Protección de los datos personales de la historia clínica en Argentina y Uruguay e IHE XDS / rotection of Personal Data from the clinical history in Argentina and Uruguay and IHE XDS

En 2000, Argentina, gracias a su ley sobre protección de datos personales (PDP), ha sido el primer país sur americano considerado país seguro por la Unión Europea y la Agencia Española de Protección de Datos (AEPD). Uruguay siguió el mismo camino en 2008. Concomitantemente, ambos países publicaron también una ley definiendo los ?Derechos del Paciente?, que contienen articulos relativos a su historia clínica Presente en forma muy similar en todos estos textos, el ?consentimiento? es el filtro que define el grado de confidencialidad de los varios documentos de la historia clínica de un paciente. Este consentimiento puede ser complejo, es revocable, transitivo y requiere para su aplicación la preexistencia de un ?Sistema de Gestión de Seguridad de la Información? (SGSI). Explicitaremos la referencia implícita de ambas leyes de PDP a la familia de estándares ISO/IEC 27000, para la instalación y mejora continua del SGSI, que asegura confidencialidad a priori, disponibilidad de los datos, integridad de los documentos, imputabilidad (?accountability?) de los profesionales y auditabilidad de las transacciones. En la segunda parte del articulo, demostraremos que los requisitos del SGSI y del ?consentimiento? están cumplidos por la arquitectura ?Cross-Enterprise Document Sharing? (XDS) basada en la orquestación de transacciones entre actores implementados acorde a perfiles de integración definidos por ?Integrating the Healthcare Enterprise? (IHE).

In 2000, Argentina, in virtue of its law on the protection of personal data (PDP), became the first latin american country considered ?safe? by the european union and Spanish Agency for Data Protection (AEPD). Uruguay followed the same path in 2008. Meanwhile, both countries also published a law on the ?Patient Rights?, containing articles about her/his clinical history. In all of these texts, the ?consent? is the filter which defines the level of confidentiality of the various documents of a patient healthcare history. This consent may be complex, is revocable, transitive and requieres the preexistence of an ?Information Security Management System? (ISMS). We shall make explicit the implicit reference of both PDP laws to ISO/IEC 27000 family of standards for the installation and continued improvement  of the ISMS, which warranties a priori confidentiality, availability of data, integrity of documents, accountability of professionals and auditability of the transactions. In the second part of the article, we shall demonstrate that all the requirements of the ISMS and of the ?consent? are fulfilled by the architecture ?Cross-Enterprise Document Sharing? (XDS) based on the orchestration of transactions between actors modeled according to integration profiles defined by ?Integrating the Healthcare Enterprise? (IHE).