El 16 de marzo de 2023 se publicó en el Boletín Oficial de la República Argentina la ley 27706 que crea el “Programa Federal único de informatización y digitalización de historias clínicas de la República Argentina”, que había sido sancionada el 28 de febrero de 2023.
El contenido de la ley
La ley consta de 11 artículos organizados en 3 capítulos. El primer capítulo se refiere a la finalidad del programa: “instaurar, en forma progresiva, el Sistema Único de Registro de Historias Clínicas Electrónicas, respetando lo establecido por el Capítulo IV de la ley 26.529 de Derechos del Paciente en su relación con los Profesionales e Instituciones de la Salud y por la ley 25.326 de Protección de los Datos Personales y sus modificatorias” (art. 1).
El art. 2 enumera las atribuciones de la autoridad de aplicación de la ley, que será determinada por el Poder Ejecutivo. Entre esas atribuciones se encuentran definiciones de decisiva importancia para conocer cómo funcionará el programa en lo concreto. En efecto, la autoridad de aplicación debe: “a) Crear y conformar con las provincias y la Ciudad Autónoma de Buenos Aires la estructura organizativa del Programa Federal Único de Informatización y Digitalización de las Historias Clínicas de la República Argentina y reglamentar su implementación y su progresivo funcionamiento; b) Determinar las características técnicas y operativas de la informatización y digitalización de las historias clínicas del sistema de salud de la República Argentina; c) Elaborar un protocolo de carga de historias clínicas, así como diseñar e implementar un software de historia clínica coordinando la implementación interjurisdiccional, ajustándose a lo dispuesto por la presente y por las leyes 26.529 y 25.326 y sus normas modificatorias y reglamentarias; d) Generar un marco de interoperabilidad entre los sistemas que se encuentren en funcionamiento con los sistemas a crear, tanto en el sector público, privado y del ámbito de la seguridad social; e) Instalar el software de forma gratuita en todos los hospitales públicos, nacionales, provinciales y municipales; y, en la forma que se establezca por vía reglamentaria, en los centros de salud privados y de la seguridad social…”. Además, la autoridad de aplicación debe proveer asistencia técnica y financiera a las provincias, coordinar recursos, crear una comisión interdisciplinaria de expertos y capacitar al personal sanitario.
El capítulo II regula lo que denomina el “Sistema Único de Registro de Historias Clínicas Electrónicas”. Según el art. 3, “en el Sistema Único de Registro de Historias Clínicas Electrónicas se deja constancia de toda intervención médico-sanitaria a cargo de profesionales y auxiliares de la salud, que se brinde en el territorio nacional, ya sea en establecimientos públicos del sistema de salud de jurisdicción nacional, provincial o municipal, y de la Ciudad Autónoma de Buenos Aires, como en establecimientos privados y de la seguridad social”. En el art. 4 se afirma que el Sistema Único “debe contener los datos clínicos de la persona o paciente, de forma clara y de fácil entendimiento, desde el nacimiento hasta su fallecimiento”. Luego se formulan aclaraciones en el sentido que los datos no pueden ser alterados (art. 4) y que el sistema garantiza el acceso a la base de datos desde cualquier lugar del territorio nacional (art. 5). Se explican las características del Sistema Único (art. 6) y se formulan algunas definiciones. En general, se enfatiza la importancia de la privacidad y confidencialidad de los datos.
El capítulo III se titula “Historia clínica electrónica” y señala en su art. 8: “Artículo 8º- El paciente es titular de los datos y tiene en todo momento derecho a conocer la información en la Historia Clínica Electrónica que es el documento digital, obligatorio, con marca temporal, individualizada y completa, en el que constan todas las actuaciones de asistencia a la salud efectuadas por profesionales y auxiliares de la salud a cada paciente, refrendadas con la firma digital del responsable. … Forman parte los consentimientos informados, las hojas de indicaciones médicas y/o profesionales, las planillas de enfermería, los protocolos quirúrgicos, las prescripciones dietarias, certificados de vacunación, los estudios y prácticas realizadas, rechazadas o abandonadas…”. El art. 9 se refiere a los fondos para financiar el cumplimiento del programa y el art. 10 señala el deber del Poder Ejecutivo de reglamentar la ley en 90 días. El art. 11 es de forma.
Primeras consideraciones sobre la ley
Más allá de las buenas intenciones que subyacen a la ley y que se vinculan con los beneficios de contar con una historia clínica disponible en cualquier lugar del país para el paciente y el profesional de la salud, subsisten importantes dudas e interrogantes sobre la ley.
a) ¿Se justifica la creación compulsiva de una base con los datos de salud de toda la población?
La ley 27706 reafirma que la historia clínica electrónica es propiedad del paciente (art. 8), tal como ya lo disponía la ley 26529. Ahora bien, más allá de esa afirmación, esta ley habilita al Estado a formar una gran base de datos con las historias clínicas de toda la población a través del llamado “Sistema Único de Registro de Historias Clínicas”. Ello genera una razonable preocupación por los usos que pueda tener esa base.
Al respecto, cabe preguntarse si formar tal base con los datos de todos los pacientes de manera compulsiva es proporcionado a los fines en juego, o si se debía considerar la posibilidad de que sean los pacientes quiénes decidan ingresar sus historias clínicas. La ley 27706 presupone que todos los pacientes están de acuerdo con ser incluidos en el Registro Único. Incluso la ley no ha previsto nada sobre la posibilidad de un paciente de decidir no participar del Registro Único. La ley se podría haber diseñado sobre la base de una participación voluntaria de los pacientes.
Lo mismo puede decirse sobre el Registro único y el respeto a las distintas instituciones implicadas y la posibilidad de participar voluntariamente del registro.
Igualmente, si se consideraba necesario formar ese Registro Único, cabe también precisar mucho mejor qué datos deben compartirse y qué datos no.
Si el objetivo es la portabilidad de la historia clínica, de modo que el paciente pueda llevarla a los distintos lugares donde se va a atender, es clave el trabajo de interoperabilidad entre sistemas. A su vez, la privacidad y seguridad del paciente debería ser el punto de partida de toda la iniciativa, aplicando el principio de subsidiariedad. Así, antes que decidir unificar “todos” los registros de las historias clínicas del país, se deberían especificar mejor las reglas que rigen la privacidad y seguridad de los datos de los pacientes.
Para contar con otras referencias, en Estados Unidos se aprobó la ley sobre tecnología referida a la información en salud para la Salud económica y clínica (Health Information Technology for Economic and Clinical Health Act – HITECH) del año 2009 con la finalidad de promover la adopción y el uso significativo de tecnologías de información en salud. Esta ley dispuso incentivos financieros para adoptar la historia clínica electrónica y aumentó las penas por violaciones a la seguridad y privacidad de los datos. El presupuesto para implementar HITECH fue de 25.000 millones de dólares y con esos fondos se financió el programa “Uso significativo” (Meaningful Use Program) que otorgó incentivos económicos para adoptar los sistemas electrónicos. En 2018, este programa cambió su denominación por el de Promoción de la operabilidad (Promoting Operabilty Program)[1].
b) La cuestión de la seguridad de los datos
La ley 27705 en distintos pasajes reafirma la importancia de respetar la confidencialidad de la información y la ley 25326. Además de la mención a esa ley en el art. 1, el tema aparece en otros artículos, como el art. 2.c cuando se refiere al “protocolo de carga de historias clínicas” y al “software de historia clínica”. Al referirse al Sistema Único de Registro, el art. 6 reitera: “b) La información clínica contenida en el Sistema Único de Registro de Historias Clínicas Electrónicas, su registro, actualización o modificación y consulta se efectúan en estrictas condiciones de seguridad, integridad, autenticidad, confiabilidad, exactitud, inteligibilidad, conservación, disponibilidad, acceso y trazabilidad”. Entre las definiciones del art. 7 incluye: “d) Seguridad: preservación de la confidencialidad, integridad y disponibilidad de la información, además de otras propiedades, como autenticidad, responsabilidad, no repudio y fiabilidad; e) Trazabilidad: cualidad que permite que todas las acciones realizadas sobre la información y/o sistema de tratamiento de la información sean asociadas de modo inequívoco a un individuo o entidad, dejando rastro del respectivo acceso”. Y el art. 4 sostiene: “…La información suministrada no puede ser alterada, sin que quede registrada la modificación pertinente, aun en el caso de que tuviera por objeto subsanar un error acorde a lo establecido en la ley 25.326 de Protección de Datos Personales y sus modificatorias”. En el art. 8 reitera: “El almacenamiento, actualización y uso se efectúa en estrictas condiciones de seguridad, integridad, autenticidad, confiabilidad, exactitud, inteligibilidad, conservación, disponibilidad y acceso, de conformidad con la normativa aprobada por la autoridad de aplicación de la presente ley, como órgano rector competente”.
Sin embargo, las dudas se presentan en relación a la efectiva seguridad de los sistemas, más allá de los términos de la ley. Tengamos en cuenta que los datos personales de salud configuran datos sensibles y que la actual ley de protección de datos personales (Ley 25326 del año 2000) no ha sido actualizada.
Además, las penas por incumplimiento de las disposiciones sobre protección de datos personales son bajas y casi inexistentes en la práctica. Un tipo de norma que se propone armar una base unificada con los datos de salud de todos los argentinos deberían ir precedida por normas mucho más precisas sobre derechos del paciente a la privacidad y confidencialidad de la información de salud.
Para tomar en cuenta experiencias comparadas, en los Estados Unidos en 1996 se aprobó la ley sobre Portabilidad y Responsabilidad de los datos del seguro de salud (Health Insurance Portability and Accountability Act – HIPAA) que dio lugar a una regla sobre privacidad y una regla sobre seguridad que son muy estrictas y que van acompañadas por un sistema de supervisión de cumplimiento (compliance), deberes de informar las violaciones a la seguridad e importantes sanciones. La Regla de Privacidad fija los estándares para que los pacientes comprendan y control cómo se utiliza su información de salud y procura un balance entre la protección de la privacidad y el necesario flujo de información para que se brinde una buena atención. Por su parte, la regla sobre seguridad apunta a asegurar la confidencialidad, integridad y disponibilidad de la información, detectar y tomar medidas por anticipado contra las amenazas a la seguridad de la información, proteger contra usos no autorizados y certificar el cumplimiento de las reglas. Las sanciones económicas por violar la HIPAA se ubican entre 50.000 y 250.000 dólares y también existen sanciones penales para los casos más graves. Por su parte, también la ley HITECH estableció un sistema de sanciones, con una pena máxima de 1,5 millones de dólares por violaciones a sus disposiciones. La HITECH puso también normas más rigurosas para el uso de información de salud en marketing y búsquedas de fondos, expandió los derechos del paciente para impedir que se compartan sus datos y fijó los usos que requerían autorización. También estableció la responsabilidad directa de las empresas por violación a la ley de privacidad.
c) La implementación de la ley y su impacto en la tarea de los profesionales de la salud
La ley no es inmediatamente operativa, pues requiere de acuerdos previos con las provincias y la Ciudad de Buenos Aires, y del desarrollo de los sistemas informáticos que permitan la efectiva implementación de la historia clínica electrónica.
Al respecto, en la experiencia internacional se verifican intentos de generar interoperabilidad entre los sistemas informáticos de los servicios de salud a fin de facilitar el acceso en distintos lugares a los registros médicos y ello no ha sido tan fácil. En el caso de los Estados Unidos, antes que a través de una norma vinculante, ello se hizo a través de programas de incentivos para que las instituciones adopten protocolos de interoperabilidad (HITECH).
Además, hay problemas vinculados con la mayor carga de trabajo que significa completar estas historias clínicas electrónicas, además de problemas vinculados con los errores y daños por deficiente gestión de la interoperabilidad. Se puede ver al respecto el libro de Robert Watcher sobre el Doctor Digital (“The Digital Doctor: Hope, Hype, and Harm at the Dawn of Medicine’s Computer Age”, McGraw Hill, 2015).
Según un trabajo publicado en 2019, las barreras más mencionadas en la literatura científica sobre la implementación de sistemas de historia clínica electrónica eran: limitado conocimiento sobre telesalud, falta de equipamiento, problemas de financiamiento de la soluciones de telesalud, conocimiento, seguridad, motivación, accesibilidad, servicios inadecuados a las necesidades de los usuarios, confidencialidad, problemas en la inserción de los sistemas en las estructuras organizacionales y aumento de la carga de trabajo[2]. El mismo estudio señala algunos facilitadores de la adopción de la historia clínica electrónica: que sea sencillo de usar, que mejore la comunicación, motivación, que esté integrado a la atención de salud, que se involucren los actores relevantes, que haya recurso y que sea amigable para el usuario.
d) Otras cuestiones
La redacción de la norma no ha tratado de forma adecuada lo referido a las situaciones de restricción a la capacidad. Al respecto, dispone el Art. 8: “… En caso de incapacidad del paciente o imposibilidad de comprender la información a causa de su estado físico o psíquico, la misma debe ser brindada a su representante legal o derecho habientes, conforme lo establecido por la ley 25.326 de protección de los datos personales y sus modificatorias…”. Ante todo, la ley 27706 utiliza una redacción imprecisa cuando señala el supuesto de “imposibilidad de comprender la información”, que tendrá impacto en el momento en que un profesional de salud tenga que determinar si la persona puede o no comprender la información. Igualmente, no regula el caso de restricciones a la capacidad que es el supuesto genérico previsto en el Código Civil y Comercial. Los casos de incapacidad son muy excepcionales (art. 32 CCC).
Informe de Jorge Nicolás Lafferriere.
[1] Fuente: “What is the HITECH Act?”, https://www.hipaajournal.com/what-is-the-hitech-act/#:~:text=The%20HITECH%20Act%20encouraged%20healthcare,HIPAA%20Privacy%20and%20Security%20Rules.
[2] Schreiweis B, Pobiruchin M, Strotbaum V, Suleder J, Wiesner M, Bergh B. Barriers and Facilitators to the Implementation of eHealth Services: Systematic Literature Analysis. J Med Internet Res. 2019 Nov 22;21(11):e14197. doi: 10.2196/14197. PMID: 31755869; PMCID: PMC6898891.