jueves, 3 de abril de 2014

El médico de mi hijo.

Dicen que aquel 11 de abril de 1959 no hubo nada especial que destacar. Una primavera más, que, según el periódico de aquel día, entre otras noticias, aparecían unas elecciones en Austria, un artículo del insigne Wenceslao Fernández Flórez y por último, la creación del Montepío del servicio doméstico...

Algo más pasó ese día. En la Ciudad de la Villa y Corte nacía un niño, que, a buen segur, cuando sacó la cabecita puso cara de sorpresa y pensó probablemente algo muy parecido a "¡Ay va! ¿Dónde estoy? ¿Qué es esto?".

Este niño curioso -que aún vive en su interior- es hoy un hombre hecho y derecho, pediatra por más señas; "enfant terrible" para unos y para otros probablemente uno de los médicos más mediáticos -y cercanos, doy fe- de España. 

Responde al nombre de Jesús Martínez, y entre otras cosas, es el "padre" del grupo de Facebook "El médico de mi hijo", un auténtico salvavidas -altruista- para padres que no pocas visitas nocturnas a servicios de urgencias debe haber evitado. Un grupo donde clínicos, padres y educadores, en pie de igualdad, intentan resolver las dudas que a más de una madre -sobre todo a las primerizas- pueden asaltar sobre temas como puede ser crecimiento, lactancia, educación...

No es la primera vez que hablo de este grupo. Pero hoy no corresponde hablar del grupo, sino de que Jesús se ha liado la manta a la cabeza y nos ha regalado con un libro que estoy seguro que, si tiene algo, es que rezuma sentido común.

Y es que los niños vienen sin manual de instrucciones. Sí. Es verdad. La cartilla de vacunación no lo es. Hay países como Reino Unido en el que el NHS entrega un libro con consejos de crianza gratuitamente a todas las madres, pero este no es el caso español. 

Así que imaginaos que para alguien como yo, que hace muchos años fui padre primerizo -y miembro del selecto grupo de papis que se encargaban de llevar a la niña al pediatra porque los horarios de la madre no lo permitían- lo bien que me hubiera ido tener a mano semejante compendio del saber.

Aún no dispongo del libro -confío en que me llegue pronto- pero por lo poco que he visto será una herramienta muy útil para aquellos padres y madres que quieran tener a mano las orientaciones siempre sensatas de Jesús.

Mi recomendación: ¡compradlo! Es un must. ¿Dónde? En librerías o en Amazon.

jueves, 13 de marzo de 2014

#Teléfono: uso clínico, seguridad y legislación aplicable.

Tras la extraordinaria acogida del post anterior sobre Telegram, me quedó la inquietante duda de que a veces queremos ser más papistas que el Papa.

Dicho esto, cabe recordar que nuestra legislación de protección de datos no tiene un alcance limitado sólo a los sistemas de información electrónicos; en realidad cubre TODOS los aspectos que tienen que ver con datos, tengan la índole que tengan y estén soportados en el soporte que sea.

Es decir, dejar una HC en papel encima del mostrador a la vista de todos, el carrito de HC sin vigilancia, abandonar la consulta o el box de urgencias con el paciente dentro sin bloquear la estación de trabajo para impedir su manipulación, llamar en voz alta o por megafonía al paciente por su nombre y apellidos en la consulta son también vulneraciones de la norma.

Después de haber hablado de Telegram y Whatsapp, y leer noticias como las de las consultas telefónicas del Servicio Gallego de Salud, a uno le asalta la duda si realmente las comunicaciones telefónicas con red fija o móvil hacia centros y profesionales de salud cumplen los mismos criterios que sin rubor alguno exigimos a los sistemas de mensajería instantánea. 

Salvando las distancias, podemos asumir que el servicio de consulta telefónica basado en terminales telefónicos para comunicaciones de voz es otro modelo de mensajería instantánea.

Cuando hablamos de comunicaciones por voz, siempre tenemos en mente la telefonía fija y la telefonía móvil. 

Dentro de las modalidades de voz fija tenemos RTC (por Red Telefónica Conmutada), los sistemas de teléfonos de toda la vida y VoIP (Voz sobre IP), en los que la voz se digitaliza en el terminal de origen y pasa a ser un "chorro" de bits como puede ser cualquier transmisión digital como la de los datos de mensajeria instantánea. En ambos casos la información en principio no está cifrada.

Dentro de las modalidades de telefonía móvil tenemos GSM (Global System for Mobile) donde se digitaliza y cifra la voz en origen, pero sin embargo no se usa un protocolo IP, y VoIP cuyo funcionamiento es similar al de su contrapartida de telefonía fija.

Cabe decir que cuando un usuario / ciudadano / paciente se comunica con un centro de salud, sea público o privado, usa las comunicaciones que tiene a su disposición, es decir, sin cifrar, y sea cual sea el origen de la llamada por parte del ciudadano, habrá un número con una numeración determinada en el lado del proveedor de servicios de salud.

Claro, el ciudadano puede llamar desde su número fijo de casa, puede usar VoIP como Skype con saldo para llamar a un número de teléfono convencional, puede usar su movil con su número convencional, puede usar servicios basados en web/app como FonYou o uno super-novedoso de Ashley-Madison para iPhone y Android- sí, sí, los de la web de infidelidades- que por un módico precio se puede contratar un número de teléfono de cualquier parte del mundo para hacer y recibir llamadas...

En conexiones RTC, la trazabilidad la tenemos garantizada, así como en el caso de las centralitas telefónicas VoIP de los centros sanitarios -aunque tengo mis dudas si la central es del tipo virtual, ya que la electrónica no está físicamente en el centro- pero, ¿y en el caso del paciente?

Si llama desde casa por RTC, se puede trazar. Si llama por VoIP, en función del proveedor, puede o no ser trazable la comunicación. En el caso de Skype, puede ser imposible trazar la llamada desde el terminal al gateway de conexión a la red telefónica convencional.

Si se llama por GSM, la comunicación puede ser trazable, mientras que VoIP, se comporta como el caso de red fija.

Mención aparte la tienen los buzones de voz, pues no he visto en las condiciones de uso de las compañías telefónicas ninguna cláusula que indique dónde se guardan dichos mensajes.

Así pues tengo claro que:
  • las comunicaciones no van cifradas.
  • hay dudas sobre la trazabilidad de las comunicaciones VoIP con origen en el ciudadano.
  • hay dudas sobre la trazabilidad con las centralitas VoIP virtuales que están disponibles comercialmente y que por costo, puedan estar operando en centros pequeños.
  • hay dudas en la identificación unívoca en ambos extremos de la comunicación, sobre todo en el lado del ciudadano.
  • pero nadie pone en duda el uso del teléfono como elemento de comunicación universal con un centro sanitario para prestación de servicios de consulta y orientación.
Tras examinar la Ley General de Telecomunicaciones, y en particular los artículos 33 -secreto de las comunicaciones- y 34 -protección de datos de carácter personal- entiendo que podemos hacer la misma comparación que hice en los post de Whatsapp y Telegram para ver hasta que punto el uso del teléfono como tal es pertinente en un entorno clínico.

En el caso que nos ocupa, una teleconsulta, hay 7 consideraciones a tener en cuenta:

1) No se puede realizar un diagnóstico no presencial, pero sí una valoración u orientación diagnósticas, el diagnóstico sólo lo puede hacer un médico que físicamente esté al lado del paciente, de acuerdo con la legislación española. Este punto es de aplicación por parte del clínico o clínicos implicados en la comunicación, y por tanto, desde el punto de vista tecnológico, nada que objetar. Por tanto, iguales Whatsapp, Telegram y teléfono.

2) Se tiene que identificar de manera unívoca quién está en ambos extremos de la comunicación. La mejor seguridad corresponderá al uso de certificados digitales en ambos extremos de la comunicación; iguales Telegram y Whatsapp que usan como ID único el número de móvil; peor el teléfono pues el clínico no tiene la total certeza de quién está al otro lado del teléfono.

3) Los datos tienen que viajar cifrados. No hay dudas en este aspecto. Telegram supera claramente a Whatsapp en esta área, pero ambos sistemas de mensajería están cifrados; la comunicación telefónica no lo está.

4) Si la información se guarda en el terminal, el almacenamiento debe estar cifrado. Es una opción de los terminales móviles, no así de los fijos. Telegram y Whatsapp a este nivel funcionan igual; en cuanto al teléfono, las comunicaciones vocales no se guardan.

5) La ruta que siguen estos datos tiene que ser trazable. Este supuesto no lo cumple Telegram, Whatsapp sí lo cumple y en el teléfono sólo tenemos la certeza de cumplirlo si en el lado del paciente se contacta por RTC o GSM.

6) Se tiene que conocer dónde físicamente se almacenan estos datos, si aplica. Telegram no cumple este punto, Whatsapp sí lo cumple y en cuanto al teléfono sólo aplica a los buzones de voz, que no queda claro en ningún caso dónde se almacena dicha información

7) Telegram y Whatsapp son dos servicios cuyos servidores están fuera de la Unión Europea y en ninguno de los dos casos cumplen la legislación, aunque cabe resaltar que Whatsapp ofrece mayor información al respecto que Telegram. En cuanto al teléfono, las operadoras de telecomunicaciones autorizadas para operar en suelo español están obligadas a cumplir las disposiciones sobre privacidad y protección de datos. En el caso de servicios de VoIP de uso minorista como Skype cabe analizar cada caso para fijar si cumple o no; por ejemplo Skype es un caso claro de no cumplimiento por la topología de comunicaciones que usa. Así que en función del tipo de comunicación que se use en el lado del paciente, el teléfono puede o no cumplir la normativa.

La conclusión es que Telegram, Whatsapp y el teléfono pueden ser herramientas cuya funcionalidad y usabilidad para teleconsulta no ofrece lugar a dudas, pero jurídicamente no se puede usar para dicho menester en territorio de la Unión Europea. 

Tal vez tenemos que empezar a pensar en grados de seguridad y uso razonables, ¿no créeis?

jueves, 6 de marzo de 2014

#Telegram: uso clínico, seguridad y legislación aplicable.

Tras la publicación del post de ayer, recibí un curioso comentario de Rosa Taberner en el que me pedía si podía reescribir "Whatsapp: uso clínico, seguridad y legislación aplicable.", pero cambiando Whatsapp por Telegram.

No hace falta que explique qué es Telegram, en cualquier caso existen muchas fuentes sobre el servicio y no ahondaré en ello, así que pasaré a las 7 áreas de evaluación que establecí en el post de referencia.

No repetiré los preliminares que justificaron el post sobre Whatsapp, así que empezaremos inmediatamente el análisis.

Recordemos: de entrada, el espíritu de la legislación española es que "el desconocimiento de la ley no exime del cumplimiento de la misma"; dicho esto, sin más preámbulo, empecemos. 

En España, la normativa aplicable es la que establece la Ley Orgánica de Protección de Datos (LOPD) y existen diferentes guías para ayudar en su cumplimiento. 

En el caso que nos ocupa, una teleconsulta, hay 7 consideraciones a tener en cuenta: 

1) No se puede realizar un diagnóstico no presencial, pero sí una valoración u orientación diagnósticas, el diagnóstico sólo lo puede hacer un médico que físicamente esté al lado del paciente, de acuerdo con la legislación española. Este punto es de aplicación por parte del clínico o clínicos implicados en la comunicación, y por tanto, desde el punto de vista tecnológico, nada que objetar. Por tanto, iguales Whatsapp y Telegram.

2) Se tiene que identificar de manera unívoca quién está en ambos extremos de la comunicación. En el caso que nos ocupa, el ID de Telegram es el número de móvil, y dado que los números de móvil de los clínicos no son de dominio público y conocen perfectamente quién está al otro lado, hay una seguridad razonable de conocer quién establece una comunicación con ellos, dado que el clínico también tendrá el número de móvil de los pacientes que puedan usar este servicio. La mejor seguridad, no obstante, correspondería al uso de certificados digitales en ambos extremos de la comunicación; iguales Telegram y Whatsapp. 

3) Los datos tienen que viajar cifrados. No hay dudas en este aspecto. Los fabricantes han creado un algoritmo que según ellos mismos definen: "We support two layers of secure encryption (server-client and client-client). Our encryption is based on 256-bit symmetric AES encryption, RSA 2048 encryption and Diffie–Hellman secure key exchange". Los detalles técnicos aquí. Hay incluso una competición abierta para romper el algoritmo con un premio de 200.000$ -en BitCoins- para quien lo consiga. Telegram supera claramente a Whatsapp en esta área.

4) Las conversaciones en Telegram se guardan físicamente en el cloud de servidores de Telegram y en el dispositivo móvil. En cuanto a este dispositivo móvil, deberá tener activada la opción de cifrar el dispositivo. Es una opción a nivel de configuración del smartphone que, al menos en el dispositivo del clínico, deberá estar activada. En cuanto al servidor -o mejor dicho, al cloud de servidores- no hay visibilidad sobre ello. Esto plantea una serie de problemas legales insospechados, pues no tener la certeza de dónde se guarda realmente la información, como veremos más adelante, hace que Telegram no cumpla la Ley de Protección de Datos. Whatsapp, de manera inesperada, gana en este terreno.

5) La ruta que siguen estos datos tiene que ser trazable. Este supuesto no lo cumple  Telegram pues la comunicación se enruta hacia un cloud propio en el que, según su propia descripción: "Telegram servers are spread worldwide for security and speed". ¿Qué criterios se usan? ¿Dónde están estos servidores? Nadie lo sabe. Whatsapp en este aspecto es también superior a Telegram. 

6) Se tiene que conocer dónde físicamente se almacenan estos datos, si aplica. Como hemos visto en los puntos 4 y 5, Telegram plantea muy serias dudas en este aspecto. Nadie sabe dónde están los datos. Whatsapp vuelve a vencer a Telegram.

7) Si el almacén de datos está fuera de la Unión Europea, cabe conocer la legislación aplicable en cada caso y si existe algún tipo de acuerdo de reciprocidad de protección de datos con la Unión Europea.  No sabemos dónde están los datos, no hay condiciones legales de prestación del servicio, y por ende tampoco sabemos si se adhieren a Safe Harbour Agreement o no. Lo único que sabemos es que los propietarios son al mismo tiempo propietarios de la red social rusa VKontakte con lo que presumiblemente, en algún momento, los datos pasan, se almacenan y son tratados en el territorio de la Federación Rusa. Aunque Whatsapp no está adherido a un Safe Harbour Agreement, ofrece mucha más información sobre el particular que Telegram. Ninguno de los dos servicios cumple la legislación de protección de datos.

La conclusión es que Telegram, como Whatsapp, puede ser una herramienta cuya funcionalidad y usabilidad para teleconsulta no ofrece lugar a dudas, pero jurídicamente no se puede usar para dicho menester en territorio de la Unión Europea.

Y pese a quien le pese, es mucho más confiable desde un punto de vista estrictamente jurídico Whatsapp que Telegram.

miércoles, 5 de marzo de 2014

Los límites de #Whatsapp.

En el último post os hablaba de mi experiencia "al otro lado de la mesa", como paciente. Ayer mismo tenía que escuchar de labios de la administrativa "discúlpeme, no sé que pasa, pero hace ya días que el sistema no va bien...".

De hecho estaba pensando en un post con una experiencia surrealista -digna de El Mundo Today- que me sucedió hará unos 15 días, pero que por respeto a los protagonistas mejor voy a silenciar.

Pero continuando con las reflexiones y dudas que me asaltan desde "el otro lado de la mesa", me asalta la siguiente pregunta: ¿qué sucede cuando el paciente está en casa y desea contactar con el centro? ¿Qué canales se ponen a disposición de nuestros pacientes / clientes? ¿Teléfono, email? ¿Redes sociales?

No hablo de telemedicina. No hablo de monitorización. No hablo de diagnóstico ni mucho menos de tratamiento. Hablo de una consulta simple sobre la dosis de una medicación, o sobre la interacción entre dos medicaciones, sobre un niño pequeño tiene tos o fiebre, hasta que yo me encuentre mal; hago una pregunta rápida y espero una respuesta rápida. No quiero que me diagnostiquen. Quiero que me orienten. Y si en el otro lado no lo ven claro, "acuda al centro de salud o a urgencias". Punto.

Una de las frases célebres de mi servicio militar fue que "la velocidad máxima de un convoy la da el elemento más lento del mismo". Es decir, que el centro puede tener muchos medios pero que nunca podrán ser superiores al que tiene el paciente / usuario en su lado.

Teléfono móvil tenemos casi todos. Smartphones cada vez más, y no tan sólo entre jóvenes. El email también se usa, pero nuestro usuario paciente es, valga la ironía, impaciente, así que no lo usará si espera una respuesta rápida. 

Las redes sociales se usan con un grado de aceptación variable: usos modélicos como el del grupo de Facebook "El médico de mi hijo", y usos que no van mucho más allá del "modo teletipo" por parte de hospitales que están muy bien valorados en los rankings, pero que poco o nada practican la conversación con el paciente más allá del mero agradecimiento por la atención prestada. 

Quizás debiéramos fijarnos en otras vías de contacto con el paciente...

Fijémonos en otros ámbitos de atención al cliente. Fijémonos en la administración pública más cercana al ciudadano.

Fijémonos en los ayuntamientos: cada vez hay más que usan canales no convencionales de comunicación con el ciudadano.

Por ejemplo, usando Whatsapp: una búsqueda en Google de las palabras ayuntamientos whatsapp devuelve 1.700.000 resultados a fecha de publicación de este post.  

¿Cómo lo hacen? En ayuntamientos pequeños es posible que usen un smartphone dedicado. En ayuntamientos grandes montarán un emulador o máquina virtual Android. En cuanto al número de móvil necesario para activar el servicio, se puede contratar el número a FonYou y mediante la instalación de una app, disponer del canal de retorno del SMS que envía Whatsapp para su activación.

Evidentemente si montamos Telegram o Line en nuestro PC o Mac no hace falta que nos compliquemos tanto la vida, ya que no requieren de máquina virtual instalada y funcionando. 

Ahora bien, hay que tener en cuenta que todos los usuarios de smartphone tienen Whatsapp instalado y sólo algunos Line o Telegram. En este caso, recordad que la auténtica red social la componen las personas de las que tenemos el número de teléfono. Esa es la razón final de la compra de Whatsapp por parte de Facebook.

¿Por qué no usarlo en salud? ¿Por qué no hacer normal lo que ya es normal a nivel de calle?

Más allá de las razones jurídicas, a priori, si el propósito es de consulta, excluidos el diagnóstico y segunda opinión, con un consentimiento informado, conociendo perfectamente cuáles son los usuarios que pueden contactar con este hipotético servicio de consulta -usuarios ya conocidos por el centro- y teniendo en cuenta que Whatsapp no almacena los mensajes -cosa que Line y Telegram sí hacen- y con el valor añadido de que la conversación puede llegar a exportarse en un fichero plano para su integración en la historia clínica.

Dicho de otro modo: quedando perfectamente delimitadas las reglas, el campo de juego y los jugadores, usando un símil deportivo...

¿Descabellado? Pensadlo.

jueves, 16 de enero de 2014

Tribulaciones de un paciente informático.

Sometido a la prueba de potenciales
evocados troncocerebrales.
Hoy os explicaré las tribulaciones de un informático convertido en paciente que experimenta en sus carnes el funcionamiento de un sistema de información hospitalario. Y ese soy yo.

Empezaremos diciendo que me sometí a la revisión médica de Doctoralia. Para algunos las revisiones médicas laborales les puede suponer una molestia innecesaria. Para otros, les dan tan poco valor que prefieren no hacerlas.

A mí la revisión médica de empresa me ha salvado la vida.

Se detectaron una serie de problemas para los que tendría que acudir a varios especialistas, así que como persona metódica que soy, me dispuse a hacerlo usando los servicios de una conocida clínica privada barcelonesa.

Debo decir que hasta ahora no había hablado de mi estado general de salud. Pero en esta ocasión, y dado que mis repetidas visitas a la clínica han generado una cierta alarma, explicaré algunas cosas.

Me han visto cuatro especialistas diferentes y me han hecho once pruebas diagnósticas... Alguna de ellas me está haciendo cavilar sobre cómo se puede solventar algunas de las incomodidades que los pacientes debemos soportar.

Cabe decir que cuando accedí por primera vez a la clínica estaban en plena implantación del sistema de información, para ser más concretos un cambio de versión. Los primeros días en los que acudí fueron de locura: colas delante de los mostradores, y de vez en cuando el consabido "el sistema se ha colgado. Lo siento, no le podemos dar hora".

Diré que, en general, en las colas en las que participé sí que hubo algún runrún, pero ninguna escena de malos modos y gritos, cosas que en otras implantaciones sí había observado.

Pero poco a poco el sistema se fue estabilizando en los días sucesivos, y ya no tuve más problemas en el mostrador.

Otra historia es ya dentro de la consulta, en la que observé un grado variable de uso del sistema de información. Encontré que en medicina interna y cardiología hacían un uso integral del sistema -incluso me encontré con un equipo de ECG con el que había lidiado en el proyecto de Perú conectado a la HCE- mientras que ORL hacía un uso parcial y en neumología no se usaba.

En el caso de ORL, la profesional que me atendió usaba la HCE para el registro, así como para la captura de los datos del audiómetro, pero en cambio, en la siguiente visita, en la que me tenían que hacer unos potenciales evocados troncocerebrales, el técnico que me tenía que hacer la prueba -miembro del equipo ORL- no tenía acceso a la HCE del médico, con lo que me tuvo que repreguntar parte de mis antecedentes. Manifesté mi extrañeza, y me dijo que era lo habitual.

En neumología el PC estaba apagado. Reconozco que cuando me empezó a historiar -en una hoja de papel en blanco- perdí la paciencia (llevaba horas allí, tres visitas, cuatro pruebas diagnósticas, repitiendo cada vez la misma historia) y acabé diciendo que por favor se mirase los datos del sistema, que ya había repetido los mismos datos varias veces la misma tarde. El médico me miró sorprendido. Por supuesto, pedí disculpas.

En cuanto a diagnóstico de la imagen, una de las pruebas que me hicieron fue un TC de tórax -cuyo resultado provocó la peor Navidad de mi vida-. En la HCE constaba que soy alérgico al contraste, y sin embargo, tuve que volverlo a comunicar. Me pidieron para realizar el TC una Rx reciente -tenía hecha una en el mismo centro, de una semana atrás. En teoría esa placa, aunque yo la tenía impresa, debería haber estado almacenada en el PACS, la podrían haber recuperado y sin embargo... la tuve que traer. Misterios de la técnica.

Para un informático es bueno ponerse en la piel del paciente, "el que padece" -porque en aquel momento lo es- para poder comprobar de primera mano las molestias y vaivenes que puede ocasionar un sistema de información en los primeros días tras del arranque.

Pero hay aún una lección más valiosa, visto el uso variable de la HCE en ese centro... ¿Qué se ha hecho mal? Es una pregunta para la dirección del centro, para el equipo de sistemas, para los implantadores, y sobre todo, para los profesionales. 

¿Diseño? ¿Gestión del cambio? ¿Inercia?

¿Qué?

Como se deja traslucir en los párrafos anteriores, aunque la calidad percibida de la atención médica es muy alta, probablemente puntuaría menos de lo que debiera debido a los problemas que experimenté con el uso que hacían los profesionales del sistema.

En un momento en que las entidades aseguradoras, entre otros parámetros, miden el grado de satisfacción del cliente, el sistema de información es un flanco estratégico que no cabe descuidar y que tiene un impacto directo en la calidad de la atención.