Procedimiento De Consentimiento Informado Electrónico

Manuel Gimbert, Responsable de Seguridad de la Información. Servicio Andaluz de Salud,
Francisco José Sánchez Laguna, Médico de Familia y Máster en Informática Sanitaria (http://about.me/fransanlag)

1. Planteamiento
Uno de los problemas de los centros sanitarios actuales es el almacenamiento de documentación en los Archivos de Historias Clínicas, algo que ha comenzado a resolverse con la extensión de la Historia Clínica Electrónica. Sin embargo, la generalización de los Consentimientos Informados Médicos, en los que es imprescindible la firma del paciente, ha venido a agravar el problema de nuevo.

La siguiente propuesta recoge un resumen de los requisitos no funcionales (restricciones del sistema que afectan a su diseño, tales como condicionantes legales y características que debe cumplir la plataforma de almacenamiento)que debe incorporar cualquier solución digital al problema,planteando una solución orientada por tres objetivos, ahorro de papel, ahorro de espacio y validez legal de la documentación digital archivada. Al mismo tiempo se busca el mínimo impacto en los procesos organizativos de información y recogida de los consentimientos en los que están implicados los facultativos. Por supuesto, a la larga la digitalización nos llevará a un ahorro económico.

2. Los requisitos no funcionales del modelo son los siguientes:
2.1. Respeto a los principios Generales de las relaciones electrónicas con los ciudadanos
· Respeto a la protección de los datos de carácter personal.
· Principio de igualdad: El uso de medios electrónicos no supone una restricción para la relación entre el ciudadano y las Administraciones Públicas.
· Garantizar la seguridad, integridad, veracidad, autenticidad y legalidad jurídicas.
· Uso de estándares abiertos o de uso generalizado por los ciudadanos.

2.2. Respeto a los derechos de los ciudadanos
· Ofrecer al ciudadano la oportunidad de escoger entre sistemas electrónicos o tradicionales.
· Derecho a utilizar el DNI electrónico.
· Utilización de otros sistemas de firma electrónica admitidos en el ámbito de la Administración pública.

2.3. Aplicación de procedimientos de identificación y autenticación de las Administraciones Públicas.
· Sistemas de firma electrónica basados en certificados de dispositivo seguro o medio equivalente que permita identificar la sede electrónica
· La Administración Pública podrá proveer a su personal de sistemas de firma electrónica, de forma que se pueda identificar de forma conjunta al titular del puesto de trabajo.
· Se podrá utilizar la firma electrónica basada en el DNI del personal a cargo de la Administración Pública.

2.4. Archivo Electrónico de documentos
El almacenamiento de los documentos electrónicos debe garantizar:
· La identidad e integridad de la información necesaria para reproducirlo, asegurando la posibilidad de trasladarlo a otros formatos y soportes.
· Que los soportes para almacenar los documentos estén dotados de medidas de seguridad que garanticen la integridad, autenticidad, confidencialidad, calidad, protección y conservación de los documentos.

2.5. Copias electrónicas
· El documento electrónico original debe permanecer en poder de la Administración de forma que sea posible comprobar la información de firma electrónica y sellado de tiempo.
· Las copias en papel deberán incluir un código generado electrónicamente que permita contrastar su autenticidad con el original.

2.6. La firma electrónica
La Ley 59/2003 (LFE) sólo reconoce como equivalente electrónica a la firma manuscrita a la firma electrónica reconocida, que es aquella basada en certificados reconocidos y generada a través de dispositivos seguros de creación de firma.
La LFE admite otros medios de firma electrónica que resulten adecuados para garantizar la identificación de los participantes, y la autenticidad e integridad de los documentos electrónicos.
Utilizando una firma electrónica reconocida por parte del médico firmante (vg: DNI electrónico) se garantiza la integridad y autenticidad del documento.
No todos los ciudadanos disponen de unafirma electrónica reconocida, por lo tanto, hay que ofrecer medios alternativos para que los pacientes puedan dar su consentimiento siempre que se cumplan las garantías de seguridad exigidas por la LFE. Podemos plantearnos la utilización de firma electrónica simple (vg: digitalización de firma manuscrita) como alternativa.

Todo dispositivo utilizado para la creación de firma electrónica debe cumplir con las siguientes garantías:
· Los datos utilizados para la generación de firma pueden producirse sólo una vez y asegura razonablemente su secreto.
· Existe seguridad razonable de que los datos utilizados para la generación de firma no pueden ser derivados de los de verificación de firma o de la propia firma y de que la firma está protegida contra la falsificación con la tecnología existente en cada momento.
· Los datos de creación de firma pueden ser protegidos de forma fiable por el firmante contra su utilización por terceros.
· El dispositivo utilizado no altera los datos o el documento que deba firmarse ni impide que éste se muestre al firmante antes del proceso de firma.
· Los dispositivos de creación deben estar certificados mediante un procedimiento que comprueba que cumple los requisitos establecidos por la LFE.
Actualmente, los dispositivos de digitalización de firma (scaneo de firmas) no están certificados, por lo que para su utilización habrá que garantizar los requisitos expresados anteriormente.

2.7. De la digitalización Certificada
La Digitalización Certificada está regulada por la orden EHA/962/2007 del Ministerio de Economía y Hacienda, por lo que no es aplicable al ámbito sanitario.

Esta orden nos permite establecer los principios que debe cumplir un documento digitalizado:
· El proceso de digitalización debe garantizar una imagen fiel e integra de cada documento y que esta imagen sea firmada con firma electrónica reconocida.
· Disponer de los procedimientos y controles necesarios para garantizar la fidelidad del proceso de digitalización certificada.
· El resultado de la digitalización certificada se organiza en torno a una base de datos documental y por cada documento digital se conservará un registro con todos los campos y entre ellos uno con la imagen binaria del documento o enlace al fichero que la contenga, en ambos casos con la firma electrónica.

El centro deberá disponer de un software de digitalización certificado. Las condiciones de certificación del software se han pensado para la facturación electrónica y no son aplicables a nuestro ámbito, pero podemos extraer los requisitos que deberá cumplir el software para producir documentos electrónicos válidos a partir de los originales en papel. Debe garantizar la integridad de datos e imágenes al cierre de cada episodio al que esté sometido el paciente (en nuestro caso).

3. Propuesta de Solución
El proceso de CI se realiza en la forma tradicional, en el acto médico-paciente, informando al paciente de los aspectos recogidos en la Ley 41/2002 (LAP).
El médico utilizará un repositorio de plantillas de consentimiento adaptadas. Laplantilla será completada automáticamente con los datos del paciente que procederán de la Base de Datos del centro.
El facultativo completará los apartados con contenidos específicos si fuera necesario, marcando las opciones oportunas de consentimiento.

El facultativo firmará electrónicamente el documento, garantizando éste queda cerrado y no puede ser modificado una vez entregada la copia al paciente. Se podría ofrecer una URL de forma que el paciente, utilizando el hash proporicionado en el documento, pueda acceder al documento electrónico original.

A continuación se imprimirá una copia para el paciente, que irá referenciada electrónicamente para poder ser identificada en el futuro, incluyendo una nota indicando que se trata de copia de un documento electrónico.

En el mismo acto, o posteriormente, se ofrecerá al paciente la posibilidad de aceptar o rechazar el consentimiento.

El documento electrónico ira firmado de tres formas:
· Por el médico responsable usando firma electrónica reconocida (por ejemplo DNI electrónico)

· Por el paciente
· Podrá firmar utilizando su DNI electrónico.
· Podrá utilizar otra firma electrónica reconocida o firma electrónica avanzada (Vg: FNMT)
· Digitalización de su firma.
· En la forma tradicional firmando en el papel
· La tercera firma consiste en el sellado de tiempo.

El documento electrónico se archivará en el repositorio de CI Electrónicos.

Si el paciente a optado por la firma tradicional en papel, entregamos copia al paciente y se envia otra al Archivo, que procederá a la Digitalización Certificada del documento, obteniendo una copia electrónica del documento con las mismas condiciones de seguridad e integridad que para el documento electrónico obtenido en la propia consulta.

Para este documento serán necesarias dos firmas:
· Firma electrónica del funcionario público habilitado para estas funciones. Podrá ser una firma institucional.
· Sellado de tiempo.
Una vez digitalizado el papel, éste pasará al repositorio de CI electrónicos, destruyendo el original por medios adecuados.

4. Referencias y Marco Normativo
· Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica. (LAP)
· Ley 14/2007, de 3 de julio, de investigación Biomédica. (LIB)
· Ley 11/2007, de 22 de junio, de acceso electrónico de los ciudadanos a los Servicios Públicos. (LAECS)
· Ley 59/2003, de 19 de diciembre, de firma electrónica (LFE)
· Ley Orgánica de Protección de datos de carácter personal (LOPD)
· Real Decreto 1720/2007 de Medidas de Seguridad (RDLOPD)
· ORDEN EHA/962/2007, de 10 de abril, por la que se desarrollan determinadas disposiciones sobre facturación telemática y conservación electrónica de facturas, contenidas en el Real Decreto 1496/2003, de 28 de noviembre, por el que se aprueba el Reglamento por el que se regulan las obligaciones de facturación. (OEHA)
· Directiva 1999/93/CE del Parlamento Europeo y del consejo, de 13 de diciembre de 1999, por la que se establece un marco comunitario para la firma electrónica.