A propósito de los códigos QR.

Este post nace de una conversación en el grupo de Whatsapp del chapter Health2.0BCN, iniciada por Miguel Ángel Tovar el lunes 11 de agosto al publicar un link a esta noticia de "El Mundo", en la que se habla de pulseras identificativas con códigos QR con el propósito de poder acceder a información médica relevante en caso de emergencia.

El contenido del post de hoy contiene mi aportación a la discusión del grupo.

Para empezar, en mi opinión hay que diferenciar varias cosas en lo que respecta a la información médica personal que podamos llevar encima:

1) La necesidad de que el ciudadano lleve siempre consigo información crítica para su salud.
2) La bondad de la tecnología QR.
3) Si existen alternativas tecnológicas viables.
4) Las barreras tecnológicas, organizativas y legales para la implementación masiva de un servicio de esta clase.

Sobre el punto 1:
Aunque considero que es necesario llevar siempre encima información de salud, en especial en caso de alergias, intolerancias alimentarias o problemas de salud crónicos, bueno sería que los profesionales del ámbito clínico que me leéis expresarais vuestra opinión. ¿Qué pensáis?

Sobre el punto 2:
¿La tecnología QR permitiría almacenar información crítica como grupo sanguíneo y alergias? Sí. 

¿Es suficiente? Depende del problema de salud. 

¿Qué sería lo óptimo? Almacenar una URL que lleve a la historia clínica del ciudadano, ya sea Carpeta de Salut o HC3.

¿HC3 o Carpeta de Salut aseguran el acceso a la información médica relevante del ciudadano? No. Los datos relevantes de salud que hayan sido generados en centros de provisión sanitaria privada no constan a día de hoy en HC3.

¿Quién emite el QR? En estos momentos empresas privadas. No existe un standard que defina los datos presentes en el QR, ni tampoco nada que asegure la calidad de la información almacenada. Lo óptimo sería que el Departament de Salut (o la Consejería en otras CCAA) emitiera a petición del ciudadano dicho QR.

¿Qué garantiza que el QR que el ciudadano lleva encima pertenezca a dicho ciudadano? No hay seguridad de que sea así, lo cual puede ser una barrera para un equipo SEM que deba atenderlo en una situación de emergencia. Una solución podría ser que al lado del QR se pudiera imprimir también una fotografía del ciudadano. Otra opción -ya vista en alguna publicación norteamericana- es que el QR sea un tatuaje terapéutico. En esta situación para un equipo de emergencias médicas si que quedaría clara que la información contenida pertenece al paciente. Otra historia serían las consideraciones éticas, estéticas y de privacidad resultantes de llevar tatuados en la piel datos identificativos de nivel alto.

¿Con qué lee el equipo de emergencias médicas el QR? Buena pregunta. Los smartphones personales del equipo sanitario no cumplirían las directrices de privacidad, con lo que se supone que el centro médico o el equipo SEM debería disponer de smartphones propiedad del centro sanitario, debidamente preparados y validados para este uso. Adicionalmente hay que tener en cuenta que para acceder a HC3 se necesitan certificados digitales, y esto en dispositivos móviles crean una serie de quebraderos de cabeza que os voy a describir. Hasta ahora, en las pruebas que había hecho Salut en este campo se usaban certificados integrados en las SIM de los smartphones. Recuerdo una experiencia piloto en Osona, año 2010, en el que se probó la prescripción electrónica para visitas domiciliarias. Hasta aquí, perfecto. El problema es que las SIM dependen del operador, y no todos los operadores disponen de esta tecnología. Orange dispone de ella, pero no los otros. Y tampoco había una imagen clara que en el caso de que la Generalitat de Catalunya cambiase de proveedor de comunicaciones -salen a concurso público cada cierto tiempo- qué pasaría con los dispositivos de uso clínico ya que no parece posible que Orange transfiera esa tecnología a su competencia. En el MWC 2014 hubo una presentación de lo que podía ser un standard de certificados digitales para dispositivos móviles que NO residieran en la SIM. ¿Esto que quiere decir? Que serían independientes de operador. En cualquier caso, habrá que esperar y ver.

Un dispositivo que no tendría el problema de certificados y está dedicado a uso clínico es el MCA -Mobile Clinical Assistant- PCs con Windows y extensiones tablet que ya contienen lector de códigos de barras y QR y lector RFID integrados. La característica que los hace distintivos es que un MCA puede ser esterilizado al autoclave. Su precio: sobre unos 2000€. Fabricantes: Motion Computing y Panasonic.

Otras opciones son tabletas, iPads y Android. Con respecto al tema certificados, la situación es la misma que para smartphones. Una ventaja de Android con respecto a iPad es que se pueden encargar tabletas a medida a fabricantes de Shenzen -están especializados en diseños custom; las series tiene que ser como mínimo de 1000 tabletas- de tal modo que se podrían encargar con todas las características de seguridad y robustez que el iPad, como diseño propietario que es, no puede cumplir.

Sobre el punto 3:
¿Tecnologías alternativas? Pasarían por el uso de algún tipo de wearable. Una opción sería el uso de los chips que actualmente son de uso veterinario. ¿Uso en humanos? Es posible y ya se ha hecho con estos dispositivos, los únicos aprobados por la FDA para uso en humanos. Cabe reseñar que debido a la baja demanda de los dispositivos VeriChip se abandonó su comercialización en 2010.

John Halamka -médico y CIO del Beth Israel de Boston- se implantó un chip en 2004 conteniendo su historia clínica. John describe su experiencia aquí. En España sólo me consta que los clientes del Baja Beach Club de Barcelona -un club que estaba situado al lado del Hotel Arts- desde 2004 tenían la opción de implantarse un chip para propósitos de identificación y medio de pago, como se explica aquí, aquí y aquí. Desde el punto de vista de lectura sólo se necesita un lector RFID -USB o incorporado en un MCA- cuyo costo, en el caso USB es aproximadamente de unos 70€. El chip tiene una capacidad de 64Kb, lo que permitiría guardar mínimamente datos identificativos y alguna información clínica. El problema es quién emite e implanta el chip y la estandarización de la información contenida, sin olvidar que al estar implantado dentro del cuerpo debe cumplir las directivas existentes sobre medical devices

Sobre el punto 4:
Desde el punto de vista legal, cualquier solución pasa por el cumplimiento de la LOPD, y las leyes de autonomía del paciente, tanto estatal como catalana. Cabe reseñar los accesos a la información, con qué dispositivos -la normativa indica un tratamiento especial para aquellos dispositivos móviles que pueden almacenar datos de nivel alto-, la trazabilidad de la comunicación y quién emite y qué contiene el QR. Desde el punto de vista legal, el emisor deberá tener y registrar un documento de seguridad de datos siguiendo la guía del documento de seguridad de la Agencia Española de Protección de Datos.

Desde el punto de vista organizativo se tiene que acreditar con qué dispositivos -y por la naturaleza de la información gestionada queda excluido el uso de BYOD (Bring Your Own Device)- y quiénes los tienen asignados. En este caso implica que el centro o servicio que los use debe correr con los gastos ocasionados por la adquisición y mantenimiento de dichos dispositivos, sin excluir los necesarios para garantizar el acceso de los mismos a repositorios clínicos centralizados como pueda ser HC3.

Desde el punto de vista tecnológico cabe resolver los problemas derivados de la implantación de certificados digitales en dispositivos móviles, además de los derivados de la comunicación con repositorios clínicos como HC3.

Conclusión:  
No todo es tan fácil como parece. ¿Qué opináis?