Archivo de la categoría: legislación

Recomendaciones del Informe Caldicott

Tras mencionar los principios básicos de comportamiento de las organizaciones que tratan con datos médicos en Inglaterra, el informe Caldicott continúa con una generosa (y vaga) lista de recomendaciones que esas organizaciones deben seguir.

1. Todos los flujos de datos, actuales o futuros, deberán ser probados contra principios básicos de buenas prácticas. Los flujos que sigan en uso deben ser re-probados regularmente.
2. Se debe instaurar un programa de trabajo para reforzar la concienciación de la confidencialidad y seguridad de datos para todo el personal de la NHS (Seguridad Social).
3. Un empleado senior, peferiblemente un profesional del sector médico, será nominado en cada organización para que actúe como guardián, y sea responsable de asegurar la confidencialidad de la información de paciente.  (nota: este es el Caldicott Guardian al que nos referíamos en el anterior post)
4. Se debe dar claras directrices a las personas u organismos responsables de aprobar usos para la información identificable de paciente.
5. Se deben desarrollar protocolos para proteger el intercambio de información identificable de paciente entre la NHS (Seguridad Social) y otras organizaciones.
6. Se debe comunicar claramente la identidad de las personas responsables de monitorizar la compartición y transferencia de información mediante protocolos locales acordados.
7. Un sistema de acreditación que reconozca las organizaciones que siguen buenas prácticas en lo que respecta a confidencialidad deberá ser considerado.
8. El número de la seguridad social (NHS number) debe sustituar a cualquier otro método de identificación siempre que sea posible, teniendo en cuenta las consecuencias de los errores y los requerimientos particulares de otros identificadores.
9. Se deben establecer protocolos estrictos que definan quién está autorizado a acceder a la identidad del paciente cuando el número de la seguridad social (NHS number) u otro identificador codificado se está utilizando.
10. Donde se esté transfiriendo información especialmente sensible, se deberían utilizar tecnologías que potencian la privacidad (por ejemplo, encriptar identificadores o “información que identifique a pacientes”).
11. Las personas involucradas en el desarrollo de sistemas de información de la salud deben asegurar que los principios de mejores prácticas se incorporan en la etapa de diseño.
12. Donde sea aplicable, la estructura interna y la administración de bases de datos que contengan información identificable de paciente deben reflejar los principios identificados en este informe.
13. El número de la Seguridad Social (NHS Number) debe sustituir al nombre del paciente en los formularios de petición de pago de servicio (Items of Service Claims) que envían los médicos de familia (General Practitioners) tan pronto como sea posible.
14. El diseño de nuevos sistemas para la transferencia de datos de prescripción deberán incorporar los principios desarrollados en este informe. 
15. Negociaciones futuras sobre pagos y condiciones para los médicos de familia (GP’s) deberán, siempre que sea posible, evitar sistemas de pago que requieran la transmisión de detalles identificadores de paciente.
16. Se deben considerar procedimientos para que las peticiones de pago de servicio realizadas por el médico de cabecera (GP) que no requieran la transferencia de información identificadora de paciente, y se deben hacer pruebas piloto al respecto.

¿Verdad que algunas cosas suenan francamente mal y otras suenan a equipo de aficionados? ¿Verdad que parece que si Versvs, Félix Haro y yo nos fuéramos de cañas y garabateásemos nuestras ideas en una servilleta grasienta el resultado sería más profesional?

En el próximo post informaremos de lo que NO se ha estado haciendo desde el año en que este informe se creó, y qué SÍ se está haciendo desde apenas principios de este año.

Continuará…

Informe Caldicott: cómo velar por los datos personales de pacientes «a la inglesa»

nhs

La sanidad en el Reino Unido es algo extraño y fascinante. De una heterogeneidad alucinante. Que a veces genera “perlas” como esta…

Resulta que en el Reino Unido hay cuatro Chief Medical Officers, cada uno de ellos es el consultor en temas médicos para los respectivos gobiernos (el inglés, galés, escocés y norirlandés). En Inglaterra esta persona ha de ser médico especializado en medicina comunitaria, forma parte de la mesa de directores de la NHS (National Health Services, la Seguridad Social inglesa) donde le acompaña la Chief Nursing Officer. Hay cuatro “officers” más, los máximos consultores de: temas dentales, farmacéuticos, científicos y de profesiones médicas.

Pues resulta que en 1997 el Chief Medical Officer inglés comenzó a preocuparse por la privacidad de datos médicos dado el auge de las tecnologías de la información y el potencial que éstas ofrecen para la diseminación descontrolada de todo tipo de datos. Ni corto ni perezoso montó un grupo de trabajo bajo las órdenes de la Dama Fiona Caldicott, jefa de un college de prestigio en Oxford, y les encargó que crearan una directiva para el manejo de datos personales en el entorno médico.

El resultado fue el informe Caldicott (Caldicott Report). En él se enumeran seis principios y dieciséis recomendaciones, de obligado cumplimiento para todos los departamentos del NHS (y socios que proporcionen servicios médicos a la NHS, o sea: outsourcers).

Los principios son los siguientes:

1. Justificar los motivos

Cualquier uso o transmisión de información identificable de paciente dentro de o entre organizaciones debe estar claramente definido y escrutinizado, su uso continuo revisado regularmente, por un “guardián” (ya veremos más adelante qué son los guardianes).

2. No usar información identificable de paciente a menos que sea absolutamente necesario

Información identificable de paciente no debería ser incluida a menos que sean esenciales para los propósitos de ese flujo de información. La necesidad de identificar a los pacientes debe ser considerada en cada paso tomado para cumplir con el propósito.

3. Usar la mínima cantidad necesaria de información identificable de paciente

Cuando el uso de información identificable del paciente es esencial, la inclusión de cada unidad de información debería ser justificada para que la mínima cantidad de información identificable de paciente sea transferida o accesible para que una función concreta se realice.

4. Acceso a la información identificable de paciente debería ser solo cuando sea estrictamente necesario

Solo las personas que necesiten acceder a la información identificable de paciente deberían tener acceso a ella, y solamente deberán acceder a las unidades de información que necesitan ver. Esto puede implicar la creación de mecanismos de control de acceso o la separación de los flujos de información cuando un flujo de información se usa por varios motivos.

5. Todas las personas con acceso a la información identificable de paciente debería ser consciente de sus responsabilidades al respecto

Se deben tomar acciones para asegurar que todas las personas que manejen información identificable de paciente –ya sea personal clínico o no clínico- conozcan perfectamente sus responsabilidades y obligaciones con respecto a la confidencialidad de datos de paciente.

6. Comprender la ley y cumplirla

Todos los usos de información identificable de paciente debe estar dentro de la ley. Una persona en cada organización que maneje información de paciente debe ser responsable de que su organización cumpla con los requerimientos legales.

(La persona mencionada en 1 y 6 se conoce como el “Caldicott Guardian” y todas las unidades funcionales que traten con pacientes o sus datos deben dar formación a una persona para que ejerza de ello.)

Continuará…

Referencias:

Caldicott Report en la Wikipedia
Caldicott Guardians en Connecting For Health

No creo lo que leo: Ley española que aprueba la cesión de datos personales de la admon pública a empresas privadas!!!!!!!!!!!!!!!!!!!!!!!!!

http://www.boe.es/g/es/bases_datos/doc.php?coleccion=iberlex&id=2007/19814&txtlen=1000

Ahí va el link al Boletín Oficial del Estado. Paso a copiar y pegar parte del preámbulo de la ley: regula la cesión de los datos personales recopilados por la administración pública a empresas privadas!!!!!!!!!!!!!!!!!!!!!

La información generada desde las instancias públicas, con la potencialidad que le otorga el desarrollo de la sociedad de la información, posee un gran interés para las empresas a la hora de operar en sus ámbitos de actuación, contribuir al crecimiento económico y la creación de empleo, y para los ciudadanos como elemento de transparencia y guía para la participación democrática. Recogiendo ambas aspiraciones la Directiva 2003/98/CE, de 17 de noviembre de 2003, del Parlamento Europeo y del Consejo, relativa a la reutilización de la información del sector público, se adoptó con la finalidad de explotar el potencial de información del sector público y superar las barreras de un mercado europeo fragmentado estableciendo unos criterios homogéneos, asentados en condiciones equitativas, proporcionadas y no discriminatorias para el tratamiento de la información susceptible de ser reutilizada por personas físicas o jurídicas.

Qué morro, qué demagogia. Ceden nuestros datos personales a empresas «para contribuir a la creación de empleo». Hay que joderse.

Con un par de narices: La fundación Copyleft avisa a las fuerzas de seguridad que emprenderán acciones legales si no cumplen con la ley en casos P2P

Leo en El Mundo que la fundación Copyleft, a través de sus patronos David Bravo y Javier de la Cueva, han amenazado a la Brigada de Investigación Tecnológica (la BIT) con acciones legales si en sus actuaciones en casos relacionados con el intercambio de archivos (P2P), la policía no cumple con la circular número 1/2006 de la Fiscalía General del Estado.

Y es que tanto «no robarás un bolso» le ha comido el coco a la policía. El resultado: «ahora la ley NO actúa» porque la Brigada de Investigación Tecnológica aplica los criterios dictados por la SGAE, no la ley. Repitan conmigo, amiguitos: la copia privada sin ánimo de lucro no es delito. No lo digo yo: lo dice el Código Civil.

Como dicen los patronos de la fundación Copyleft, «las Fuerzas y Cuerpos de Seguridad del Estado han de someterse al Ministerio Fiscal, estar al servicio de los ciudadanos y no de grupos empresariales».

Circular de la fiscalía: http://www.aui.es/IMG/pdf_CIRCULAR1-2006-FISCALIA.pdf
Noticia en El Mundo: http://www.elmundo.es/navegante/2007/10/22/tecnologia/1193051776.html

Vuelve el proyecto de ley para acabar el anonimato en las comunicaciones de móvil de tarjeta prepago

http://www.elmundo.es/navegante/2007/05/31/tecnologia/1180600696.html?a=39270adac1b8240f9638a43639c200c9&t=1180605538

Lo leemos en El Mundo. Esta medida viene incluida en el Proyecto de Ley de Conservación de datos relativos a las Comunicaciones Electrónicas recién aprobado por la comisión jurídica del Congreso.

Patada grande al derecho a la intimidad. Y patada más grande al acceso a una herramienta de comunicación tan importante como el teléfono móvil para las miles y miles de personas que trabajan en España, apoyan con el sudor de su frente en el desarrollo del país, pero que por temas de papeleos y burrocracia se tienen que mover en la ilegalidad, desgraciadamente.

Cuando se aprobó una ley similar en Suiza, surgieron algunas ONG que registraban en su nombre tarjetas prepago, que luego se repartían a personas cuya petición de asilo había sido denegada, y por lo tanto estaban "sin papeles" allá.

Adjunto un link a un buen repositorio de noticias relacionadas con las tarjetas prepago y el anonimato.

http://www.sfu.ca/cprost/prepaid/news.htm