Upload
others
View
3
Download
0
Embed Size (px)
Citation preview
Seguridad del Paciente, confidencialidad y protección de datos
JAVIER MORENO ALEMÁN
Socio Director de Lexmor Asociados Abogado Especialista en Derecho Sanitario y Seguros
Profesor Universidad San Pablo CEU Profesor Universidad Pontificia Comillas (ICADE) 1997-2013
Vocal CEIC Hospital Universitario Puerta de Hierro de Majadahonda (Madrid) Vocal CAE Hospital Universitario Santa Cristina de Madrid
Vocal de la Junta Directiva de Asociación Juristas de la Salud (AJS) Miembro de AEGRIS
Patrono de la Fundación FIDISP
Madrid 19 de octubre de 2018
1
SI NO HAY OTRO REMEDIO …
2
I) LA ACTIVIDAD SANITARIA ES UNA ACTIVIDAD DE RIESGO: PARA LOS PACIENTES (PRIMERAS VÍCTIMAS) ENEAS (2005) APEAS (2007) EARCAS (2010-1) SYREC (2007) EVADUR (2009)
Estudio Año recogida datos
Ámbito EA total
(%pacientes) EA
más frecuentes %EA
prevenibles
ENEAS 2005
24 Hospitales
9,3%
Medicación (37,4%), IAAS (25,3%)
Procedimientos (25%).
50%
APEAS
2007
48 Centros AP
10,11‰
Medicación (47,8%) Peor curso evolutivo de enfermedad base (19,9%) Procedimientos (10,6%).
70%
EARCAS 2010- 2011
Residencias y centros sociosanitarios
--
Cuidados, Medicación
IAAS.
---
SYREC 2007
79 UCI/ 76 Hospitales
33,1%
Cuidados (26%) IAAS (24%)
Medicación (12%)
60%
EVADUR 2009
21 Servicios de Urgencias 7,2%
Proceso de atención (46,2%), Medicación (24,1%) y
Procedimientos (11,7%).
70%
LA ACTIVIDAD SANITARIA ES UNA ACTIVIDAD DE RIESGO: PARA LOS PROFESIONALES (SEGUNDAS VÍCTIMAS)
GT “2ª VÍCTIMAS” F. MAPFRE, 2013
EAs GRAVES: Consecuencias emocionales y jurídicas (judicialización a partir de los 90, España). Se recomendó transparencia informativa, pedir disculpas y reparar el daño
PUNTOS CRÍTICOS 1) Límites de la información del EA y sus consecuencias jurídicas. 2) Reclamación y reparación del daño. 3) No hay un deslinde adecuado en nuestro Derecho entre la Seguridad del Paciente y las vías de reclamación
I) LA ACTIVIDAD SANITARIA ES UNA ACTIVIDAD DE RIESGO: PARA LA ORGANIZACIÓN (TERCERAS VÍCTIMAS)
COSTES DE LA NO SEGURIDAD OCDE: 15% del gasto y la actividad hospitalaria puede atribuirse a los fallos de seguridad. 40 Mill. EAs hospitalarios anuales en el mundo Hospitales públicos SNS (2011): 2474 mill. € (M. Sanidad 2008, actualizado IPC) Costes del aseguramiento: Incremento de primas (18-45 mill.€/año entre 2000-2015). Nuevo Baremo Ley 35/2015 (1/01/2016).
RIESGOS REPUTACIONALES Exposición mediática Valoración negativa de pacientes y ciudadanos RESPONSABLES DEL DAÑO: Responsabilidad Patrimonial Sanitaria/Responsabilidad institucional
DERECHO SANITARIO, CALIDAD Y SEGURIDAD DEL PACIENTE
3) ¿CÓMO PUEDE AYUDARNOS EL DERECHO? Fija Marco normativo
ESPAÑA
LGS (1986): Control y mejora de la calidad asistencial en todos sus niveles
LEY 16/03 COHESIÓN Y CALIDAD SNS Infraestructura: Ns. de calidad y seguridad, indicadores, guías de práctica clínica, registro de buenas prácticas, registro EAs.
Planes Nacionales de Calidad
Estrategia n.º 8 Plan Calidad SNS: Mejorar la Seguridad de los Pacientes atendidos en los centros del SNS.
Estrategia de SP del SNS Periodo 2015-2020
A NIVEL EUROPEO
Recomendación Consejo de Europa 2009/C 151/01 Seguridad del Paciente, incluyendo la prevención y control de las infecciones relacionadas con la atención sanitaria (IRAS)
European Union Network for Patient Safety and Quality of Care (PasSQ)
Directiva 2011/24 UE Asistencia Sanitaria Transfronteriza
Panel de Expertos de la Comisión Europea sobre Calidad y Seguridad del Paciente
¿CÓMO PUEDE AYUDARNOS EL DERECHO? Promueve reformas necesarias SISTEMA DE NOTIFICACIÓN DE EVENTOS ADVERSOS
ESPAÑA Implantación sin reforma legal alguna
(Art. 59 Ley 16/2003. Estrategia n.º 8 de Plan Calidad SNS) Problemática legal: la protección del
proceso de notificación o 2 vertientes:
• Profesional que notifica • Profesionales que analizan
o Riesgo legal: • Art. 262 LECrim. Obligación de
denunciar • Art. 410 LECrim. Obligación de
declarar • Art. 360 LEC. Obligación de
declarar
DERECHO COMPARADO Dinamarca, Australia o EEUU: se implanta el sistema vía legal, garantizando un estatus jurídico a los notificantes, datos registrados o a los gestores encargados del ACR. Reino Unido, Suecia: Sistemas de notificación estatales no regulados por ley
¿CÓMO PUEDE AYUDARNOS EL DERECHO? Promueve reformas necesarias SISTEMA DE MEDIACIÓN SANITARIA
Ley 5/2012, de 6 de julio, de
mediación en asuntos civiles y mercantiles. Pioneros: Murcia y Madrid
(Servicio de Coordinación de Conflictos, SERMAS) No será posible sin el compromiso
de las instituciones y de las aseguradoras
¿CÓMO PUEDE AYUDARNOS EL DERECHO? Aprende de los errores (materiales y formales)
MOTIVOS DE RECLAMACIÓN Sociológicos y culturales El EA se comunica mal o no se
comunica Valorar actos de otros Limitaciones de acceso HC Errores en la información y CI Los EAs más graves requieren en
muchas ocasiones una explicación judicial
MOTIVOS DE CONDENA DIAGNÓSTICO: ausencia o error grosero,
falta de pruebas necesarias (IAM) PROCEDIMIENTOS: falta de seguimiento TRATAMIENTOS: retraso, pérdida de
oportunidad, lesiones. LEX ARTIS FORMAL: HC defectuosa (falta o
fallos de cumplimentación) defectos de información y CI CONFIDENCIALIDAD Y PROTECCIÓN DE
DATOS: accesos indebidos de profesionales sanitarios a HCs de pacientes no atendidos por ellos. STS 23/09/2015 2 años, 6 meses y 1 día de prisión. Multa de 17 meses a 10 €/día. Delito de descubrimiento y revelación de secretos
La intimidad, lo primero
La intimidad, lo primero
CONFIDENCIALIDAD Y PROTECCIÓN DE DATOS: ACCESOS INDEBIDOS DE PROFESIONALES SANITARIOS A HCs DE PACIENTES NO ATENDIDOS POR ELLOS
Delito de descubrimiento y revelación de secretos. Art. 197.2 Código Penal: castiga con penas de prisión de 1-4 años y multa de 12 a 24 meses al que, sin estar autorizado, acceda por cualquier medio a datos reservados de carácter personal o familiar de otro en ficheros o soportes informáticos públicos o privados.
Art.198: si lo comete autoridad o funcionario, la pena se impondrá en su mitad superior con inhabilitación absoluta de 6-12 años.
STS 23/09/2015 2 años, 6 meses y 1 día de prisión. Multa de 17 meses a 10 €/día e inhabilitación de 6 años. o Datos reservados: no importa la trascendencia o importancia de los mismos. o En el mero acceso no constituye delito, salvo que se acreditara perjuicio para el titular
de los datos, o que éste fuera implícito, por la naturaleza de los descubiertos, como es el caso de los datos sensibles: salud, ideología, vida sexual, creencias, etc.
La intimidad, lo primero
STS 10/01/2018: Audiencia Provincial: dos delitos continuados de
descubrimiento y revelación de secretos, 1 año y 10 meses de presión por cada delito. Multa de 12 meses a 6 €/día, inhabilitación absoluta de 5 años por cada uno de los dos delitos, pese a apreciar dos atenuantes: obcecación y reparación del daño.
TS casa la sentencia y rebaja la pena a 1 año de prisión por cada delito, multa de 6 meses a 6 €/día e inhabilitación absoluta por 4 años, al apreciar una atenuante de obcecación con especial intensidad y que su conducta era en interés del menor (sus nietos)
HISTORIA CLÍNICA DIGITAL: CONFIDENCIALIDAD Y OTROS ASPECTOS LEGALES DERECHO DE ACCESO DEL PACIENTE
13
PROTECCIÓN DE DATOS EN EL ÁMBITO SANITARIO
REGLAMENTO (UE) 2016/679 DEL PARLAMENTO EUROPEO Y DEL CONSEJO de 27 de abril de 2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos y por el que se deroga la Directiva 95/46/CE (Reglamento general de protección de datos) RGPD Entrada en vigor: 25 de mayo de 2018 De una cultura reactiva (miedo a la sanción) a
una cultura preventiva (implantación natural, fomenta la prevención de riesgos y fortalece la protección de los derechos y libertades de todos los involucrados). Además de los Derechos ARCO, se les une los derechos
de Suspensión (derecho al olvido), de Limitación, de Portabilidad y se añaden los principios de Transparencia, Comunicación, Información.
14
¿CONSENTIMIENTO EXPRESO PATA TRATAMIENTO DE DATOS SANITARIOS?
Frente al art. 8 LOPD, Ya no podrá obtenerse
el consentimiento de forma tácita o indirecta, sino expresamente y de forma afirmativa. Si el consentimiento anterior es una manifestación o
acción clara y afirmativa, no es necesario redactar uno nuevo. Si el consentimiento anterior es tácito, habría que
redactar una nueva solicitud de consentimiento. Si se van a tratar datos con múltiples finalidades, hay
que pedir el consentimiento para cada uno de ellos. El responsable deberá no sólo pedir el
consentimiento, sino además probar que lo ha obtenido y que ha sido prestado por el afectado por los medios pertinentes.
15
¿CONSENTIMIENTO EXPRESO PATA TRATAMIENTO DE DATOS SANITARIOS? Artículo 6. Licitud del tratamiento
1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones: a) El interesado dio su consentimiento b) Es necesario para la ejecución de un contrato en el que
el interesado es parte c) Es necesario para el cumplimiento de una obligación
legal aplicable al responsable del tratamiento; d) Es necesario para proteger intereses vitales del
interesado o de otra persona física; …
16
¿CONSENTIMIENTO EXPRESO PATA TRATAMIENTO DE DATOS SANITARIOS? Artículo 6. Licitud del tratamiento
1. El tratamiento solo será lícito si se cumple al menos una de las siguientes condiciones:
… e) Es necesario para el cumplimiento de una misión
realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento; f) Es necesario para la satisfacción de intereses legítimos
perseguidos por el responsable del tratamiento o por un tercero, siempre que sobre dichos intereses no prevalezcan los intereses o los derechos y libertades fundamentales del interesado que requieran la protección de datos personales, en particular cuando el interesado sea un niño. Lo dispuesto en la letra f) del párrafo primero no será de
aplicación al tratamiento realizado por las autoridades públicas en el ejercicio de sus funciones
17
MENORES FALLECIDOS
Se podrán tratar datos de carácter personal de menores de 16 años edad. Los estados miembros podrán reducirla
hasta 13 años si se establece por ley estatal, en caso contrario, se necesitará recabar el consentimiento por medio de los padres o tutores.
RDPD no se aplica a fallecidos Se regulará el tratamiento de datos
de personas fallecidas. Estos datos los tratarán los herederos según las instrucciones que dé la persona fallecida en vida, las cuales podrán ser incorporadas en un registro
18
DELEGADO DE PROTECCIÓN DE DATOS
Obligación de crear la figura del Delegado de Protección de Datos (DPD) en los centros sanitarios. Es una nueva figura que tendrá que instalarse
en todas las organizaciones sanitarias por el manejo de datos altamente sensibles y que tengan un seguimiento regular y sistemático de los datos a gran escala. Será la figura implicada en todas las
cuestiones relacionadas con la Protección de Datos, que tendrá acceso a la gerencia, con los recursos necesarios para el desempeño de sus funciones. Su actuación será independiente y será el encargado de supervisar que se están cumpliendo las disposiciones del Reglamento.
19
EVALUACIÓN DE IMPACTO
Las organizaciones sanitarias estarán obligadas a realizar una evaluación de impacto. • Dirigida a describir el tratamiento, evaluar su
necesidad y proporcionalidad, identificación y gestión de los riesgos, conclusión y validación del informe de medidas para la gestión de riesgos identificados, elaboración de un plan de supervisión y revisión del tratamiento de datos personales. • Se podrá hacer para uno o varios tratamientos
similares y se hará antes de poner en práctica el tratamiento. • No será necesario si la organización o empresa
entra dentro de la lista de tratamientos sin riesgo o que el tratamiento este determinado por ley o interés público y la norma incluye la evaluación.
20
INFRACCIONES Y SANCIONES
– Unificación de infracciones y sanciones a todos los países pertenecientes a la Unión Europea. – Las multas por infracciones pueden abarcar, como mínimo, desde 10 MM € o el 2% del
beneficio total anual del negocio o, como máximo, 20 MM € o el 4% del beneficio total anual del negocio.
21
REGISTRO DE ACTIVIDADES
22
REGISTRO DE ACTIVIDADES
Tres modelos, de mayor a menor complejidad. Madrid (por centro, por actividades)
http://www.comunidad.madrid/sites/default/files/12.rat_unificado_consejeria_sanidad_20181011_v.2octubre_2018.pdf
Andalucía (por sistemas de información en línea) http://www.comunidad.madrid/sites/default/files/12.rat_unificado_consejeria_sanidad_20181011_v.2octubre_2018.pdf
Galicia (por actividades de gestión) https://www.sergas.es/A-nosa-organizacion/Documents/692/R.AA._Consejer%C3%ADa%20de%20Sanidad%20AMTEGA%2025%2009%202018-ca.pdf
23
ADAPTACIÓN DE INSTITUCIONES SANITARIAS A RGPD
Designar un Delegado de protección de Datos
Realizar evaluaciones de impacto y análisis de riesgos del tratamiento de datos personales
Revisar la política de seguridad Revisar la información facilitada a los
pacientes Formar y concienciar a los profesionales
del sector sobre los nuevos requisitos de la normativa.
24
MUCHAS GRACIAS [email protected]