jueves, 14 de agosto de 2014

A propósito de los códigos QR.

Este post nace de una conversación en el grupo de Whatsapp del chapter Health2.0BCN, iniciada por Miguel Ángel Tovar el lunes 11 de agosto al publicar un link a esta noticia de "El Mundo", en la que se habla de pulseras identificativas con códigos QR con el propósito de poder acceder a información médica relevante en caso de emergencia.

El contenido del post de hoy contiene mi aportación a la discusión del grupo.

Para empezar, en mi opinión hay que diferenciar varias cosas en lo que respecta a la información médica personal que podamos llevar encima:

1) La necesidad de que el ciudadano lleve siempre consigo información crítica para su salud.
2) La bondad de la tecnología QR.
3) Si existen alternativas tecnológicas viables.
4) Las barreras tecnológicas, organizativas y legales para la implementación masiva de un servicio de esta clase.

Sobre el punto 1:
Aunque considero que es necesario llevar siempre encima información de salud, en especial en caso de alergias, intolerancias alimentarias o problemas de salud crónicos, bueno sería que los profesionales del ámbito clínico que me leéis expresarais vuestra opinión. ¿Qué pensáis?

Sobre el punto 2:
¿La tecnología QR permitiría almacenar información crítica como grupo sanguíneo y alergias? Sí. 

¿Es suficiente? Depende del problema de salud. 

¿Qué sería lo óptimo? Almacenar una URL que lleve a la historia clínica del ciudadano, ya sea Carpeta de Salut o HC3.

¿HC3 o Carpeta de Salut aseguran el acceso a la información médica relevante del ciudadano? No. Los datos relevantes de salud que hayan sido generados en centros de provisión sanitaria privada no constan a día de hoy en HC3.

¿Quién emite el QR? En estos momentos empresas privadas. No existe un standard que defina los datos presentes en el QR, ni tampoco nada que asegure la calidad de la información almacenada. Lo óptimo sería que el Departament de Salut (o la Consejería en otras CCAA) emitiera a petición del ciudadano dicho QR.

¿Qué garantiza que el QR que el ciudadano lleva encima pertenezca a dicho ciudadano? No hay seguridad de que sea así, lo cual puede ser una barrera para un equipo SEM que deba atenderlo en una situación de emergencia. Una solución podría ser que al lado del QR se pudiera imprimir también una fotografía del ciudadano. Otra opción -ya vista en alguna publicación norteamericana- es que el QR sea un tatuaje terapéutico. En esta situación para un equipo de emergencias médicas si que quedaría clara que la información contenida pertenece al paciente. Otra historia serían las consideraciones éticas, estéticas y de privacidad resultantes de llevar tatuados en la piel datos identificativos de nivel alto.

¿Con qué lee el equipo de emergencias médicas el QR? Buena pregunta. Los smartphones personales del equipo sanitario no cumplirían las directrices de privacidad, con lo que se supone que el centro médico o el equipo SEM debería disponer de smartphones propiedad del centro sanitario, debidamente preparados y validados para este uso. Adicionalmente hay que tener en cuenta que para acceder a HC3 se necesitan certificados digitales, y esto en dispositivos móviles crean una serie de quebraderos de cabeza que os voy a describir. Hasta ahora, en las pruebas que había hecho Salut en este campo se usaban certificados integrados en las SIM de los smartphones. Recuerdo una experiencia piloto en Osona, año 2010, en el que se probó la prescripción electrónica para visitas domiciliarias. Hasta aquí, perfecto. El problema es que las SIM dependen del operador, y no todos los operadores disponen de esta tecnología. Orange dispone de ella, pero no los otros. Y tampoco había una imagen clara que en el caso de que la Generalitat de Catalunya cambiase de proveedor de comunicaciones -salen a concurso público cada cierto tiempo- qué pasaría con los dispositivos de uso clínico ya que no parece posible que Orange transfiera esa tecnología a su competencia. En el MWC 2014 hubo una presentación de lo que podía ser un standard de certificados digitales para dispositivos móviles que NO residieran en la SIM. ¿Esto que quiere decir? Que serían independientes de operador. En cualquier caso, habrá que esperar y ver.

Un dispositivo que no tendría el problema de certificados y está dedicado a uso clínico es el MCA -Mobile Clinical Assistant- PCs con Windows y extensiones tablet que ya contienen lector de códigos de barras y QR y lector RFID integrados. La característica que los hace distintivos es que un MCA puede ser esterilizado al autoclave. Su precio: sobre unos 2000€. Fabricantes: Motion Computing y Panasonic.

Otras opciones son tabletas, iPads y Android. Con respecto al tema certificados, la situación es la misma que para smartphones. Una ventaja de Android con respecto a iPad es que se pueden encargar tabletas a medida a fabricantes de Shenzen -están especializados en diseños custom; las series tiene que ser como mínimo de 1000 tabletas- de tal modo que se podrían encargar con todas las características de seguridad y robustez que el iPad, como diseño propietario que es, no puede cumplir.

Sobre el punto 3:
¿Tecnologías alternativas? Pasarían por el uso de algún tipo de wearable. Una opción sería el uso de los chips que actualmente son de uso veterinario. ¿Uso en humanos? Es posible y ya se ha hecho con estos dispositivos, los únicos aprobados por la FDA para uso en humanos. Cabe reseñar que debido a la baja demanda de los dispositivos VeriChip se abandonó su comercialización en 2010.

John Halamka -médico y CIO del Beth Israel de Boston- se implantó un chip en 2004 conteniendo su historia clínica. John describe su experiencia aquí. En España sólo me consta que los clientes del Baja Beach Club de Barcelona -un club que estaba situado al lado del Hotel Arts- desde 2004 tenían la opción de implantarse un chip para propósitos de identificación y medio de pago, como se explica aquí, aquí y aquí. Desde el punto de vista de lectura sólo se necesita un lector RFID -USB o incorporado en un MCA- cuyo costo, en el caso USB es aproximadamente de unos 70€. El chip tiene una capacidad de 64Kb, lo que permitiría guardar mínimamente datos identificativos y alguna información clínica. El problema es quién emite e implanta el chip y la estandarización de la información contenida, sin olvidar que al estar implantado dentro del cuerpo debe cumplir las directivas existentes sobre medical devices

Sobre el punto 4:
Desde el punto de vista legal, cualquier solución pasa por el cumplimiento de la LOPD, y las leyes de autonomía del paciente, tanto estatal como catalana. Cabe reseñar los accesos a la información, con qué dispositivos -la normativa indica un tratamiento especial para aquellos dispositivos móviles que pueden almacenar datos de nivel alto-, la trazabilidad de la comunicación y quién emite y qué contiene el QR. Desde el punto de vista legal, el emisor deberá tener y registrar un documento de seguridad de datos siguiendo la guía del documento de seguridad de la Agencia Española de Protección de Datos.

Desde el punto de vista organizativo se tiene que acreditar con qué dispositivos -y por la naturaleza de la información gestionada queda excluido el uso de BYOD (Bring Your Own Device)- y quiénes los tienen asignados. En este caso implica que el centro o servicio que los use debe correr con los gastos ocasionados por la adquisición y mantenimiento de dichos dispositivos, sin excluir los necesarios para garantizar el acceso de los mismos a repositorios clínicos centralizados como pueda ser HC3.

Desde el punto de vista tecnológico cabe resolver los problemas derivados de la implantación de certificados digitales en dispositivos móviles, además de los derivados de la comunicación con repositorios clínicos como HC3.

Conclusión:  
No todo es tan fácil como parece. ¿Qué opináis?

15 comentarios:

  1. Felicidades por el post! Aunque he de repasarlo..;.Sobre el punto número 1; sólo veo ventajas de momento (datos basicos de salud).Respecto a la identificación de la pertenencia. de la pulsera..se me ocurre que tambien tenga la huella digital del paciente...por si la foto no es suficiente en caso de que no lleve Dni.Nos ayudaria la jefatura de policia via telemàtica.

    ResponderEliminar
    Respuestas
    1. Buena observación! El único problema es cómo transmites la huella... No obstante, es una identificación unívoca en un porcentaje de casos cercano al 100%.

      Muchas gracias por dejar tu comentario, Marta!

      Eliminar
    2. A qué foto te refieres, @Jonatan?

      Eliminar
  2. Estimado Rafa, gracias por esta estimulante entrada.
    Como tal vez recuerdes llevamos un tiempo propugnando un uso más modesto y pragmático de los QRs en salud (1, 2 y 3); en concreto en el campo de los cuidados como "link" a recursos de información/formación para los pacientes y profesionales en continuidad de atención (en informe de alta).
    Lo que planteas tiene varios frentes, el más delicado el legal (LOPD en mano) pues no sólo se trata del control de accesos sino de que la información que "circule" mantenga las garantías legales... ello es un añadido en el frente de la tecnología ya complejo como señalas.
    Yo no soy profesional de las emergencias pero como sanitario SI he prestado socorro en accidentes y en eventos públicos por indisposición... ¿me sería útil la información?... conocer antecedentes y posibles alergias Sin duda. Pero, ¿Cómo le demuestro al sistema que soy sanitario... si sólo estaba de paso por allí...? tal vez el registro que hoy publica el BOE podría servir...
    Pero dado el retraso en la HCE en muchas partes (desde la perspectiva estatal) me temo que sería demasiado confiar en que la información estuviera disponible...
    En fin, gracias por activarme la mañana.

    ResponderEliminar
    Respuestas
    1. Estimado Salvador, es una muy buena apreciación la tuya, aunque no sé si el registro de sanitarios que sale publicado hoy puede dar una cobertura más allá de lo legal en una actuación "de paisano". Recuerda que muchas veces las barreras no son legales ni tecnológicas, sino organizativas...

      Muchísimas gracias por tu aportación, Salvador!

      Eliminar
  3. Impresionante post Rafa. Gracias por compartir tu conocimiento.
    Ya veo que hacerlo de forma 'oficial' resulta bastante complejo, por la logística y los problemas de seguridad y equipamiento.

    Mi pregunta va entonces buscando la simplicidad ¿podría hacerse de manera amateur? Podría ser el paciente el que usara el tatuaje QR o la pulsera RFID que pudiera leer con su propia aplicación instalada en su dispositivo móvil y nos ofreciera así la información a los profesionales de salud. Y en caso de emergencia un acceso a los datos de mayor relevancia en estas situaciones: alergias, antecedentes y medicación.

    ¿Sería viable?

    Gracias por ponernos a pensar

    ResponderEliminar
    Respuestas
    1. El problema que tendrías en el escenario "amateur" que mencionas es que el dispositivo móvil -smartphone- en un alto porcentaje de casos está bloqueado, y si por la razón que fuere el paciente está inconsciente, difícilmente podrás acceder a la misma a no ser que la app esté diseñada para poder ser llamada desde la ventana de bloqueo sin necesidad de desbloquear.

      En cuanto a RFID, de momento no existen smartphones equipados de serie con dicha tecnología. Lo más cercano sería NFC, y como bien sabes, es una tecnología que lleva dos años en el mercado y que sólo está presente en smartphones de gama alta, y no en todos...

      Muchas gracias por tu aportación, Chema! :-)

      Eliminar
  4. Muy buen post, sin duda. Mi opinión está cercana a la que expone Chema Cepeda. Me temo que las cuestiones técnico-legales-económicas tardarán en dar cancha a los QR de forma oficial y, mientras tanto, perdemos el enorme potencial de esta sencilla tecnología. Yo, como ciudadano, decido cual es la información que quiero poner a disposición de los profesionales sanitarios que me atiendan en caso de emergencia, de forma similar a la gente que lleva notas en la cartera, chapas colgadas del cuello... y que pueda leerla cualquier profesional que me atienda desde su propio dispositivo. En determinados casos, puede ser la diferencia entre la vida y la muerte. En mi opinión, las ventajas superan claramente a los riesgos.

    Un abrazo y feliz verano!

    ResponderEliminar
  5. Es un buen enfoque. Tal vez en este caso se podría hacer -como en el caso de los Whatsapp para atención a crónicos de Madrid y Galicia- "la vista gorda" a los problemas de seguridad de datos y primar la posibilidad de tener información vital básica que pueda salvar una vida en caso de emergencia.

    Muchísimas gracias por tu aportación, Emilio! Un abrazo! :-)

    ResponderEliminar
  6. En mi opinión repetimos los errores de cuando hace años queríamos que la tarjeta sanitaria tuviera toda la información de salud del ciudadano. La "Nube" ha superado los soportes físicos y es accesible des de donde sea (con un password claro) @rpinol

    ResponderEliminar
    Respuestas
    1. Efectivamente, Ramon, estoy de acuerdo contigo, la nube es accesible desde donde sea.

      En cuanto al acceso a la nube con password, no es tan sencillo, sobre todo cuando hay datos de nivel alto por enmedio. Es un poco más complejo, si cabe. :-)

      Muchas gracias por tu aportación, Ramon!

      Eliminar
    2. Tienes razon. Supongo que con passwords seguros como los que te facilita el banco y luego verificas podria servir... Ya veremos com evoluciona todo

      Eliminar
  7. Rafa, gracias por este completo análisis del potencial de los códigos QR en salud y cómo podría ser el proceso para su uso. Sin duda los problemas tecnológicos, legales y de seguridad de los datos son los principales escollos a los que se enfrenta esta tecnología, y parece que estamos lejos de resolverlos, al menos en un futuro próximo. Como decía Voltaire, “lo perfecto es enemigo de lo bueno” y se podría abogar por un uso amateur y menos ‘oficial’, como sugiere Chema en su comentario. Esto suele ser habitual para avanzar en desarrollos tecnológicos en otros sectores; sin embargo, en el sector salud, por sus peculiaridades, resulta mucho más complicado e incluso arriesgado.

    ResponderEliminar
    Respuestas
    1. Completamente de acuerdo con vuestra apreciación.

      Muchas gracias por el comentario! :-)

      Eliminar