El Insalud cedi¨® historiales a empresas sin fijar 'garant¨ªas contractuales de confidencialidad'

En su an¨¢lisis de 1998, el Tribunal de Cuentas estudi¨® la contrataci¨®n de empresas privadas por los centros del Insalud para el archivo de historias cl¨ªnicas y otra documentaci¨®n de car¨¢cter personal. Para ello revis¨® los 14 expedientes de aquel a?o. Entre los hospitales escrutados figuran el Doce de Octubre, La Paz, Puerta de Hierro, Virgen de la Torre, Cl¨ªnico de San Carlos en Madrid, hospital central de Asturias, Valle del Nal¨®n (Asturias), y Universitario de Valladolid. El informe, fechado en febrero de 2001, no recoge que se hayan subsanado las deficiencias de seguridad y confidencialidad detectadas en los contratos de 1998. Pese a ello, un portavoz del Insalud afirm¨® ayer a este peri¨®dico que en la actualidad estos problemas ya han sido corregidos.

Las conclusiones del estudio son las siguientes:

- Deficiencias al contratar. 'La totalidad de los expedientes analizados presentan importantes deficiencias e irregularidades en su tramitaci¨®n o en su ejecuci¨®n lo que, a juicio de este tribunal, tiene especial trascendencia en este tipo de contratos, ya que la ejecuci¨®n de su objeto exige extremar las cautelas para garantizar la seguridad y confidencialidad de la informaci¨®n que directa o indirectamente constituye su objeto', asegura el informe. El texto desgrana un rosario de detalles sobre la falta de la preceptiva concurrencia y publicidad en contrataciones, que suelen prorrogarse, sin m¨¢s, en muchas ocasiones.

- Sin garant¨ªas de secreto. El informe alerta de que al recurrirse a la contrataci¨®n menor, v¨¢lida s¨®lo para contratos de dos millones, tope que se sobrepas¨® en la mayor¨ªa de los expedientes, se introdujo un mayor riesgo para la seguridad y confidencialidad de tales archivos. 'As¨ª, en siete de los nueve contratos menores analizados no se establecieron garant¨ªas contractuales de seguridad y confidencialidad'.

Juan Manuel Fern¨¢ndez L¨®pez, director de la Agencia de Protecci¨®n de Datos, muestra tambi¨¦n su alarma ante tal omisi¨®n. 'Si estos contratos hubieran afectado no a historiales en papel, sino informatizados, que es nuestra competencia, tendr¨ªamos que haber sancionado a los hospitales'.

- Violaci¨®n de la ley. 'En ninguno de los contratos analizados (14) se han cumplido las previsiones de los art¨ªculos 18 y 38 de la LORTAD sobre registro de los ficheros de datos personales automatizados respecto de los ficheros de gesti¨®n de archivo creados por las empresas adjudicatarias. A juicio de este tribunal, la norma sobre ficheros de datos personales informatizados es aplicable a estos ficheros auxiliares de la gesti¨®n de las historias cl¨ªnicas en cuanto en ellos se registra la identificaci¨®n de los pacientes y los movimientos de sus historias cl¨ªnicas'. El informe destaca en este sentido el incumplimiento del hospital Doce de Octubre. El director de la Agencia de Protecci¨®n de Datos coincide con tal reproche: 'Es verdad, se crearon tales ficheros, pero no nos lo comunicaron, en contra de lo que marca la ley', admite. No obstante, Fern¨¢ndez L¨®pez explica que se requiri¨® a los responsables de tales ficheros para que los registraran en la Agencia de Protecci¨®n de Datos y no se lleg¨® a sancionar porque subsanaron tal omisi¨®n. Estos ficheros, seg¨²n Fern¨¢ndez L¨®pez, no gozaban entonces de las medidas de 'alto nivel' de seguridad que deber¨¢n cumplir desde junio: los ordenadores deber¨¢n dejar una se?a del usuario para controlar qui¨¦n visita el archivo y prevenir filtraciones. Tambi¨¦n deber¨¢ cumplirse a rajatabla algo tan obvio como que el ordenador debe apagarse cuando su usuario oficial lo abandone, para evitar intrusos'.

- Dependencia del contratista. El informe se?ala varias consecuencias indeseables de la cesi¨®n a manos privadas de los archivos cl¨ªnicos, que se sit¨²an 'generalmente en locales de la empresa adjudicataria externos a la instituci¨®n sanitaria'. 'Esta situaci¨®n, adem¨¢s de introducir mayores riesgos para la seguridad y confidencialidad de los datos, lleva aparejada un elevado grado de dependencia respecto de las empresas contratistas, dado que la sustituci¨®n del contratista genera gastos de traslado e inventario'.

El Tribunal insta al Insalud a que en estos contratos valore no s¨®lo 'sus necesidades de contrataci¨®n inmediatas, sino la repercusi¨®n que estos servicios tienen sobre otros intereses p¨²blicos como son la tutela, la protecci¨®n y garant¨ªa de los datos personales'.