salud.
Para tomar en cuenta experiencias comparadas, en los Estados Unidos en 1996 se aprobó la ley sobre Portabilidad y Responsabilidad de los datos del seguro de salud —Health Insurance Portability and Accountability Act – HIPAA— que dio lugar a una regla sobre privacidad y una regla sobre seguridad que son muy estrictas y que van acompañadas por un sistema de supervisión de cumplimiento —compliance—, deberes de informar las violaciones a la seguridad e importantes sanciones. La Regla de Privacidad fija los estándares para que los pacientes comprendan y control cómo se utiliza su información de salud y procura un balance entre la protección de la privacidad y el necesario flujo de información para que se brinde una buena atención. Por su parte, la regla sobre seguridad apunta a asegurar la confidencialidad, integridad y disponibilidad de la información, detectar y tomar medidas por anticipado contra las amenazas a la seguridad de la información, proteger contra usos no autorizados y certificar el cumplimiento de las reglas. Las sanciones económicas por violar la HIPAA se ubican entre 50.000 y 250.000 dólares y también existen sanciones penales para los casos más graves. Por su parte, también la ley HITECH estableció un sistema de sanciones, con una pena máxima de 1,5 millones de dólares por violaciones a sus disposiciones. La HITECH puso también normas más rigurosas para el uso de información de salud en marketing y búsquedas de fondos, expandió los derechos del paciente para impedir que se compartan sus datos y fijó los usos que requerían autorización. También estableció la responsabilidad directa de las empresas por violación a la ley de privacidad.
c) La implementación de la ley y su impacto en la tarea de los profesionales de la salud
La ley no es inmediatamente operativa, pues requiere de acuerdos previos con las provincias y la Ciudad de Buenos Aires, y del desarrollo de los sistemas informáticos que permitan la efectiva implementación de la historia clínica electrónica.
Al respecto, en la experiencia internacional se verifican intentos de generar interoperabilidad entre los sistemas informáticos de los servicios de salud a fin de facilitar el acceso en distintos lugares a los registros médicos y ello no ha sido tan fácil. En el caso de los Estados Unidos, antes que a través de una norma vinculante, ello se hizo a través de programas de incentivos para que las instituciones adopten protocolos de interoperabilidad (HITECH).
Además, hay problemas vinculados con la mayor carga de trabajo que significa completar estas historias clínicas electrónicas, además de problemas vinculados con los errores y daños por deficiente gestión de la interoperabilidad. Se puede ver al respecto el libro de Robert Watcher sobre el Doctor Digital —«The Digital Doctor: Hope, Hype, and Harm at the Dawn of Medicine’s Computer Age», McGraw Hill, 2015—.
Según un trabajo publicado en 2019, las barreras más mencionadas en la literatura científica sobre la implementación de sistemas de historia clínica electrónica eran: limitado conocimiento sobre telesalud, falta de equipamiento, problemas de financiamiento de la soluciones de telesalud, conocimiento, seguridad, motivación, accesibilidad, servicios inadecuados a las necesidades de los usuarios, confidencialidad, problemas en la inserción de los sistemas en las estructuras organizacionales y aumento de la carga de trabajo. El mismo estudio señala algunos facilitadores de la adopción de la historia clínica electrónica: que sea sencillo de usar, que mejore la comunicación, motivación, que esté integrado a la atención de salud, que se involucren los actores relevantes, que haya recurso y que sea amigable para el usuario.
d) Otras cuestiones
La redacción de la norma no ha tratado de forma adecuada lo referido a las situaciones de restricción a la capacidad. Al respecto, dispone el Art. 8: «… En caso de incapacidad del paciente o imposibilidad de comprender la información a causa de su estado físico o psíquico, la misma debe ser brindada a su representante legal o derecho habientes, conforme lo establecido por la ley 25.326 de protección de los datos personales y sus modificatorias…». Ante todo, la ley 27706 utiliza una redacción imprecisa cuando señala el supuesto de «imposibilidad de comprender la información», que tendrá impacto en el momento en que un profesional de salud tenga que determinar si la persona puede o no comprender la información. Igualmente, no regula el caso de restricciones a la capacidad que es el supuesto genérico previsto en el Código Civil y Comercial. Los casos de incapacidad son muy excepcionales (art. 32 CCC).
LEY DE SISTEMA ÚNICO DE REGISTRO DE HISTORIAS CLÍNICAS ELECTRÓNICAS EN ARGENTINA (2).
