De modo que en primer lugar tenemos que el derecho a conocer o acceder a un expediente clínico se ejerce por múltiples actores involucrados. De un lado, tenemos a los prestadores de servicios de salud y de otro, al propio paciente. Los límites en el ejercicio de este derecho se establecen en primer término por la regulación aplicable, la cual presenta lagunas o deficiencias, que van siendo subsanadas con el transcurso del tiempo y los esfuerzos conjuntos de las autoridades competentes.

Tal es el caso de la atención a solicitudes de acceso al expediente clínico, hechas por los propios pacientes a las instituciones de salud del sector público. Al inicio de la entrada en vigor de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental, el IFAI estableció en sus resoluciones a recursos de revisión (quejas) presentadas por ciudadanos a los cuales les fue negada una copia de su propio expediente, que estos tenían, en tanto que pacientes, derecho absoluto a conocer la totalidad de la información que les concierne  y no solo un resumen de la misma. Surgió entonces el tema de las notas evolutivas que contienen apreciaciones subjetivas de los médicos tratantes: ¿Era conveniente que el paciente las conociera? ¿En qué casos podría proceder su entrega? ¿Se generaría con el acceso una medicina defensiva, por la cual los médicos dejaran de documentar sus deliberaciones?

Un buen número de acercamientos con los sujetos obligados por la Ley de Transparencia en la materia, que incluyeron foros como este, donde la discusión parecía plagada de antagonismos o posturas encontradas, llevaron a la conformación de un grupo convocado por el Consejo General de Salud en donde la comunicación y el entendimiento se abrió paso luego de conocer las posiciones concretas de las autoridades involucradas.

Los resultados son muy alentadores, porque se ha llegado a una postura equilibrada respecto al tema del acceso al expediente clínico. Digamos que ahora se cuenta con aproximaciones bastante más claras y certeras de lo que puede ser un justo medio en el asunto. Así, se concluyó que en efecto:

1. El derecho a recibir información suficiente, clara oportuna y veraz no solo respecto al estado de salud de una persona, sino sobre los riesgos y alternativas de los procedimientos, diagnósticos terapéuticos  y quirúrgicos, no es solo un asunto de la Ley de Transparencia, sino de la propia Ley General de Salud, y que no es solo una prerrogativa de los derecho habientes de instituciones de salud del sector público sino también del privado;
2. Que los pacientes pueden tener acceso a una copia de su expediente clínico, o a un resumen de éste, según sea el interés del paciente, ya que en la gran mayoría de casos, éstos quedan satisfechos con la información que contiene el resumen de su expediente, dejando abierta la posibilidad de que quien así lo solicite pueda obtener información mas detallada, y
3. Por lo que ve al acceso a las notas de evolución, estas podrían ser entregadas al paciente o a su representante legal, cuando la solicitud sea avalada por un médico especialista, que indique de manera expresa el interés terapéutico que la motiva, además de que sería el propio paciente quien designe al médico especialista y en caso de que éste no lo hiciere, entonces subsidiariamente, la institución de salud correspondiente, podría designarlo.

Ahora bien, respecto al segundo tema relativo a la protección de los datos personales contenidos en los expedientes clínicos y tratados por hospitales, resulta imprescindible contar con una regulación comprehensiva para evitar un mal manejo de la información, que conlleva injerencias arbitrarias o ilegales a la vida privada de las personas, así como la utilización de los datos personales para fines distintos por los que fueron recabados en primera instancia.

El dato de salud, por su naturaleza, es considerado como un dato sensible y como al resto de los datos personales les son aplicables los principios de protección internacionalmente reconocidos, además de que se debe contar con medidas de seguridad más altas que garanticen la confidencialidad, integridad y disponibilidad de dicha información.

En ese sentido tenemos que sólo en el ámbito federal, y en algunas entidades federativas, existen disposiciones concretas en materia de protección de datos personales aplicables al sector público gubernamental, a falta de una Ley de Protección de datos personales que abarque también al sector privado, por lo que en estos niveles de gobierno, se están realizando esfuerzos en materia de medidas de seguridad que deberán observarse por los responsables del manejo de datos de salud.

Por ello, es muy importante resaltar la necesidad de que tanto en los hospitales públicos como privados se observen los principios de protección de datos personales como el de licitud, calidad, acceso y corrección, de información, seguridad, custodia y consentimiento para la transmisión.

Dichos principios, aplicados al caso concreto, nos llevan a determinar que:

a) La posesión de datos de salud obedecerá exclusivamente (en el caso del sector público gubernamental) a las atribuciones legales o reglamentarias de cada dependencia o entidad;

b) Los datos de salud deberán tratarse únicamente para la finalidad para la cual fueron obtenidos, dicha finalidad debe ser determinada, en caso de modificarse, es necesario contar con el consentimiento del paciente o del sujeto involucrado en una investigación médica;

c) Los datos de salud, deberán ser exactos, adecuados, pertinentes y no excesivos, para lograr la finalidad por la cual fueron recabados;

d) Los datos de salud deberán almacenarse de forma tal que permitan el ejercicio del derecho de acceso y corrección por parte de sus titulares;

e) Se deberá hacer del conocimiento del titular de los datos, al momento de recabarlos y de forma escrita, el fundamento y motivo de ello, así como los propósitos para los cuales se tratarán dichos datos;

f) Los datos de salud deberán contar con medidas de seguridad necesarias para garantizar la integridad, confiabilidad, confidencialidad y disponibilidad de los datos mediante acciones que eviten su alteración, pérdida, transmisión y acceso no autorizado;

g) Toda transmisión de datos de salud, deberá contar con el consentimiento libre, expreso e informado del titular de los mismos, salvo las excepciones legales conducentes;

Los principios de protección antes desarrollados, nunca como ahora resultan relevantes para proteger la privacidad e intimidad de las personas, sobre todo cuando estamos utilizando cada vez más, y de manera casi imprescindible, de las tecnologías de la información.

Y eso me lleva al tercer tema que es el tratamiento y documentación de la información de salud. El tratamiento involucra todas aquellas acciones, operaciones y procedimientos físicos o automatizados que permiten recabar, registrar, reproducir, conservar, organizar, modificar, transmitir y cancelar datos de salud. Todas estas etapas desde la recolección del dato hasta su cancelación o destrucción, debe estar documentadas.

La manera de organizar y conservar la información de salud toca necesariamente al tema archivístico. Según datos de la Comisión Nacional de Arbitraje Médico (CONAMED), de acuerdo con un estudio nacional llevado a cabo en 1998, se demostró que solo el 28.6% de los expedientes se encontraban completos, y que en mayor o menor medida, aproximadamente, el 50% de los expedientes carecía de notas o registros indispensables para garantizar una atención de calidad.

Esto por su puesto, ha mejorado, tal es el caso del sector público federal, al cual ahora le resultan aplicables lineamientos en materia de archivos, además de que en casos concretos como el IMSS, este cuenta con normas o criterios específicos para la elaboración de sus instrumentos de control y consulta archivísticos, como cuadro general de clasificación, catálogo de disposición documental e inventarios.

Aunado a lo anterior, actualmente está en marcha el Programa Nacional de Salud 2001-2006. Una de las acciones estratégicas previstas en dicho Programa es implantar el uso del Expediente Clínico Electrónico en los servicios de salud del sector, además de ajustar el marco jurídico y normativo en salud para respaldar y regular el uso de las tecnologías de la información y las telecomunicaciones.

Sin embargo, a pesar de que se realizan grandes esfuerzos por lograr la homogeneidad en la organización, manejo y conservación de archivos clínicos, estamos frente a una insuficiente y atomizada regulación del sector salud, ya que se constata que ni el sector público, como tampoco el privado, comparten una misma visión o prioridades vis a vis el acceso al expediente médico y la protección de la privacidad de las personas, derechos que se verían mejor servidos con una regulación moderna y clara en materia de archivos clínicos.

Por ello, sería muy importante regular de preferencia desde la Ley General de Salud, y mientras ello ocurre, al menos adicionar en la NOM 168 -como norma técnica del manejo del expediente clínico-, medidas sobre el manejo de la documentación de salud y sobre el tratamiento de datos personales para prever, al menos, los siguientes supuestos:

1. Disposiciones para la integración, el manejo, acceso y custodia del expediente clínico, sea este físico o electrónico; estableciendo los responsables en cada caso, tanto de la aplicación de medidas de seguridad, así como de medidas organizativas, de conservación y/o baja documental de dicho expediente;
2. Establecer las reglas o supuestos para llevar a cabo la disociación de información, que permitan que terceras personas con finalidades judiciales, epidemiológicas, de seguridad o de salud pública, y de investigación o docencia, tengan acceso a la misma, garantizando en todo caso el derecho del paciente a su intimidad familiar y personal, por lo que deben preservarse los datos de identificación personal del paciente, separados de los de carácter técnico asistencial para asegurar el anonimato. Lo anterior debe prever excepciones como lo son en casos de investigación por parte de las autoridades judiciales o lo dispuesto por otras leyes. La disociación es central para lograr un equilibrio entre el derecho a la intimidad de una persona y los avances en la ciencia médica. Una operación de disociación consiste en el procedimiento  por el cual los datos personales no pueden asociarse al titular de estos, ni permitir por su estructura, contenido o grado de desagregación, la identificación individual del mismo;
3. Prever las reglas para la confidencialidad de la información -no solo del paciente-, sino de los datos de terceras personas que constan en el expediente y que fueron recabados en interés terapéutico del paciente;
4. Señalar los casos en que proceden las transferencias de información contenida en la historia clínica y las medidas de seguridad, y
5. Establecer el tratamiento de la información de personas fallecidas, de manera tal que un archivo pueda darse a conocer luego de un cierto número de años y convertirse, en su caso, en histórico.

Dicho lo anterior, no debemos perder de vista los avances que en el ámbito internacional se han dado en los tres temas que he tratado, aunque sea de manera periférica el día de hoy.

Podemos voltear hacia Europa y seguir el modelo, por mencionar alguno, de las recomendaciones emitidas por el Consejo de Ministros de Europa, a través de sus recomendaciones, como la R (97) 5 del Comité de Ministros relativa a la Protección de los datos de los datos médicos del 13 de febrero de 1997, que entre otras cosas establece que:

• Toda persona tiene derecho a tener acceso a su información clínica, ya sea de forma directa o por medio de un profesional de la salud;
• La información debe proporcionarse en un formato comprensible.
• El acceso a la información clínica puede negarse, limitarse o retrasarse, sólo si la Ley local lo prevé cuando:
  • Se trate de una medida necesaria para proteger la seguridad nacional, la seguridad pública o la prevención de delitos.
  • El acceso a la información pueda causar un serio daño  a la salud del titular.
  • La información del titular pueda revelar información de terceros.
• El titular de la información puede solicitar la corrección de su información clínica y en caso de negativa debe estar posibilitado para apelar la decisión.

Por su parte, también se pueden retomar los casos de regulación específica de los Estados miembros de la Unión Europea, como lo es el Español, que hemos conocido en este foro, a través de la Ley 41/2002 Reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica.

También, Canadá cuenta con regulación extensiva que abarca tanto al sector público y privado, Federal y provincial, como los es el caso de Ontario, que cuenta con una  regulación especial en materia de protección de la información personal relativa a la salud The Personal Health Information Protection Act, (PHIPA).[1] Esta regulación entró en vigor en noviembre de 2004, y se basa en los principios sobre prácticas leales para el tratamiento de información personal como el principio del consentimiento y finalidad, entre otros. La PHIPA define quienes son los actores involucrados con el tratamiento de información personal, así como las formas en que puede otorgarse el consentimiento por parte de los titulares, los cuales deben ser informados acerca de los alcances de su decisión.  

The health Information Act de Alberta aborda los supuestos relevantes para la apertura de información sobre el diagnóstico, tratamiento y cuidado del expediente, como lo es el procedimiento de acceso a información clínica de un paciente por parte de sus familiares, el tratamiento de información de pacientes malheridos o fallecidos, entre otros aspectos.

Por su parte, tanto Estados Unidos como Europa, implementan actualmente el expediente clínico electrónico, en el primer caso, planean que en 2010, todos los americanos contarán con un expediente clínico electrónico. Los países miembros de la Unión Europea también planean un programa similar.

Es innegable que su utilización traerá consigo ventajas dado que la automatización de la información mejora la calidad y los costos de los servicios de salud, así como la investigación médica, a través de un rápido acceso a una gran cantidad de datos; asimismo, se puede lograr una mayor seguridad a través de controles y auditorias, y también se puede mejorar la protección de la privacidad limitando el acceso, solo a aquellos actores que tengan "la necesidad de conocer" dicha información.

Los retos en esta asignatura se centran en lograr un adecuado control del intercambio de información; de accesos no autorizados o no autorizados, los cuales pueden catastróficos debido al volumen, cantidad y calidad de los datos, así como a su utilización.

Resulta recomendable, de acuerdo con la experiencia internacional, que antes de dar inicio a políticas públicas de digitalización y/o automatización electrónica de expedientes y datos clínicos, se lleve a cabo una análisis del impacto en la privacidad que dichas políticas pueden conllevar, de modo que deben contemplarse con el sector salud, los aspectos siguientes:

• ¿Qué tipo de datos deben contemplarse en el expediente clínico electrónico, solo los clínicos u otros más sensibles?
• ¿Los datos deben ser almacenados en un servidor central o en el punto de generación?
• ¿Cómo debe administrarse el consentimiento del paciente (expreso o implícito), particularmente cuando se interactúa con sistemas que no contemplan el consentimiento?
• ¿Cuáles son los niveles de seguridad que constituyen "medidas razonables" para cada caso concreto?
• ¿Quién accede a qué tipo de información y con qué propósitos?
• ¿Quién da seguimiento a las fallas en las medidas de seguridad o de protección de la privacidad y notifica a los titulares dichos aspectos?

A manera de conclusión podemos decir que los temas están puestos sobre la mesa, por lo que es necesario comenzar a construir un programa de acción de todo el sector salud, para revisar las asignaturas pendientes, retomar la experiencia tanto nacional como internacional sobre mejores prácticas, que nos lleven a lograr el efectivo derecho de acceso a la información de salud por todos los involucrados, la protección de la intimidad de las personas, y el correcto manejo de los archivos clínicos. El IFAI está abierto para cooperar desde el ámbito de sus atribuciones y la experiencia adquirida en estos temas. Por su atención muchas gracias.