La necesidad y utilidad de interconectar datos no generan per se el levantamiento de medidas sobre su protección y la confidencialidad de información sensible que debe preservarse. El sector salud no es ajeno ni a la necesidad del uso de información ni, en especial, a la necesidad de proteger información que es especialmente sensible. Antes de adentrarnos en el concepto de la interoperabilidad, es importante precisar el marco normativo de la historia clínica, así como su importancia y alcance en el marco de las atenciones en salud.

La Ley 23 de 1981 o Ley de Ética Médica dispone en su Artículo 34 que “la historia clínica es el registro obligatorio de las condiciones de salud del paciente. Es un documento privado sometido a reserva que únicamente puede ser conocido por terceros previa autorización del paciente o en los casos previstos por la Ley”.

Posteriormente, en 1999 se establecieron normas para el manejo de la historia clínica. Se definió lo siguiente:

La Historia Clínica es un documento privado, obligatorio y sometido a reserva, en el cual se registran cronológicamente las condiciones de salud del paciente, los actos médicos y los demás procedimientos ejecutados por el equipo de salud que interviene en su atención. Dicho documento únicamente puede ser conocido por terceros previa autorización del paciente o en los casos previstos por la ley. (Res 1995 de 1999, Art. 1.°)

Sobre la seguridad del archivo de la historia clínica, esta norma dispuso :

El prestador de servicios de salud, debe archivar la historia clínica en un área restringida, con acceso limitado al personal de salud autorizado, conservando las historias clínicas en condiciones que garanticen la integridad física y técnica, sin adulteración o alteración de la información.

Las instituciones prestadoras de servicios de salud y en general los prestadores encargados de la custodia de la historia clínica, deben velar por la conservación de la misma y responder por su adecuado cuidado. (Res. 1995 de 1999, Art. 16)

Ya en 1999, se avizoraba la incursión de la tecnología y se estableció en relación con los medios técnicos de registro y conservación de la historia clínica así:

Los Prestadores de Servicios de Salud pueden utilizar medios físicos o técnicos como computadoras y medios magnetoópticos, cuando así lo consideren conveniente, atendiendo lo establecido en la circular 2 de 1997 expedida por el Archivo General de la Nación, o las normas que la modifiquen o adicionen.

Los programas automatizados que se diseñen y utilicen para el manejo de las Historias Clínicas, así como sus equipos y soportes documentales, deben estar provistos de mecanismos de seguridad, que imposibiliten la incorporación de modificaciones a la Historia Clínica una vez se registren y guarden los datos.

En todo caso debe protegerse la reserva de la historia clínica mediante mecanismos que impidan el acceso de personal no autorizado para conocerla y adoptar las medidas tendientes a evitar la destrucción de los registros en forma accidental o provocada.

Los prestadores de servicios de salud deben permitir la identificación del personal responsable de los datos consignados, mediante códigos, indicadores u otros medios que reemplacen la firma y sello de las historias en medios físicos, de forma que se establezca con exactitud quien realizó los registros, la hora y fecha del registro. (Res. 1995 de 1999, Art. 18)

Y respecto de un asunto no menos importante, el relacionado con la custodia de la historia clínica, se dispuso que esta estaría

a cargo del prestador de servicios de salud que la generó en el curso de la atención, cumpliendo los procedimientos de archivo señalados en la presente resolución, sin perjuicio de los señalados en otras normas legales vigentes. El prestador podrá entregar copia de la historia clínica al usuario o a su representante legal cuando este lo solicite, para los efectos previstos en las disposiciones legales vigentes. (Res. 1995 de 1999, Art. 13)

En cuanto al acceso a la historia clínica, se establece lo siguiente:

Podrán acceder a la información contenida en la historia clínica, en los términos previstos en la Ley:

1) El usuario.

2) El equipo de salud[1].

3) Las autoridades judiciales y de Salud en los casos previstos en la Ley.

4) Las demás personas determinadas en la ley.

PARÁGRAFO. El acceso a la historia clínica se entiende en todos los casos, única y exclusivamente para los fines que de acuerdo con la ley resulten procedentes, debiendo en todo caso, mantenerse la reserva legal. (Res 1995 de 1999, Art. 14)

En la precedente normativa que data de antes del 2000, encontramos disposiciones importantes relacionadas con la significancia de la historia clínica y la responsabilidad del manejo que le atañe a las instituciones hospitalarias. Otra normativa posterior ha preservado esos aspectos fundamentales y las modificaciones se han encaminado a armonizar y hacer compatible la historia clínica con los avances tecnológicos y las nuevas formas de generar y custodiar información.

En la Ley 1438 de 2011, se dio apertura a la necesidad de establecer y reglamentar la historia clínica electrónica. En ese momento, en el parágrafo 112 se estableció que “La historia clínica única electrónica [sería] de obligatoria aplicación antes del 31 de diciembre del año 2013, y [tendría] plena validez probatoria”. Este parágrafo fue derogado por la Ley 1753 de 2015 o Plan Nacional de Desarrollo 2014-2018, pues se cumplió el término y nada se avanzó en ese sentido.

Recientemente, se avanzó en la expedición de Leyes para definir el marco de la historia clínica electrónica. Así, en el 2020, mediante la Ley 2015, se creó la historia clínica electrónica interoperable y se dictaron otras disposiciones. Se establece que con la interoperabilidad de la historia clínica electrónica (IHCE)

se intercambiarán los elementos de datos clínicos relevantes, así como los documentos y expedientes clínicos del curso de vida de cada persona. A través de la Historia Clínica Electrónica se facilitará, agilizará y garantizará el acceso y ejercicio de los derechos a la salud y a la información de las personas, respetando el Hábeas Data y la reserva de la misma. (Ley 2015 de 2020, Art., 1)

Para comprender el alcance y espíritu del Legislador, vale traer a colación las definiciones dadas por dicha Ley y la resolución reglamentaria:

• Historia clínica electrónica. Es el registro integral y cronológico de las condiciones de salud del paciente, que se encuentra contenido en sistemas de información y aplicaciones de software con capacidad de comunicarse, intercambiar datos y brindar herramientas para la utilización de la información refrendada con firma digital del profesional tratante. Su almacenamiento, actualización y uso se efectúa en estrictas condiciones de seguridad, integridad, autenticidad, confiabilidad, exactitud, inteligibilidad, conservación, disponibilidad y acceso, de conformidad con la normatividad vigente (Ley 2015 de 2020, Art., 2).
• Interoperabilidad de datos clínicos relevantes de la historia clínica. Se trata de la capacidad de los actores del Sistema de Salud del país para intercambiar información y conocimiento de los datos de la historia clínica, en el marco de los procesos de salud, para interactuar hacia objetivos mutuamente beneficiosos, con el propósito de facilitar la entrega de servicios en línea a las personas, empresas y a otras entidades, mediante el intercambio de datos entre sus sistemas.

Esta Ley reiteró que todos los prestadores de servicios de salud, públicos o privados, seguirían teniendo la responsabilidad de la guarda y custodia de las historias clínicas de las personas en sus propios sistemas tecnológicos, de acuerdo con las leyes vigentes sobre la materia, y que también serían responsables los demás actores del sistema involucrados en el marco de la interoperabilidad (Ley 2015 de 2020, art., 5).

En la Ley también se prohíbe la divulgación de los datos de cualquier persona consignados en la historia clínica electrónica, y hacerlo constituye falta gravísima para los profesionales de la salud y para los servidores públicos.

En junio de 2021 se expidió la Resolución 866, mediante la cual se reglamenta el conjunto de elementos de datos clínicos relevantes de la historia clínica en el país, para su interoperabilidad, bajo los principios de finalidad, acceso y circulación restringida, seguridad y confidencialidad definidos en la Ley 1581 de 2012 y se establecen las disposiciones para su implementación.

Los datos relevantes definidos corresponden a aquellos datos de la historia clínica de una persona relacionados con la atención recibida en los servicios de salud, el uso de las tecnologías en salud y los resultados del uso de estas en cualquiera de las fases de atención, esto es, promoción, prevención, diagnóstico, tratamiento, rehabilitación o paliación de la enfermedad (Res 866, 2021, Art. 3).

En esta resolución se reitera la responsabilidad de los actores en el tratamiento de los datos que suministran las personas y de los que les suministren otras entidades. En cuanto a la seguridad de la información y seguridad digital, la Resolución dispone que los actores deben “establecer planes, políticas y procedimientos de seguridad y privacidad de la información, seguridad digital.”

En el manejo de la historia clínica y los datos interoperables también debe tenerse en cuenta el cumplimiento de los principios y disposiciones de la Ley 1581 de 2012 sobre la protección de datos personales, debiendo  los agentes involucrados ajustar sus sistemas de información a la estructura y formato adoptado en la Resolución 866 de 2021, que concedió seis meses para integrarlos e interoperarlos a partir de que se disponga del mecanismo de interoperabilidad por parte de los Ministerios de Salud y Protección Social y de Tecnologías de la Información y las Comunicaciones.

Actualmente, el Ministerio trabaja en el proyecto de transformación digital bajo unos ejes estratégicos que involucran a todos los agentes del sistema de salud colombiano, con miras a mejorar el estado de salud de la población, responder a las expectativas de los usuarios y mantener la sostenibilidad financiera del Sistema.

No obstante, el trabajo y desarrollo de ese proyecto, las disposiciones tanto de la Ley 2015 de 2020 como de la Resolución 866 de 2021 se encuentran vigentes y en ejecución.

El marco normativo precedente y la responsabilidad e implicaciones del manejo de la historia clínica y de los datos interoperables permiten establecer que, si bien el concepto de interoperabilidad se refiere al intercambio de información, manejo y uso de datos para las atenciones en salud, esto no modifica o remplaza las disposiciones en materia de seguridad y confidencialidad; por el contrario, se enfatiza en el manejo responsable de dichos datos.

Conforme a esas consideraciones, es preciso tener en cuenta que las Instituciones del sector salud deben ajustar sus sistemas de información y programas conforme a la reciente normativa, garantizando la confidencialidad de la historia clínica. En cuanto a los datos interoperables, esto es, los que según la normatividad se deben intercambiar, las Entidades deben tener en cuenta las disposiciones de la Resolución 866 de 2021 y su anexo y establecer los fines y modos de intercambio o suministro de dicha información, que valga reiterar no se refiere a todo el contenido de la historia clínica.

Los sistemas de información deben garantizar que a la historia clínica de los pacientes solo tenga acceso el equipo tratante conforme a lo señalado en la Resolución 1995 de 1999. Los datos interoperables definidos se comparten para los fines que persigue la norma y, en especial, para dar continuidad e integralidad de una atención en salud.

La normativa expedida y los fines de interoperabilidad —loables, por demás— han tenido algunas interpretaciones indebidas, pues se viene creyendo por parte de algunos agentes del Sistema de Salud que el concepto de interoperable es sinónimo de acceso sin restricciones y que se trata de todo el historial clínico, no obstante, conforme al marco normativo que se ha descrito es clara la responsabilidad que le atañe a quienes tienen la guarda y confidencialidad de la historia clínica y de los datos que son interoperables

No debe olvidarse que, si bien se dispone que las IPS debe garantizar el acceso a través de medios electrónicos o digitales, con el fin de facilitar los procesos de auditoría y seguimiento a las entidades responsables de pago. La norma señala que estas entidades deben cumplir con las condiciones de seguridad adoptadas por el prestador para la guarda y custodia de los datos personales y sensibles contenidos en la historia clínica (Dec. 780 de 2016, Art., 2.5.3.4.3.4).

Es preciso enfatizar en que, respecto de las atenciones en salud brindadas a pacientes en el ámbito institucional, es responsabilidad de la IPS la custodia de las historias clínicas y la garantía de su confidencialidad también lo es. No debe confundirse la interoperabilidad de algunos datos con el acceso a todo el historial médico, por parte de terceros que no hacen parte del equipo médico tratante; y en cuanto al acceso por parte de autoridades o auditores, este se enmarca en procesos de auditoría, tal como lo dispone la normativa referida [2]