La mayoría de hospitales españoles “no verifica la identidad del paciente”

La tarjeta sanitaria es la puerta de entrada en el Sistema Nacional de Salud (SNS), pero no permite identificar al paciente. Esto ha dado lugar a que se hayan producido casos de suplantación de identidad, lo cual puede suponer “un alto riesgo para la salud de los pacientes”.
 
Así lo indica la Agencia Española de Protección de Datos (AEPD) que, en un informe en el que analiza el tratamiento de la información personal en los centros sanitarios, avisa de que en la mayoría de los hospitales públicos españoles (o al menos en los inspeccionados por este órgano) “no se verifica la identidad del paciente”. Esta cuestión pone en riesgo a los propios enfermos en caso de suplantación (aunque los casos, todo hay decirlo, son escasos), puesto que “la información contenida en la historia clínica a la que se accede con la tarjeta sanitaria presentada no corresponde a la patología del paciente”.
 
El análisis además advierte de que “con carácter general, en los hospitales visitados no está previsto un mecanismos de borrado, cancelación o bloqueo de datos, almacenándose información desde el día en que se puso en producción”, no habiéndose  generado tampoco “ningún protocolo de eliminación”.
 
Por otro lado, se indica que, en general, los centros sanitarios españoles “no tienen carteles informativos en las áreas donde se recaban los datos de los pacientes, no informándose tampoco verbalmente o por escrito sobre los derechos de protección de datos de los pacientes y usuarios”.
 
Múltiples deficiencias
 
Además, echa de menos normas internas para el tratamiento de los datos personales confidenciales. De hecho, la AEPD considera que la protección de los archivos con información personal de los pacientes en los hospitales públicos españoles “múltiples deficiencias”.
 
Esta queja se refiere a normas de “obligado cumplimento”, tales como evitar que cualquier perfil de profesional tenga acceso a información personal de los pacientes sin ser necesario para su labor o el uso de perfiles y contraseñas genéricos para el acceso a sistemas de información, no pudiendo quedar identificado el usuario que ha tenido acceso a los mismos.
 
Además, la Agencia ha detectado que los centros superan el plazo máximo de dos años para la realización de auditorías de las medidas de seguridad de los ficheros, “realizándose en todo caso auditorías parciales” en una selección de ellos.
 
Los hospitales españoles también necesitan mejorar en la generación de copias de seguridad de los datos y en el registro de acceso, además de en otras cuestiones relacionadas con la confidencialidad de la información personal de los pacientes.