El Insalud cedió historiales a empresas sin fijar 'garantías contractuales de confidencialidad'

En su análisis de 1998, el Tribunal de Cuentas estudió la contratación de empresas privadas por los centros del Insalud para el archivo de historias clínicas y otra documentación de carácter personal. Para ello revisó los 14 expedientes de aquel año. Entre los hospitales escrutados figuran el Doce de Octubre, La Paz, Puerta de Hierro, Virgen de la Torre, Clínico de San Carlos en Madrid, hospital central de Asturias, Valle del Nalón (Asturias), y Universitario de Valladolid. El informe, fechado en febrero de 2001, no recoge que se hayan subsanado las deficiencias de seguridad y confidencialidad...

En su análisis de 1998, el Tribunal de Cuentas estudió la contratación de empresas privadas por los centros del Insalud para el archivo de historias clínicas y otra documentación de carácter personal. Para ello revisó los 14 expedientes de aquel año. Entre los hospitales escrutados figuran el Doce de Octubre, La Paz, Puerta de Hierro, Virgen de la Torre, Clínico de San Carlos en Madrid, hospital central de Asturias, Valle del Nalón (Asturias), y Universitario de Valladolid. El informe, fechado en febrero de 2001, no recoge que se hayan subsanado las deficiencias de seguridad y confidencialidad detectadas en los contratos de 1998. Pese a ello, un portavoz del Insalud afirmó ayer a este periódico que en la actualidad estos problemas ya han sido corregidos.

Las conclusiones del estudio son las siguientes:

- Deficiencias al contratar. 'La totalidad de los expedientes analizados presentan importantes deficiencias e irregularidades en su tramitación o en su ejecución lo que, a juicio de este tribunal, tiene especial trascendencia en este tipo de contratos, ya que la ejecución de su objeto exige extremar las cautelas para garantizar la seguridad y confidencialidad de la información que directa o indirectamente constituye su objeto', asegura el informe. El texto desgrana un rosario de detalles sobre la falta de la preceptiva concurrencia y publicidad en contrataciones, que suelen prorrogarse, sin más, en muchas ocasiones.

- Sin garantías de secreto. El informe alerta de que al recurrirse a la contratación menor, válida sólo para contratos de dos millones, tope que se sobrepasó en la mayoría de los expedientes, se introdujo un mayor riesgo para la seguridad y confidencialidad de tales archivos. 'Así, en siete de los nueve contratos menores analizados no se establecieron garantías contractuales de seguridad y confidencialidad'.

Juan Manuel Fernández López, director de la Agencia de Protección de Datos, muestra también su alarma ante tal omisión. 'Si estos contratos hubieran afectado no a historiales en papel, sino informatizados, que es nuestra competencia, tendríamos que haber sancionado a los hospitales'.

- Violación de la ley. 'En ninguno de los contratos analizados (14) se han cumplido las previsiones de los artículos 18 y 38 de la LORTAD sobre registro de los ficheros de datos personales automatizados respecto de los ficheros de gestión de archivo creados por las empresas adjudicatarias. A juicio de este tribunal, la norma sobre ficheros de datos personales informatizados es aplicable a estos ficheros auxiliares de la gestión de las historias clínicas en cuanto en ellos se registra la identificación de los pacientes y los movimientos de sus historias clínicas'. El informe destaca en este sentido el incumplimiento del hospital Doce de Octubre. El director de la Agencia de Protección de Datos coincide con tal reproche: 'Es verdad, se crearon tales ficheros, pero no nos lo comunicaron, en contra de lo que marca la ley', admite. No obstante, Fernández López explica que se requirió a los responsables de tales ficheros para que los registraran en la Agencia de Protección de Datos y no se llegó a sancionar porque subsanaron tal omisión. Estos ficheros, según Fernández López, no gozaban entonces de las medidas de 'alto nivel' de seguridad que deberán cumplir desde junio: los ordenadores deberán dejar una seña del usuario para controlar quién visita el archivo y prevenir filtraciones. También deberá cumplirse a rajatabla algo tan obvio como que el ordenador debe apagarse cuando su usuario oficial lo abandone, para evitar intrusos'.

- Dependencia del contratista. El informe señala varias consecuencias indeseables de la cesión a manos privadas de los archivos clínicos, que se sitúan 'generalmente en locales de la empresa adjudicataria externos a la institución sanitaria'. 'Esta situación, además de introducir mayores riesgos para la seguridad y confidencialidad de los datos, lleva aparejada un elevado grado de dependencia respecto de las empresas contratistas, dado que la sustitución del contratista genera gastos de traslado e inventario'.

El Tribunal insta al Insalud a que en estos contratos valore no sólo 'sus necesidades de contratación inmediatas, sino la repercusión que estos servicios tienen sobre otros intereses públicos como son la tutela, la protección y garantía de los datos personales'.