“Los actores que participan en la interoperabilidad tendrán un período de 6 meses no sólo para ajustar los sistemas y formatos e integrarlos e interoperar la historia clínica digital sino también para adoptar las medidas y mecanismos que permitan desarrollar el principio de responsabilidad demostrada.”

La Ley 2015 del 2020 reguló la interoperabilidad[1] de la historia clínica electrónica[2], mediante la cual se intercambian datos clínicos relevantes, así como documentos y expedientes clínicos de una persona y, por lo tanto, de acuerdo con el concepto de documento privado y reserva que tiene la historia clínica, esta se encuentra protegida por el habeas data.

De acuerdo con el artículo 5 de la Ley anterior, todos los prestadores de servicios de salud, públicos y privados, continúan teniendo la responsabilidad de almacenamiento, archivo y custodia de las historias clínicas de las personas en sus propios sistemas tecnológicos. Sin embargo, delegó en el Ministerio de Salud y Protección Social la facultad de reglamentar el acceso a la información por parte del personal distinto al equipo de salud en el marco de la interoperabilidad de la historia clínica electrónica, reconociendo en los artículos 6 y 7 que cada persona será titular de su historia clínica electrónica, a la cual tendrán acceso, además del titular, los prestadores del servicio de salud, con el previo y expreso consentimiento de la persona o paciente y sólo el titular podrá autorizar el uso por terceros de la información total o parcial en ella contenida, salvo los casos que por ley no sea requerida dicha autorización.

Bajo el marco anterior, el pasado 25 de junio, el Ministerio de Salud y Protección Social expidió la Resolución 866 de 2021 mediante la cual reglamentó el conjunto de elementos de datos clínicos relevantes[3] para la interoperabilidad de la historia clínica en el país, respecto de lo cual, en materia de protección de datos confluyen diferentes elementos que deberán ser conocidos, integrados y aplicados por la persona titular de la historia clínica, los prestadores de los servicios de salud públicos y privados, las entidades promotoras de salud (EPS), las entidades adaptadas al sistema general de seguridad social en salud, las entidades que administren planes voluntarios de salud, los administradores de riesgos laborales y los fondos de pensiones en sus actividades de salud, las entidades pertenecientes a los regímenes de excepción o especial de salud, las secretarías, instituto y unidades administrativas departamentales, distritales y municipales de salud, siempre que accedan a la información de forma innominada y las compañías de seguros que emiten pólizas de seguros de accidentes de tránsito, siempre que tengan la autorización de titular de la información o de quien esté legitimado para autorizar el conocimiento de datos, quienes a su vez son los responsables y encargados del tratamiento de datos personales y por lo tanto están obligados a cumplir con el Título VI y la Ley 1581 de 2012.

Siendo la historia clínica un documento privado y sujeto a reserva que solo puede ser conocido por terceros previa autorización del paciente o en los casos previstos en la ley, para el material cumplimiento en materia de protección de estos datos, se estableció que la privacidad debe ser desde el diseño y por defecto aplicado a todas las fases del ciclo de vida del desarrollo del software, esto es, diseño, arquitectura lógica y física de los sistemas de información,, de tal manera que durante la captura o recolección de los datos de las personas, uso, almacenamiento, divulgación y disposición se garantice la privacidad, la seguridad[4] de la información y la seguridad digital.

Es pertinente destacar que la creación y disposición de la historia clínica electrónica va más allá de la finalidad de la prestación del servicio médico en el marco del derecho a la salud, por cuanto implica otros derechos y garantías para los pacientes (titulares de la información y los datos), lo cual hace parte de la esfera de protección que deberá ser provista por los prestadores de servicios de salud, tanto en su papel administrativo como operativo porque los datos clínicos deberán cumplir con los principios introducidos en esta Resolución correspondientes a confidencialidad[5], disponibilidad[6], integridad[7], intercambio[8], oportunidad[9], seguridad[10], uniformidad[11] y veracidad[12].

En conclusión, bajo la implementación de la interoperabilidad de la historia clínica electrónica deberá observarse todo el marco normativo de la Ley Estatutaria de Protección de Datos Personales y por lo tanto los Responsables y Encargados del Tratamiento de Datos Personales deberán cumplir, acreditar y demostrar el cumplimiento de los lineamientos del principio de responsabilidad demostrada de la SIC y contar con el Programa Integral de Gestión de Datos Personales.

[1] Art. 2, Ley 2015 de 2020. Capacidad de varios sistemas o componentes para intercambiar información, entender estos datos y utilizarlos. De este modo, la información es compartida y está accesible desde cualquier punto de la red asistencial en la que se requiera su consulta y se garantiza la coherencia y calidad de los datos en todo el sistema, con el consiguiente beneficio para la continuidad asistencial y la seguridad del paciente.

[2] Art. 2, Ley 2015 de 2020. Es el registro integral y cronológico de las condiciones de salud del paciente, que se encuentra contenido en sistemas de información y aplicaciones de software con capacidad de comunicarse, intercambiar datos y brindar herramientas para la utilización de la información refrendada con firma digital del profesional tratante. Su almacenamiento, actualización y uso se efectúa en estrictas condiciones de seguridad, integridad, autenticidad, confiabilidad, exactitud, inteligibilidad, conservación, disponibilidad y acceso, de conformidad con la normatividad vigente.

[3]Art. 2, Ley 2015 de 2020. Aquellos datos de la historia clínica de una persona, que los prestadores de salud requieren conocer para su atención a lo largo del curso de la vida.

[4] Adopción de lineamientos generales para la implementación del Modelo de Seguridad y Privacidad de la Información – MSPI.

[5] Los datos clínicos relevantes interoperables se manejan y conservan con criterios de reserva, privacidad y deberán contar con mecanismos de protección para todos los procesos informáticos.

[6] Es la característica de la información contenida en la historia clínica que permite que esta sea accesible y utilizable cuando se requiera.

[7] Los datos interoperables deben corresponder a la realidad de los hechos que se registran y capturarse en la fuente de dato, por lo tanto, deben ser fiables, completos, inalterados, consistentes, coherentes y unificados.

[8] Los datos clínicos relevantes de la historia clínica deben estar disponibles a través de medios electrónicos con mecanismos de seguridad y privacidad que permitan la entrega a quien legítimamente tenga la facultad de acceder a ellos.

[9] Disposición permanente de los datos clínicos relevantes interoperables de la historia clínica para la continuidad de atención y la tomad e decisiones.

[10] Los datos que se generan o se consultan se deben manejar con las medidas técnicas, humanas y administrativas que sean necesarias para garantizar la seguridad evitando su adulteración, pérdida, consulta o uso no autorizado.  

[11] Los conceptos, definiciones y nomenclaturas son únicos, con el fin de permitir la integración de la información y la comparación de resultados.

[12] Los datos se presumen reales, completos, exactos, actualizados, comprobables y comprensibles desde su generación y a través de su flujo en el proceso de interoperabilidad.