HISTORIAS CLINICAS ELECTRONICAS - CONSULTA PUBLICA SOBRE RECOMENDACION DE LA CNIL, FRANCIA.

 Por: Carlos A. FERREYROS SOTO

Doctor en Derecho

Universidad de Montpellier I Francia.

 cferreyros@hotmail.com

 RESUMEN

La Comisión Nacional de Informática y Libertades (CNIL) de Francia ha lanzado una consulta pública sobre las recomendaciones para el uso de las historias clínicas electrónicas (HCE). Este paso es significativo en el contexto de la digitalización del sector salud y la protección de datos personales sensibles.

Las Historias Clínicas Electrónicas, HCE, suponen un avance importante en la gestión de la información médica, ofreciendo ventajas de acceso casi inmediato a la información del paciente, mejor coordinación entre los profesionales de la salud, reducción de errores médicos, menores desplazamientos de los pacientes. Sin embargo, la CNIL revela serias inquietudes respecto a la protección de la privacidad y la seguridad de los datos.

El objetivo de la Recomendación es establecer estándares más seguros y adaptados de protección de la Historia Clínica Electrónica y de los derechos de los pacientes, garantizando el secfeto profesional, la promoción de mejores prácticas en el sector salud y la adaptación de la normativa a los avances tecnológicos.

El resultado de esta consulta podría ser un precedente importante para otros países europeos. Además de poder servir como referente en el caso de Perú por la intervención quirúrgica a la cual se sometió la Presidenta de la República pero sobre cual pesan algunas interrogantes, respecto de la información registrada de los actos médicos practicados, la gestión de la historia clínica, la conservación y la seguridad de los datos.

A fin de acceder a normas similares y estándares europeos, las empresas, organizaciones públicas y privados interesados en asesorías, consultorías, capacitaciones, estudios, evaluaciones, auditorías sobre el tema, sírvanse comunicar al correo electrónico:cferreyros@hotmail.com

________________________________________________________________

Conformidad y seguridad de las historias clínicas: la CNIL lanza una consulta pública sobre un proyecto de recomendación

20 de marzo de 2025

---

Luego de realizar inspecciones y emplazamientos a varios establecimientos de salud, la CNIL ha elaborado un proyecto de recomendación sobre la conformidad y la seguridad de las historias clínicas electrónicas (HCE). El documento, que recuerda también las normas aplicables, está sujeto a consulta pública hasta el 16 de mayo de 2025.

• Imprimir el artículo
• Correo electrónico

• Disminuir el tamaño de la fuente
• Aumentar el tamaño de la fuente

La seguridad de los datos de salud está en el centro de los trabajos que realiza la CNIL desde hace varios años.

La historia clínica electrónica (HCE) o registro médico es objeto de especial atención porque centraliza todos los datos de los pacientes atendidos dentro de un establecimiento de salud.

Dada la sensibilidad y el volumen de datos que contiene (informes de consultas, pruebas biológicas, prescripciones médicas, etc.), la HCE debe beneficiar de medidas de seguridad reforzadas.

Riesgos y deficiencias comprobados

Las notificaciones de violaciones de datos personales por parte de los  centros hospitalarios aumentaron de 16 en 2018 a 196 en 2024. El año pasado, las exfiltraciones masivas de datos también alcanzaron una escala sin precedentes (33 millones para dos proveedores de pagos externos en febrero , 750.000 para un establecimiento en la región parisina en noviembre ). Algunos ciberataques han provocado el bloqueo completo de los sistemas de información de varios grandes establecimientos.

La CNIL también ha sido alertada en varias ocasiones sobre accesos ilegítimos a datos de pacientes contenidos en su HCE. Así, realizó 13 inspecciones de establecimientos de salud entre 2020 y 2023 y detectó incumplimientos de la obligación de garantizar la seguridad y la confidencialidad de los datos (artículo 32 del Reglamento General de Protección de Datos o RGPD), e incluso incumplimientos del secreto profesional. Los profesionales sanitarios podrían así acceder a información no necesaria para la atención de su paciente o consultar la historia clínica de un paciente del que no son responsables. La CNIL ha ordenado a los establecimientos concernidos que tomen medidas para proteger su HCE.

Un proyecto de recomendación presentado para consulta pública

Acompañamiento a los establecimientos de salud

Teniendo en cuenta estas constataciones y con el fin de acompañar al conjunto de los establecimientos de salud, la CNIL ha elaborado un documento que consolida las normas aplicables en materia de HCE, así como sus recomendaciones jurídicas y técnicas.

La recomendación se dirige en particular a los delegados de protección de datos (DPO) y a sus asesores en materia de protección de datos personales, a los responsables de los sistemas de información (Departameneto de Sistemas de Información, DSI, Responsable de los Sistemas de Seguridad, RSSI) y a la dirección general de los establecimientos de salud públicos y privados. 

La recomendación insiste en particular sobre:

• el concepto de equipo de cuidados, definido en el código de salud pública, que determina el intercambio y la distribución de información sanitaria entre los profesionales implicados en la atención al paciente y para el cual surgen dificultades de interpretación jurídica;
• subcontratistas y sus obligaciones;
• el nivel de requisito asociado con la autenticación multifactor y el cifrado de datos.

Ella permite de garantizar que los sistemas sean seguros y conformes con las reglamentaciones aplicables o a movilizar los recursos necesarios para lograr este objetivo.

Ver el borrador de recomendación

14 fichas informativas ilustradas con ejemplos concretos

Para facilitar su lectura y uso práctico, la recomendación se organiza en varias fichas temáticas:

• responsabilidad del tratamiento;
• base jurídica ;
• gobernanza, análisis de impacto y homologación;
• datos que componen el HCE;
• medidas generales de seguridad relacionadas con la conservación de datos;
• períodos de conservación ;
• aseguramiento de los intercambios de datos; 
• información de las personas interesadas;
• medidas de seguridad relativas a la información y al ejercicio de derechos;
• personal de los centros de salud;
• medidas de seguridad relativas al acceso; 
• subcontratistas, destinatarios y terceros; 
• control de las relaciones con subcontratistas y terceros;
• aseguramiento de las operaciones de mantenimiento.

En estas diferentes fichas, los recuadros ilustran los problemas observados durante los controles o a la ocación de acciones de acompañamiento, con el fin de presentar y fundamentar las normas que se deben aplicar y las medidas que se deben implementarse para remediarlos.

Por último, la recomendación no cubre, en esta etapa, las modalidades de ejercicio de los derechos de las personas afectadas por una HCE: estas serán objeto de trabajos posteriores, en particular a fin de tener en cuenta las novedades introducidas por el reglamento relativo al espacio europeo de datos sanitarios.

¿Cómo contribuir a la construcción de la recomendación?

Con el fin de recabar las opiniones y comentarios de las partes interesadas a las que se dirige y de las personas interesadas por la HCE, la recomendación está sujeta a consulta pública hasta el 16 de mayo de 2025.

¿Quién puede contribuir?

Pueden participar en esta consulta todos los establecimientos, así como su delegado de protección de datos (OPD), sus asesores de protección de datos personales, el médico responsable de la información médica (MIM) y sus responsables de sistemas de información (DSI, RSSI).

La CNIL recomienda de someter una contribución por establecimiento de salud.

También invita a las federaciones, asociaciones y responsables de redes a presentar contribuciones colectivas.

¿Cómo se realiza esta consulta?

Las contribuciones pueden ser dirigidas a la CNIL gracias a un formulario organizado en varias partes, que corresponden a las diferentes hojas de la recomendación.

No es obligatorio responder todas las preguntas para participar en la consulta pública. Puedes elegir qué partes quieres responder.

Participar en la consulta

 

Reserve fecha: Webinar de la CNIL - Presentación del proyecto de recomendación sobre el historial clínico electrónico del paciente

1 de abril a las 11 horas. (+6 horas de la hora en Perú)
 

Información e inscripciones

 

Referencia del documento

El proyecto de recomendación

Proyecto de recomendación - Historia clínica electrónica

[ PDF-1 MB ]

Texto de referencia

Para profundizar

• Datos sanitarios: la CNIL recuerda las medidas de seguridad y confidencialidad para el acceso al historial clínico electrónico del paciente (HCE)
• Volver a ver el webinar: establecimientos sanitarios, estándares sanitarios y la “gobernanza” de la protección de datos
• Todo el contenido de la CNIL sobre salud y datos sanitarios
• PGSSI-S, Sistema de referencia de identificación electrónica para «actores de los sectores sanitario, médico-social y social [personas físicas]» - esante.gouv.fr
• Y, de manera más general, todos los documentos de la Política General de Seguridad de los Sistemas de Información Sanitaria – esante.gouv.fr

Texto de referencia

Textos de referencia

• Artículo 9 del RGPD (datos sensibles)
• Artículo 32 del RGPD (seguridad del tratamiento)
• Artículo L.1110-12 del Código de Salud Pública (equipo de atención) - Légifrance
• Artículo L.1110-4 del Código de Salud Pública – Respeto de la vida privada del paciente - Légifrance

• #Expediente del paciente
• #Datos de salud
• #Cumplimiento
• #Seguridad