El suministro de datos al RIAP (Registro Italiano de Artroplastia) es facultativo por parte del paciente, por lo que el Istituto Superiore di Sanità, que gestiona el registro, solicita correctamente a los interesados su consentimiento para el tratamiento de sus datos. Sin embargo, en Sicilia un decreto ha establecido que si los pacientes no facilitan sus datos, no se pagarán los servicios sanitarios a las estructuras sanitarias acreditadas. ¿Se trata de una nueva interpretación errónea del derecho a la protección de datos personales por parte de las autoridades regionales sicilianas, tras la reciente advertencia emitida por la Autoridad el 22 de julio?

Antecedentes – Los sistemas de vigilancia y los registros se crean para garantizar un sistema activo de recogida sistemática de datos personales, sanitarios y epidemiológicos para registrar y caracterizar todos los casos de riesgo para la salud, una enfermedad concreta y su tratamiento y resultado o una condición sanitaria relevante en una población definida. Se trata de herramientas fundamentalmente importantes.

El RIPI y el RIAP, acrónimos de Registro Italiano de Prótesis Implantables y Registro Italiano de Artroplastia respectivamente, forman parte de los sistemas de vigilancia de relevancia nacional y regional, establecidos por el Decreto Ley nº 179 de 18 de octubre de 2012. El Registro Nacional de Prótesis Implantables (RIPI) creado por el Decreto del Presidente del Gobierno de 3 de marzo de 2017 aún no está activo, a la espera de la publicación del reglamento (al que se refiere el artículo 6 del citado Decreto del Presidente del Gobierno).

El RIAP forma parte del RIPI y tiene como base legal para la recogida de datos el consentimiento escrito e informado del paciente.

Una breve historia del tema puede ser útil:

1. Inclusión del RIPI/RIAP entre los sistemas de vigilancia establecidos por el Decreto-Ley nº 179 de 18 de octubre de 2012;
2. Emisión del DPCM de 3 de marzo de 2017 Identificación de sistemas de vigilancia y registros de mortalidad, cáncer y otras enfermedades;
3. El 1 de marzo de 2021, la Región de Sicilia obliga esencialmente a comunicar los datos adicionales al SDO (formulario de alta hospitalaria) al RIAP, bajo pena de no recibir la contribución a cargo del Servicio Regional de Salud.

Según ha informado el Grupo de Trabajo creado en el Istituto Superiore Sanità, el objetivo del Registro es realizar un análisis epidemiológico y un mapeo a nivel nacional de las operaciones de sustitución articular, proponiendo un modelo de flujo de información desarrollar y probar el modelo propuesto, basado en el uso de las Tarjetas de Alta Hospitalaria (SDO), complementado con un conjunto mínimo de información adicional relacionada con el paciente, la intervención y el dispositivo, iniciar un registro progresivo de las regiones y examinar, limitado a algunos contextos específicos, la posibilidad de evaluar el resultado de la intervención mediante el uso de medidas de resultados informados por los pacientes.

El flujo de datos – Los datos son seudonimizados en origen (Centros Regionales de Referencia) y las modalidades de transmisión del flujo de datos personales entre los Registros Regionales y el Nacional son acordadas entre el ISS y los Referentes Regionales y Provinciales, determinando también su constante actualización a la luz de las crecientes innovaciones tecnológicas y las relativas medidas de seguridad, que deben mantener una adecuación ininterrumpida.

Este flujo se inspira en el principio de minimización de datos (pertinencia y no excesividad), teniendo en cuenta las finalidades perseguidas por el RIAP, dicho principio se cumple desde la primera fase de la migración de datos, desde los Registros Regionales al nacional, con la identificación del conjunto mínimo de datos.

Según el grupo de trabajo del RIAP, asistido por el DPO, del Istituto Superiore di Sanità, el flujo puede describirse como sigue.

Los centros sanitarios (A) recogen los datos relativos a las intervenciones y los dispositivos implantados (Conjunto Mínimo de Datos – MDS) y los transmiten al Centro Regional de Referencia (B), que los vincula con los formularios de alta hospitalaria correspondientes (SDO) y transmite los datos vinculados al Istituto Superiore di Sanità (ISS) (C) para su posterior procesamiento y para la presentación de los datos en forma agregada (Informe).

En particular:

a) Antes de la transmisión de los datos enlazados de B a C, B deberá seudonimizar el código de identificación del paciente según un algoritmo específico (de acuerdo con lo definido en la Ley nº 262, apartado 5.1 publicada en el Boletín Oficial 7/12/2016) y estandarizar el cifrado de los datos de acuerdo con los datos nacionales para que el seudónimo se asigne de forma segura de acuerdo con la normativa;

b) Los datos son recogidos por los hospitales y centros participantes en el proyecto siguiendo las indicaciones proporcionadas a nivel local por cada región participante. Para las regiones que aún no han implementado su propio flujo de recogida de datos, el SSI ha puesto a disposición un soporte informático (plataforma RaDaR, Raccolta Dati Ricoveri) útil para la recogida del MDS;

c) Los datos de los productos sanitarios implantados se adquieren seleccionando el código de producto correspondiente del Diccionario RIAP-DM, una base de datos que contiene actualmente más de 90.000 códigos de producto, alimentada constantemente por las empresas fabricantes y accesible por el operador directamente desde la plataforma RaDaR. Para las regiones que no utilizan RaDaR, el SSI ha proporcionado servicios web específicos que permiten la interconexión de los sistemas locales con el Diccionario RIAP-DM. El Grupo de Trabajo RIAP verifica la calidad de los datos cargados en el Diccionario RIAP-DM mediante la comparación con la información homóloga presente en la Base de Datos Nacional de Productos Sanitarios del Ministerio de Sanidad. Tras seleccionar el dispositivo en el Diccionario RIAP-DM, el operador introduce en la plataforma los datos relativos al lote de producción, información disponible en las etiquetas adhesivas presentes en la caja del dispositivo;

d) El ISS recoge todos los datos de la base de datos del RIAP y evalúa su calidad mediante la aplicación de una serie de comprobaciones sintácticas y semánticas. A continuación, se procesan los datos que han superado el control de calidad.

Decreto del Consejero de la Región de Sicilia – Cabe preguntarse sobre la legitimidad y la compatibilidad con el marco normativo nacional y de la Unión Europea de la disposición de la Región de Sicilia sobre la obligación (sustancial) de facilitar dichos datos, a falta de lo cual no se reconocería la contribución de la RSS, con la fatal consecuencia de un posible obstáculo al acceso a la asistencia sanitaria por parte de quienes decidan no facilitar dichos datos al RIAP.

De hecho, el decreto establece que «todas las operaciones ortopédicas con prótesis implantables de cadera, rodilla, hombro y tobillo que no estén registradas en el RIAP no serán remuneradas».

El derecho a la protección de datos personales como derecho fundamental no absoluto es una condición previa para el ejercicio de otros derechos fundamentales -y en este caso absolutos e incondicionales- como el derecho a la salud.

No es un derecho tirano, pero tampoco se puede restringir de tal manera que se anule a sí mismo, anulando toda protección y garantía. O bien se incluye el RIAP/RIPI entre los registros de relevancia nacional y autonómica, que es obligatorio que mantengan los centros sanitarios, mediante la publicación del correspondiente Reglamento, previo dictamen de la Autoridad de la Privacidad, o bien, a la espera de la publicación del citado Reglamento, se elimina la disposición según la cual la retribución del servicio está sujeta al consentimiento prestado por el paciente.

Además de los aspectos técnicos que hemos tratado de resaltar en la mayor brevedad posible, esta disposición también plantea importantes dificultades operativas: ¿cómo gestionar, por ejemplo, la posible retirada del consentimiento por parte del usuario una vez prestada la asistencia sanitaria? ¿Cuáles son los efectos en la notificación de los servicios por parte de los centros sanitarios?

La intervención decisiva, durante la fase consultiva, de la Autoridad de la protección de datos personales es directamente requerida por el dictado normativo para la emisión de un Reglamento que deberá ocuparse, entre otras cosas, de la definición de un sistema de codificación que no permita la identificación directa del interesado, para la institución del RIPI, para identificar los sujetos que pueden tener acceso a los registros y los datos que pueden conocer, así como las medidas para la custodia y seguridad de los datos.

Mientras tanto, es muy deseable una intervención de la Autoridad para resolver el nudo gordiano de un consentimiento con fines científicos expresado por el interesado como condición previa para acceder a la asistencia sanitaria en convenio con el Servicio Regional de Salud.

FUENTE: FEDERPRIVACY