Descargar PDF Galego | Castellano| Português

DOG - Xunta de Galicia -

Diario Oficial de Galicia
DOG Núm. 17 Lunes, 27 de enero de 2020 Pág. 4808

III. Otras disposiciones

Consellería de Sanidad

RESOLUCIÓN de 15 de enero de 2020, de la Secretaría General Técnica de la Consellería de Sanidad, por la que se da publicidad a la Instrucción 7/2019, relativa al protocolo para el tratamiento de datos complementarios a los registros de historias clínicas.

El 27 de diciembre de 2019, el secretario general técnico de la Consellería de Sanidad y el gerente del Servicio Gallego de Salud firmaron la Instrucción conjunta 7/2019, relativa al protocolo para el tratamiento de datos complementarios a los registros de historias clínicas.

Señala la exposición de motivos que el nuevo marco normativo que regula el tratamiento de los datos personales llevó a aprobar la Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales, lo que hace preciso la actualización del protocolo para el tratamiento de datos de salud complementarios a los datos registrados en las historias clínicas en el ámbito de los órganos administrativos y entidades instrumentales de la Consellería de Sanidad y centros sanitarios del Sistema público de salud de Galicia.

En tanto en cuanto ese protocolo no se establezca a través de la correspondiente disposición reglamentaria, resulta oportuno, en aras de la seguridad de los sistemas de información, dictar instrucciones con objeto de que el tratamiento de datos complementarios a los registros de las historias clínicas sigan las pautas de un protocolo común e, igualmente, se considera necesaria su publicación en el Diario Oficial de Galicia, sin perjuicio de su difusión de acuerdo con lo previsto en la legislación en materia de transparencia y al amparo de lo dispuesto en el artículo 6 de la Ley 40/2015, de 1 de octubre, de régimen jurídico del sector público,

RESUELVO:

Ordenar la publicación de la Instrucción 7/2019, relativa al protocolo para el tratamiento de datos complementarios a los registros de historias clínicas, dictada el 27 de diciembre de 2019, como anexo a esta resolución.

Santiago de Compostela, 15 de enero de 2020

Alberto Fuentes Losada
Secretario general técnico de la Consellería de Sanidad

ANEXO

Instrucción 7/2019, relativa al protocolo para el tratamiento de datos complementarios a los registros de historias clínicas

La entrada en vigor del Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo, de 27 de abril, relativo a la protección de las personas físicas en lo que respecta al tratamiento de sus datos personales y la libre circulación de estos datos (RGPD), estableció un nuevo marco normativo que regula el tratamiento de los datos personales, lo que llevó a aprobar la Ley orgánica 3/2018, de 5 de diciembre, de protección de datos personales y garantía de los derechos digitales (LOPDGDD).

El tratamiento de datos personales se basa en una serie de principios recogidos en el artículo 5 del RGPD. La mayor parte de estos principios ya estaban contemplados en el anterior marco normativo, pero ahora surge como novedad la exigencia de que el responsable del tratamiento será responsable del cumplimiento de dichos principios en un sistema de responsabilidad proactiva.

Por otra parte, la LOPDGDD incluye también en su disposición adicional primera la referencia a utilizar para el establecimiento de medidas de seguridad en el campo del sector público, el Esquema nacional de seguridad.

Estas modificaciones en el ámbito de la protección de datos hacen precisa la actualización del protocolo para el tratamiento de datos de salud complementarios a los datos registrados en las historias clínicas en el ámbito de los órganos administrativos y entidades instrumentales de la Consellería de Sanidad y centros sanitarios del Sistema público de salud de Galicia (en adelante, SPSG).

En tanto en cuanto ese protocolo no se establezca a través de la correspondiente disposición reglamentaria, se considera oportuno, en aras de la seguridad de los sistemas de información, dictar las presentes instrucciones al objeto de que el tratamiento de datos complementarios a los registros de las historias clínicas sigan las pautas de un protocolo común.

Por todo lo anteriormente expuesto, la Secretaría General Técnica de la Consellería de Sanidad estima procedente dictar las siguientes instrucciones:

Primera. Objeto

Estas instrucciones tienen por objeto establecer un protocolo común para el tratamiento de datos complementarios a los registros de historias clínicas, que se lleva a cabo en el ámbito de los órganos administrativos y entidades instrumentales de la Consellería de Sanidad y centros sanitarios del Sistema público de salud de Galicia (en adelante, SPSG).

Segunda. Evaluaciones de la calidad asistencial

Es de interés para el SPSG, la realización de evaluaciones de calidad sobre la asistencia sanitaria, para las cuales hace falta acceder y tratar datos clínicos recogidos en las historias clínicas. Estas evaluaciones pueden requerir el acceso a datos de pacientes, incluso sin contar con su consentimiento.

Las evaluaciones de calidad asistencial suelen llevar consigo la elaboración de conjuntos de datos clínicos estructurados sobre los que en ocasiones también se aplican análisis estadísticos.

Estas evaluaciones tendrán la consideración de tratamientos con finalidad asistencial, complementarios a la historia clínica, siempre que:

a) Estén englobadas dentro del plan de calidad global de la institución sanitaria en la que se produjo la asistencia sanitaria.

b) Sean reconocidas por la gerencia de dicha institución de acuerdo con lo previsto en las presentes instrucciones.

Tercera. Solicitud y catalogación provisional

Las evaluaciones de calidad asistencial pueden realizarse tanto por servicios clínicos de un centro sanitario como por órganos administrativos y entidades instrumentales de la Consellería de Sanidad y del Servicio Gallego de Salud.

Todo servicio clínico, órgano o unidad administrativa interesada en la realización de evaluaciones de calidad asistencial deberá proponerla a la gerencia u órgano directivo de la que dependa, que decidirá sobre su catalogación inicial.

Para determinar la pertinencia y viabilidad de la catalogación se tendrán en cuenta aspectos clínico-asistenciales, legales, éticos, formales y técnicos.

También se verificará que las propuestas cumplan la normativa de investigación, por lo que podrá en caso de considerarse necesario, se consultará al comité de ética en la investigación correspondiente.

Como resultado de esta catalogación inicial, la gerencia o órgano directivo emitirá un informe de catalogación inicial y, para el caso de que se identifiquen carencias en la solicitud, se requerirá al solicitante su enmienda. A continuación, se dictará una propuesta de resolución con alguna de las calificaciones siguientes:

a) En caso de que se verifique la pertinencia de la evaluación solicitada, le otorgará una calificación de «catalogada provisionalmente».

b) En caso de que la evaluación solicitada entre en colisión con alguno de los principios expuestos en esta instrucción o con su plan de calidad global, procederá a calificarla como «no catalogable», exigiendo la interrupción inmediata del tratamiento y la cancelación de los datos asociados al mismo, si existieran.

Igualmente, cabe que desde la gerencia u órgano directivo se promuevan directamente evaluaciones de calidad asistencial que requerirán igualmente el citado informe de catalogación inicial y propuesta de resolución.

Cuarta. Catalogación definitiva

Una vez realizada la catalogación provisional de una evaluación de calidad asistencial, se remitirá el informe de catalogación inicial y la propuesta de resolución cualificadora para su catalogación definitiva a la Secretaría General Técnica de la Consellería de Sanidad, que podrá asesorarse en tanto no se defina su composición reglamentariamente por una comisión técnica nombrada al efecto, procurando que la composición sea la que se indica a continuación, que también evaluará los estudios considerados de «alto impacto en la privacidad».

En la composición de esa comisión asesora técnica estarán:

a) Dos personas en representación de la Dirección General de Asistencia Sanitaria del Servicio Gallego de Salud, en concreto, de las subdirecciones con competencias en materia de documentación clínica y de farmacia.

b) Una persona en representación de la Agencia Gallega para el Conocimiento en Salud (ACIS).

c) Una persona en representación de la Dirección General de Salud Pública de la Consellería de Sanidad.

d) Una persona en representación de la Subdirección General de Sistemas y Tecnologías de la Información de la Consellería de Sanidad.

e) Una persona en representación de los comités de ética de la investigación de Galicia.

f) El/la delegado/a de protección de datos del SPSG, que ejercerá las funciones de secretario/a de la comisión.

g) Una persona en representación rotatoria de las áreas sanitarias del SPSG.

h) La persona titular de la Secretaría General Técnica de la Consellería de Sanidad, en tanto que responsable del tratamiento de datos personales, ejercerá la presidencia de la comisión.

La comisión, una vez revisada la documentación recibida y, en su caso, requerida la enmienda o avance de la solicitud de evaluación de la calidad asistencial, emitirá un informe justificativo de su decisión. En caso de que la evaluación de calidad asistencial no resulte validada, se incluirá en el informe la recomendación (o exigencia, en su caso) de posibles medidas a tomar: cancelación de los datos, incorporación de los datos en otros sistemas.

Al informe se adjuntará una resolución, firmada por la persona titular de la Secretaría General Técnica de la Consellería de Sanidad, con el resultado de este proceso de catalogación definitiva de la evaluación de calidad asistencial, que podrá ser:

a) En caso de que se verifique la pertinencia de la evaluación solicitada, propondrá su calificación como «catalogada».

b) En caso de que la evaluación solicitada entre en colisión con alguno de los principios expuestos en esta instrucción, con sus planes estratégicos o con su política de tratamiento de datos, procederá a calificarla como «no catalogable», exigiendo la interrupción inmediata del tratamiento y la cancelación de los datos asociados al mismo, si existieran.

Quinta. Medidas de seguridad a aplicar en estos tratamientos

Las gerencias y órganos directivos serán las responsables de aplicar las medidas de seguridad exigidas en la legislación vigente, garantizando que:

1. Los datos tratados en estas evaluaciones se almacenarán en soportes bajo control y gestión corporativa (a través de las unidades de tecnologías de la información del SPSG), aplicando las medidas de seguridad y los controles y limitaciones de acceso pertinentes.

2. Siempre que sea posible, se procederá a la integración de estas evaluaciones en sistemas de información corporativos. A tal fin se considerará como vía de integración la creación de listados de pacientes en el sistema Ianus.

3. Las evaluaciones solo pueden cubrir aspectos relativos a las finalidades indicadas en la cláusula segunda de esta instrucción que no puedan ser conseguidos a través de los sistemas de información corporativos. Hace falta asegurar que las evaluaciones no se limiten a la duplicación de información existente en otras fuentes sin proporcionar ninguna finalidad o contenido adicional.

4. En las actividades de tratamiento se fomentará y se priorizará la anonimización y seudonimización de los datos relativos a las personas físicas, limitando el tratamiento conjunto de los datos clínicos asistenciales y de los datos que permitan la identificación de las personas en aquellos casos en los que no exista una alternativa viable.

Sexta. Tratamientos excluidos del alcance de esta instrucción

No podrán ser catalogadas como evaluaciones de la calidad asistencial las siguientes clases de tratamientos:

1. La creación, prescripción o sugerencia a pacientes o personas relacionadas con ellos de aplicaciones para móviles (app) o de cualquier otro tipo de sistema informático.

2. La realización de seguimientos por parte de proveedores externos de pacientes sin mediar encargo de tratamiento con el SPSG.

3. Remitir datos de pacientes a empresas o instituciones ajenas al Sistema nacional de salud que no hayan firmado un encargo de tratamiento con el SPSG.

4. Proponer a los pacientes o personas relacionadas con ellos su inclusión en tratamientos de datos realizados por empresas o instituciones ajenas al Sistema nacional de salud que no hayan firmado un encargo de tratamiento con el SPSG.

5. Todo conjunto de datos que no esté bajo el control de las instituciones sanitarias, sino bajo el de empleados suyos que pretendan mantener el control sobre los mismos.

6. Aquellos tratamientos incluidos dentro del alcance de la Orden de 23 de junio de 2005 por la que se establecen medidas de estandarización, coordinación y supervisión en materia de tecnologías de la información.

7. Aquellos tratamientos incluidos dentro del alcance de la Instrucción 4/2017, de la Gerencia del Servicio Gallego de Salud, sobre el procedimiento de tramitación de cesión de equipos en los centros sanitarios del Servicio Gallego de Salud.

Cualquier empleado público que sea responsable de la ejecución de alguno de los tratamientos descritos en este apartado será considerado responsable de tratamiento a nivel particular, exponiéndose a las sanciones económicas, legales y administrativas que correspondan.

Séptima. Usos posteriores de los datos tratados

Por su naturaleza de datos asistenciales, los conjuntos de datos que se creen con la finalidad de evaluación de la calidad de la asistencia sanitaria podrán ser reutilizados con fines de investigación en materia de salud y biomédica, cumpliendo con los requisitos establecidos en la LOPDGDD.

Cuando se solicite el informe favorable del comité de ética en la investigación correspondiente, este comité podrá requerir dentro de la documentación que el investigador deberá acercar para la valoración del estudio de investigación la documentación que avale que el conjunto de datos se creó previamente dentro de una evaluación de calidad asistencial.

Igualmente, podrán ser destinados al resto de los usos contemplados en los apartados 3 al 5 del artículo 16 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, siempre que cumplan con los requisitos legales exigibles y cuenten con la autorización del responsable del tratamiento.

Octava. Plazo para la proposición de evaluaciones de la calidad asistencial para su catalogación

A efectos de dotar de eficacia las presentes instrucciones, se establece un plazo inicial de solicitudes de evaluaciones de la calidad asistencial para su catalogación, que será de seis meses desde la publicación de esta instrucción. Todas las solicitudes adjuntadas dentro de plazo podrán continuar realizando el tratamiento de datos mientras no sean calificadas como «no catalogable». Todo esto sin prejuicio de lo que en su momento disponga la disposición reglamentaria que regule el protocolo.

Transcurrido ese plazo inicial, toda nueva solicitud de evaluación de la calidad asistencial deberá contar con una resolución de catalogación provisional antes de comenzar cualquier tratamiento de datos, esta medida se incorporará a la nueva disposición reglamentaria.

Novena. Otros ficheros temporales

Podrán tener la consideración de ficheros temporales, otras actividades de tratamiento de datos de carácter personal distintas de las evaluaciones de calidad asistencial que no puedan realizarse utilizando exclusivamente los sistemas de información corporativos contemplados en la Orden de 23 de junio de 2005 por la que se establecen medidas de estandarización, coordinación y supervisión en materia de tecnologías de la información.

Estos ficheros temporales deberán cumplir con las siguientes condiciones:

1. Estar aprobados, registrados y controlados por la gerencia o órgano directivo correspondiente.

2. Deben cumplir con las medidas de seguridad de la cláusula quinta de esta Instrucción.

3. El tiempo que transcurra entre la creación y la cancelación de un fichero temporal no puede superar los seis meses.

4. Los datos tratados como ficheros temporales no podrán ser utilizados como base para la realización de estudios de investigación.

Podrán ser destinados al resto de los usos contemplados en los apartados 3 al 5 del artículo 16 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica, siempre que cumplan con los requisitos legales exigibles y cuenten con la autorización del responsable del tratamiento.

Décima. Registro, transparencia y publicidad

Todas las evaluaciones de calidad asistencial serán recogidas en un registro para su control. Mientras no se crea un registro autonómico que integre todas las evaluaciones, esta tarea será responsabilidad de cada centro sanitario del SPSG, órgano administrativo y entidad instrumental de la Consellería de Sanidad, en su campo de actuación.

Estas evaluaciones estarán sujetas a las mismas obligaciones de transparencia y tratamiento que la historia clínica electrónica.

El contenido del registro será de acceso público para cualquier centro sanitario del SPSG, órgano administrativo y entidad instrumental de la Consellería de Sanidad, a fin de garantizar la coherencia de las evaluaciones en curso y de su contenido dentro del mismo.

Undécima. Ejercicio de los derechos por la ciudadanía

Se garantizará que se puedan ejercer en iguales condiciones existentes para la historia clínica electrónica los derechos reconocidos en los artículos 15 a 22 del Reglamento (UE) 2016/679; en los artículos 18 y 19 de la Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica; en el artículo 19 de la Ley 3/2001, de 28 de mayo, reguladora del consentimiento informado y de la historia clínica de los pacientes, y en el capítulo II del Decreto 29/2009, de 5 de febrero, por el que se regula el uso y acceso a la historia clínica electrónica.

Duodécima. Aplicación

La presente instrucción producirá efectos desde el día siguiente de su firma hasta el momento que entre en vigor la disposición reglamentaria en la que se establezcan los protocolos a los que se refiere.