Valoracions sobre l’accés eventual a la història clínica compartida de Catalunya per part d’entitats privades a les quals els centres del SISCAT puguin subcontractar serveis

1. Des del punt de vista de la normativa sanitària, res no impediria que el tercer a qui un centre del SISCAT subcontracti serveis pugui accedir a la informació de l’HC3 sempre que sigui amb la finalitat de prestar assistència al o la pacient i sempre que l’accés a la informació de l’HC3 sigui pertinent i indispensable per a la prestació de
l’assistència i, en aquest sentit, caldria valorar-ho cas per cas.

Cal advertir però que, d’acord amb allò previst en el conveni subscrit entre el centre del SISCAT i el CatSalut, s’hauria de comunicar prèviament per escrit al CatSalut i, si escau, el tercer hauria de disposar de l’acreditació del compliment dels estàndards de qualitat corresponents al tipus de servei subcontractat.

2. Des del punt de vista de la normativa de protecció de dades, s’entén la subcontractació de serveis del centre del SISCAT al tercer com un encàrrec de tractament; aquest ha d’estar degudament formalitzat en un contracte d’encarregat de tractament, seguint els requeriments de l’article 28 de l’RGPD.

3. Des del punt de vista de la facturació dels serveis per part del centre del SISCAT al proveïdor tercer, es requeriria formalitzar la compra del servei de manera que el centre del SISCAT hauria de rebre el producte subcontractat (en el cas, resultat de l’analítica, prova diagnòstica, etc.).

4. Des del punt de vista tècnic, l’accés del tercer a l’HC3 podria ser només de consulta (que només es permetés la visualització de la informació continguda a l’HC3), o podria permetre’n l’edició, de manera que a més de visualitzar la informació continguda a l’HC3, també permetria la incorporació de noves dades.

En el primer dels casos, caldria que s’habilités un accés de consulta al tercer, si resulta necessari per a la prestació, i com que no seria possible cap altre permís per al tercer, l’abocament de les dades del procés/acte assistencial del tercer a l’HC3 l’hauria de fer el centre del SISCAT que contracta el servei al tercer.

Per contra, en el segon dels casos, caldria que s’habilités un accés d’edició al tercer; en aquest cas, el mateix tercer podria abocar les dades a l’HC3, sense que ho hagués de fer el centre del SISCAT que li subcontracta el servei.

En qualsevol dels casos, l’accés del tercer a l’HC3 s’hauria de subjectar als requeriments normatius de les mesures de seguretat aplicables. L’RGPD configura un sistema de seguretat que no es basa en els nivells de seguretat bàsic, mitjà i alt que es preveien anteriorment, sinó a determinar, arran d’una valoració prèvia dels riscos, les mesures de seguretat necessàries en cada cas. Segons disposa l’article 28.3c de l’RGPD, l’encarregat del tractament queda obligat a adoptar les mesures necessàries de conformitat amb l’article 32 de l’RGPD.

Cal dir, però, que actualment el sistema d’accessos a l’HC3 està configurat de forma massa genèrica, pensant en la màxima agilitat i interoperabilitat de la informació entre els centres del SISCAT. Davant de la possibilitat que entitats alienes al SISCAT puguin accedir a l’HC3, probablement caldria predefinir altres permisos d’accés més ajustats (en el temps i als continguts) a les necessitats concretes de la prestació de serveis d’aquest tercer en el marc del sistema d’assistència públic.

4. Des del punt de vista operatiu, semblaria més senzill i segur que efectués l’abocament directament el tercer, en comptes del centre del SISCAT que en subcontracta els serveis; ho justificaríem d’una banda, considerant que permet més immediatesa el fet que sigui el mateix autor de la nova informació (tercer) qui l’aboqui en l’HC3, i de l’altra, entenem que essent un únic actor qui edita la informació generada pel tercer, s’evitarien eventuals errors en l’abocament.