La receta electrónica europea se aplaza al entrar en conflicto con la ley de protección de datos

La Unión Europea se ha puesto como objetivo que en 2023 los 27 Estados miembros, entre los que se encuentra España, tengan integrada en una sola red las farmacias y sistemas de salud para que cualquier ciudadano pueda retirar los medicamentos que le ha prescrito su médico en cualquier parte de la Unión.

Los expertos ven "imposible" alcanzar este objetivo en tan corto plazo de tiempo. Aunque los desarrollos digitales ya existen y están al alcance de los Gobiernos, hace falta adaptar la legislación. Algo que, con frecuencia, va por detrás de cómo actúan las propias empresas.

El problema de hacer interoperables datos sanitarios de 27 países distintos no es sólo quién los provea o los revise, sino hasta dónde pueden consultar nuestros datos personales y cómo regular su validación. Por ejemplo, en el caso de los datos sanitarios existe un reglamento muy complejo (tanto a nivel europeo como español) que los expertos llevan años intentando que se actualice.

Los mismos expertos que aportan soluciones para que existan identidades digitales con aplicación sanitaria creen que la interoperabilidad del sistema sanitario se sitúa en un futuro lejano si no se actualizan las leyes. Por ejemplo, la acreditación eIDAS (sistema de reconocimiento de identidades electrónicas) todavía está siendo revisada por parte de los organismos de la Unión Europea.

Fabián Torres, director de desarrollo de negocio de SICPA, y Martín Sarobe, CEO de la compañía, son dos de las voces que aseguran que, si los aspectos legales estuvieran actualizados y se hubieran adaptado a las nuevas tecnologías, este proyecto podría ser una realidad en "dos años", a partir de la actualización de las legislaciones de protección de datos.

Su empresa, SICPA, proporciona tintas de seguridad para billetes y otro tipo de documentos sensibles aunque, en los últimos tiempos, está apostando por el mundo digital. Tras proporcionar seguridad digital a las tintas, esta empresa suiza se ha metido de lleno en el terreno de las identidades digitales autogestionadas. El futuro para la gestión de datos en red, también aplicada al mundo sanitario.

Gracias a su experiencia, SICPA ha entregado una prueba de concepto (a petición de la propia Comisión Europea) para la puesta en marcha de la tarjeta sanitaria europea. Un revolucionario proyecto combinado con el eIDAS y con la ley de protección de datos.

Además, desde hace unos meses, la compañía ha empezado a trabajar con la propia Comisión Europea y con Estado Unidos en un programa de unificación de datos sanitarios entre sus ciudadanos. Un sistema de "puentes" que pretende relacionar administraciones y los datos de cada usuario. Uno de los errores que más se producen actualmente en el mundo de la identificación digital.

Ambos proyectos se apoyan en la idea de la identidad digital. Un concepto innovador por el que se pretende que sea el ciudadano el gestor de sus propios datos y no el Estado. A modo de ejemplo, los expertos de SICPA hacen alusión a los historiales clínicos: el paciente tiene que solicitar al médico (es decir, a la Administración) sus últimos análisis, pero no es 'dueño' de ellos.

Fabián Torres, Director de Desarrollo de Negocio de SICPA, y Martín Sarobe, CEO de SICPA SICPA.

En definitiva, la identidad digital autogestionable sirve para que las personas se identifiquen digitalmente para poder hacer cualquier tipo de transacción, ya sea con la Administración o con una empresa, eliminando poco a poco el soporte papel y reduciendo los trámites burocráticos.

La idea de la identidad digital autogestionada es que sea el paciente quien disponga de ella en su Wallet (monedero electrónico que todos tenemos en un móvil) y que sea él mismo quién decida qué enseña y cómo.

Sarobe pone un ejemplo muy sencillo. "Si quiero acceder, por ejemplo, a una discoteca donde está prohibido el acceso a menores de 18 años, enseñando mi DNI pueden ver dónde vivo y quiénes son mis padres. Pero con esta identidad, yo puedo dar mis credenciales en las cuales digan mi nombre y simplemente la edad. Nada más".

Es decir que, en cada ocasión, es el usuario el que gestiona todos sus datos y protege su privacidad mostrando sólo lo requerido. Lo mismo ocurre en el mundo sanitario. Si un paciente quiere pedir un producto a la Administración (es decir un farmacéutico), puede proporcionar sólo la información de dicho medicamento y no su dolencia u otros fármacos que no quiera adquirir en ese mismo establecimiento.

Pero, ¿si la ley de protección de datos no permite almacenar fotografías de personas, cómo es posible que una autoridad sepa que esa identidad digital es de la persona que tiene delante y no incurra en fraude? "Mediante un clip de caracteres en el que no hay una tecnología inversa", explica Fabián Torres. Para ello usan la tecnología Blockchain, conocida por la verificación de todas las criptomonedas.

Ley de protección de datos

Torres asegura que este tipo de tecnologías, además, podrían solventar muchos de los problemas que hay respecto a la identidad del paciente (personas que se hacen pasar por otras con sistemas de salud privados o errores humanos a la hora de dispensar medicamentos en un hospital). Según las cifras recogidas por SICPA, sólo en EEUU 2,3 millones de personas han sufrido una suplantación de identidad en su seguro de salud.

Por el momento, todo el sector está esperando a que se modifique la ley de protección de datos, pero no es nada fácil. Recientemente (a principios del mes de octubre) la Audiencia Nacional dictaminó que los datos médicos, o datos relativos a la salud, entran dentro de una categoría especial de datos personales, de acuerdo con el Reglamento General de Protección de Datos, para cuyo tratamiento se requiere el "consentimiento explícito" del interesado.

Hay que recordar que la Ley Orgánica 3/2018 de 5 de diciembre de protección de datos personales y garantía de los derechos digitales (LOPDGDD) se denunció por el sector como una "oportunidad perdida" de haber conseguido para los datos sanitarios una "deseada y necesaria" regulación legal propia y específica, como demandaba la Sociedad Española de Salud Pública y Administración Sanitaria (SESPAS).