Mediante la Orden de 21 de julio de 1994, por la que se regulan los ficheros con datos de carácter personal gestionados por el Ministerio de Sanidad y Consumo, se dio cumplimiento a lo establecido en la disposición final segunda de la Ley Orgánica 5/1992, de 29 de octubre, de regulación del tratamiento de los datos de carácter personal.
El artículo 20.1 de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, dispone que la creación, modificación o supresión de los ficheros de las Administraciones Públicas sólo podrá hacerse por medio de disposición general publicada en el «Boletín Oficial del Estado» o diario oficial correspondiente.
Mediante esta orden se procede a modificar la Orden de 21 de julio de 1994, con el fin de completar la relación de ficheros con datos de carácter personal gestionados por el Ministerio de Sanidad, Servicios Sociales e Igualdad, creándose dos nuevos ficheros, denominados «Base de datos clínicos de atención primaria-BDCAP» y «Autorizados SIAP».
En la tramitación de esta orden ha emitido informe preceptivo la Agencia Española de Protección de Datos.
En su virtud, dispongo:
Se amplía el contenido del anexo 2 «Ficheros de Carácter Administrativo» de la Orden de 21 de julio de 1994, por la que se regulan los ficheros con datos de carácter personal gestionados por el Ministerio de Sanidad y Consumo, con la creación de dos nuevos ficheros, denominados «Base de datos clínicos de atención primaria (BDCAP)» y «Autorizados SIAP», cuyos datos figuran en el anexo de esta orden.
La Dirección General de Salud Pública, Calidad e Innovación, por medio de la Subdirección General de Información e Innovación del Ministerio de Sanidad, Servicios Sociales e Igualdad, procederá a la notificación de la creación de estos ficheros a la Agencia Española de Protección de Datos, para la realización de los trámites oportunos para su inscripción en el correspondiente Registro General de Protección de Datos.
La Dirección General de Salud Pública, Calidad e Innovación, adoptará, bajo la superior dirección del Ministerio de Sanidad, Servicios Sociales e Igualdad, las medidas de gestión y organización que sean necesarias, asegurando, en todo caso, la confidencialidad, seguridad e integridad de los datos, así como las conducentes a hacer efectivas las garantías, obligaciones y derechos reconocidos en la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal, en su Reglamento de desarrollo aprobado por Real Decreto 1720/2007, de 21 de diciembre, y demás normas de desarrollo.
Los datos de carácter personal registrados en los ficheros relacionados en el anexo sólo serán utilizados para los fines expresamente previstos y por el personal debidamente autorizado.
Los datos contenidos en estos ficheros sólo podrán ser cedidos en los supuestos expresamente previstos por la Ley.
La presente orden entrará en vigor el día siguiente al de su publicación en el «Boletín Oficial del Estado».
Madrid, 20 de enero de 2014.–La Ministra de Sanidad, Servicios Sociales e Igualdad, Ana Mato Adrover.
1. Fichero: Base de datos clínicos de atención primaria (BDCAP).
Denominación del fichero: «Base de datos clínicos de atención primaria (BDCAP)».
Finalidad y usos previstos: Proporcionar información sobre el proceso de atención clínica registrado en las consultas de atención primaria; esto es, sobre la morbilidad atendida, las intervenciones realizadas y ciertos resultados alcanzados en el ámbito del primer nivel de atención. El objetivo principal es la realización de estadísticas y la obtención de indicadores, tales como los relacionados con el análisis de la morbilidad atendida, los procesos más frecuentes, la calidad asistencial, o la aproximación a la eficiencia. Permitirá la construcción de indicadores autonómicos, nacionales e internacionales, o por otro tipo de agregaciones, como los estratos en los que se agrupan zonas básicas de salud, u otros criterios de interés sanitario. Además, servirá como patrón de referencia para las administraciones y como base de datos para la investigación clínica y epidemiológica.
Origen de los datos: Colectivo de personas sobre los que se pretende obtener datos de carácter personal o que resulten obligados a suministrarlos: Muestra aleatoria de ciudadanos con tarjeta sanitaria individual (TSI), que son usuarios de la sanidad pública en centros de Atención Primaria (Centros de Salud y Consultorios Locales), de España.
Procedencia y procedimiento de recogida de datos de carácter personal: Extracción de los datos previstos de los usuarios seleccionados, a partir de los registros de las historias clínicas electrónicas. Serán extraídos por los Servicios de Salud de cada comunidad autónoma.
Estructura básica del fichero: Base de datos.
Datos de carácter personal incluidos en el fichero: El fichero contiene una variable de identificación de carácter personal: el código de identificación personal (CIP) de la Tarjeta Sanitaria Individual (TSI). Dicho código será, preferentemente, el código del Sistema Nacional de Salud (SNS) o, en su defecto, el código de la Tarjeta de la comunidad autónoma en la que esté adscrito en el momento de extraer los datos. El único modo de identificar a un usuario concreto a partir del CIP es acudir a otra base de datos independiente y protegida con nivel alto, la base de datos de población protegida del Sistema Nacional de Salud integrados en la base de datos de Tarjeta Sanitaria Individual (BDTSI-SNS).
Un motivo para incluir el CIP es el de poder realizar, en su caso, cruces con otras bases de datos, como es la BD-TSI del SNS antes aludida, con objeto de poder obtener datos de aseguramiento –y otras variables de interés sanitario– y asignarlos a la población contenida en la BDCAP. Ello tiene como finalidad la realización de análisis poblacionales de desigualdades en salud y factores condicionantes de la misma, de interés epidemiológico (en ningún caso para análisis individual).
Una vez cargados los datos originarios y efectuados los cruces antes mencionados, dichos datos serán volcados a una BD de explotación en la que se encontrará disociado el CIP del resto de información objeto de análisis, mediante la aplicación previa de un algoritmo que transformen los CIP en códigos anónimos.
El CIP se anonimizará mediante una función resumen unidireccional. Inicialmente se empleará el algoritmo SHA-256 y, si el avance de la ciencia lo hace necesario, se sustituirá en el futuro por algoritmos de mayor fortaleza criptográfica.
Por tanto, todas las manipulaciones que se realicen de los datos para su explotación estadística se realizarán con datos anónimos, no siendo posible, en ningún caso, su asociación con el CIP de las personas ni, por consiguiente, su potencial identificación, ya que solo se explotarán los datos una vez anónimos y los algoritmos utilizados para ello tienen carácter irreversible.
Todo el proceso y bases de datos estarán sometidos a los criterios y medidas de seguridad establecidos en Ley Orgánica 15/1999, de 13 de diciembre, en su Reglamento de desarrollo aprobado por Real Decreto 1720/2007, de 21 de diciembre, y demás normas de desarrollo.
Otras variables que incluye la BDCAP de las personas usuarias de los centros seleccionados en la muestra son:
De tipo administrativo: Comunidad Autónoma y Equipo de Atención Primaria al que está adscrito el usuario, fecha de nacimiento, fecha de defunción –en su caso–, sexo, país de nacimiento, ocupación, nivel de estudios.
Además de lo anterior, esta base de datos incluye la relación de las personas autorizadas en la comunidad autónoma respectiva para el acceso a los aplicativos. De estas personas consta el nombre y apellidos, correo electrónico profesional y DNI y deben estar en posesión de certificación electrónica.
De tipo clínico: Según consten en la historia clínica, se incorporarán los siguientes datos codificados: Problemas de salud que padece o ha padecido, clasificación utilizada para la codificación, fechas de inicio y cierre –si procede– de dichos problemas; procedimientos diagnósticos o terapéuticos que se le han realizado y su fecha de realización; especialidades hospitalarias consultadas (interconsultas) y su fecha; prescripciones farmacéuticas y su fecha; cifras resultantes de la medición de ciertos parámetros seleccionados y su fecha; fecha de las visitas que ha realizado.
Todos estos datos se recopilarán, acumulados, con periodicidad anual.
La base de datos implica también la existencia de un fichero con la relación de profesionales de las comunidades autónomas autorizados a la carga de los datos anuales antes mencionados.
Cesiones de datos y/o transferencias de datos que se prevean a terceros países: El fichero tendrá carácter público. La cesión de datos unitarios (microdatos) implica la disociación previa de los datos personales con carácter irreversible, de forma que solo se podrá acceder a los datos anónimos. No se prevén transferencias de datos a terceros países.
Servicios o Unidades ante los cuales se podrá ejercitar el derecho de acceso, rectificación, cancelación y oposición: Subdirección General de Información Sanitaria e Innovación. Dirección General de Salud Pública, Calidad e Innovación. Ministerio de Sanidad, Servicios Sociales e Igualdad. Paseo del Prado, 18-20. 28071 Madrid.
Medidas de seguridad con indicación de nivel: Nivel Alto.
Sistema de Tratamiento: Automatizado.
2. Fichero: Autorizados SIAP.
Denominación del fichero: Autorizados SIAP.
Finalidad y usos previstos: Estar dado de alta en la aplicación habilitada por el Ministerio de Sanidad, Servicios Sociales e Igualdad, para que los responsables de las comunidades autónomas autorizados pueda acceder a la base de datos de SIAP (Sistema de Información de Atención Primaria) e incorporar en ella los datos de su comunidad autónoma.
Origen de los datos: Designaciones de los responsables autonómicos respecto de los profesionales autorizados en su comunidad autónoma para introducir datos en la aplicación de carga del SIAP.
Estructura básica del fichero: Base de datos.
Datos de carácter personal incluidos en el fichero: El fichero contiene datos relativos a los profesionales autorizados consistentes en nombre y apellidos, correo electrónico profesional y DNI.
Cesiones de datos y/o transferencias: No existe ningún tipo de cesión de datos.
Servicios o Unidades ante los cuales se podrá ejercitar el derecho de acceso, rectificación, cancelación y oposición: Subdirección General de Información Sanitaria e Innovación. Dirección General de Salud Pública, Calidad e Innovación. Ministerio de Sanidad, Servicios Sociales e Igualdad. Paseo del Prado, 18-20. 28071 Madrid.
Medidas de seguridad con indicación de nivel: Nivel Básico.
Sistema de Tratamiento: Automatizado.
Agencia Estatal Boletín Oficial del Estado
Avda. de Manoteras, 54 - 28050 Madrid