Artículo 2: Del EDUS

Refiere a la versión digital del Expediente de Salud. Constituye un repositorio de los datos del paciente en formato digital y electrónico, que se almacenan e intercambian de manera segura y puede ser accedido por múltiples usuarios autorizados según nivel de acceso asignado en diferentes establecimientos de salud, si así se requiere. El EDUS es un conjunto de Sistemas de Información integrados en razón de la forma en que el proceso de atención esta conceptualizado para apoyar las necesidades administrativas y de salud tanto del paciente como de la Institución. Contiene información retrospectiva, concurrente y prospectiva, y su principal propósito es soportar de manera continua, eficiente, con calidad e integridad la atención de cuidados de salud. Desde el punto de vista informático, está conformado funcionalmente por los aplicativos informáticos, que facilitan la prestación de los servicios de salud en total apego a los términos normativos asociados con los procesos básicos de la atención ambulatoria, hospitalaria, de urgencias, servicios de apoyo y cualquier otra modalidad de atención que la CAJA defina en respuesta a la necesidad de los pacientes.

Artículo 3: Objetivo

Este Reglamento regula la correcta ejecución de la Ley del Expediente Digital Único de Salud (EDUS), Nº 9162 así como el desarrollo, la implementación, la sostenibilidad y el tratamiento de los datos contenidos en los diferentes Sistemas de Información del EDUS, en protección y tutela de los derechos de la persona titular de éstos, de los integrantes del equipo técnico, profesionales en salud y de la misma Institución.

Artículo 4: Ámbito de aplicación

Las disposiciones del presente Reglamento son irrenunciables y de aplicación obligatoria para todo usuario del EDUS o empleado de entidad externa proveedora de servicios de salud que mediante contrato, convenio u otra forma de relación legítima con ésta, este autorizada para incluir o acceder a los datos contenidos en el EDUS. Así como para los usuarios que acceden a los servicios de salud en la CAJA.

Artículo 5: Sostenibilidad del EDUS

La CAJA por medio de las diferentes Gerencias, definirá las estrategias necesarias para garantizar un adecuado proceso de sostenibilidad de los sistemas de información que conforman el EDUS en la operación ordinaria de la Institución, en concordancia con la gestión clínica del paciente considerada en el artículo número 36 de este reglamento.

Deberá considerarse dentro los aspectos de sostenibilidad, los ajustes para el fortalecimiento de la organización, en los recursos que correspondan en función de las necesidades y evolución del Expediente Digital Único de Salud.

Artículo 6: Consentimiento expreso

Como excepción al consentimiento expreso, los datos que se recopilen en el EDUS, no requiere del consentimiento del titular o su representante legal; de conformidad con lo establecido en el artículo 8 incisos d), e) y f) de la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales, N° 8968 y en el artículo 5 de la Ley General de Salud N° 5395.

Artículo 7: Propiedad del EDUS

El expediente digital único de salud en su concepto, diseño, operación, plataforma tecnológica, códigos fuentes, soluciones de valor orientados al titular de los datos y demás contenido material del EDUS son propiedad exclusiva de la CAJA. La información derivada de la atención de los usuarios de los servicios de salud o del titular de los datos, con las limitaciones que establece el artículo 9 inciso d) de la Ley N°8968, pertenece a estos usuarios o titulares de los datos. La propiedad exclusiva del EDUS, no limita la CAJA pueda a través de medio de proveedores externos, realizar desarrollos relacionados con el Expediente Digital Único, siendo que los mismos posteriormente pasan a ser propiedad exclusiva de la CCSS.

Artículo 8: Área de Estadística en Salud

Es la dependencia técnica institucional, encargada de la normación y regulación técnica del EDUS, para lo cual estará facultada para realizar las coordinaciones necesarias, con las instancias técnicas pertinentes, para la integración de los distintos módulos relacionados con el proceso de atención, la generación de productos de información en salud, con estricto apego a este reglamento y normativa conexa, incluyendo las regulaciones sobre trámite, custodia, uso, conservación de los expedientes y bases de datos en salud, digitales y físicos, de acuerdo con la realidad institucional y tecnológica, en orientación a la estandarización e igualdad de los procesos de atención en los distintos niveles de la red de servicios. En cualquier caso el AES debe velar porque el acceso al expediente de salud, físico o digital, cumpla con los lineamientos de confidencialidad.

Artículo 9: Administrador de Sistema de Información del EDUS

El administrador o responsable de un Sistema de Información EDUS tendrá dentro de sus funciones el velar por el acceso controlado en resguardo de la confidencialidad de los datos de los pacientes e interés institucional, definir conceptualmente los requerimientos de la aplicación con apego a la normativa vigente, asegurar los procesos que respalden la calidad y disponibilidad de información, avalar, junto a expertos en el entorno del Sistema de Información, el cumplimiento del desarrollo de la aplicación conforme a los requerimientos, apoyar el proceso de implementación del Sistema de Información en aspectos normativos y de proceso, autorizar las mejoras propuestas para los establecimientos de salud acorde con el estándar de datos y documentar cambios y mejoras a la aplicación así como las implicaciones en la regulación vigente.

Adicionalmente de coordinar con el AES la necesidad de acceder a datos generados por otros Sistemas de Información en su integración en el EDUS.

Artículo 10: Nivel de acceso asignado

El acceso a la información o a los distintos Sistemas de Información en el EDUS, por parte de los usuarios del EDUS, se regirá según lo definido en el Manual Operativo de este Reglamento.

Artículo 11: Uso de firma digital

El uso de la firma digital estará regulado conforme con lo establecido en la Ley 8454, Ley de Certificados, Firmas Digitales y Documentos Electrónicos, y el Reglamento de Firmas Digitales y Firmas Digitales Certificadas de la Caja Costarricense de Seguro Social, aprobado en el artículo 51° de la sesión Nº 8816, celebrada el 10 de diciembre del año 2015, publicado en "La Gaceta" Nº 15 del 22 de enero del año 2016. El uso de la firma digital certificada será sujeto a los lineamientos establecidos institucionalmente para tales efectos.

Artículo 12: Acceso regulado

El módulo de seguridad del EDUS deberá garantizar que todo usuario autorizado para accesar y registrar datos en éste, lo haga con las limitaciones establecidas en el nivel de acceso asignado y vinculado al código de uso personal asignado o a su propia firma digital certificada.

Artículo 13: Apertura del Expediente Digital Único en Salud

Todo paciente que reciba atención deberá ser adscrito a los servicios de salud, o en su defecto identificado, de previo a recibir la atención, según la regulación del Seguro de Salud, excepto cuando por su condición de salud requiera ser atendido de forma urgente, conforme a la valoración por parte del personal de salud o de acuerdo con lo establecido en el Programa de Atención Primaria y Visita Domiciliar.

Los datos de identificación de todo usuario titular contenidos en las bases de datos del EDUS, estarán conformados por el tipo y número de identificación asignados en el sistema de Identificación Agendas y Citas (SIAC) al momento de su adscripción en el primer nivel de atención o en su defecto por la respectiva identificación en un servicio de emergencias, hospitalización o consulta externa del segundo y tercer nivel. Cuando falte un documento válido de identificación, se le asignará al usuario titular un número de identificación del tipo "temporal interno".

En el caso de los recién nacidos, producto de la atención del parto dentro de la CAJA, deberán ser identificados con un número temporal, de acuerdo con la normativa vigente, por un período de vigencia de hasta tres meses; siendo responsabilidad de los padres proceder con la adscripción de su hijo (a) en el área de salud que le corresponda, aportando el número de cédula que le ha sido asignado por el Registro Civil en conjunto con la documentación que la Institución defina en la regulación a la protección del aseguramiento según la modalidad que corresponda.

Artículo 14: Identificación de los registros

Toda actividad realizada en alguno de los Sistemas de Información EDUS debe quedar suscrita por el responsable o los responsables dentro del proceso de atención, con indicación de su nombre y cédula de identidad o DIMEX, código o número de carné del colegio profesional, si lo tuviera y la especialidad, disciplina o título profesional que ostente el responsable, nombre del establecimiento, servicio, especialidad, hora y fecha de la anotación, esto en ausencia de la firma digital certificada.

Artículo 15: Corrección de datos consignados en el EDUS

Los errores de registro de datos, durante el proceso de atención a las personas en el EDUS, podrán ser corregidos por el profesional en salud haciendo las anotaciones correspondientes, según lo establecido en el Manual Operativo de este Reglamento.

Artículo 16: Evolución constante

El EDUS se desarrollará institucionalmente en forma progresiva, conforme con la estrategia que al efecto defina la CAJA para la integración de procesos de atención en salud y nuevas modalidades de atención, considerando la evolución de la tecnologías de información y las posibilidades institucionales, previendo el plazo definido en la Ley N°9162 y lo aprobado por la Junta Directiva en el artículo 10 de la sesión 8780 de mayo 2015, sin que esto limite el accionar de la CAJA posterior a esta fecha. Su extensión a servicios de salud brindados por terceros mediante contrato, convenio u otra figura legal, se realizará conforme con la disposición de las autoridades institucionales competentes.

Artículo 17: Ordenamiento y contenido

Los datos almacenados en las bases del EDUS mantendrán el orden lógico definido según la normativa atinente a los distintos Sistemas de Información que lo conforman y no podrá variarse sin la autorización de la Gerencia Médica, previa solicitud fundamentada al Área de Estadística en Salud. Para efectos de impresión del contenido de un archivo o expediente, la información deberá presentarse en forma cronológica de la más antigua a la más reciente y según área de atención, consulta externa, urgencias, hospitalización, etc., indicando el establecimiento de salud donde el usuario fue atendido en cada ocasión.

Artículo 18: Disponibilidad de la información relacionada con la atención en salud

Los datos contenidos en las bases del EDUS y los documentos archivados física o digitalmente cuando corresponda, deberán estar disponibles para su acceso, por parte del usuario titular de la CAJA y demás personas legitimadas, por parte de los usuarios del EDUS responsables de la atención, conforme con su nivel de acceso asignado, en este último caso, salvo razones sustentadas en hecho fortuito o causa mayor, a efecto de responder con oportunidad a la demanda de atención en salud por parte de sus titulares.

Artículo 19: Confidencialidad y secreto profesional

La información, datos y en general registros contenidos en los aplicativos del EDUS son confidenciales. La obligación de observar esta disposición general incluye a los usuarios de EDUS que por motivo de su labor tengan acceso a dicha información, por lo que su violación acarreará las consecuencias disciplinarias y administrativas que correspondan, sin menoscabo de las consecuencias civiles y penales que el ordenamiento jurídico impone. En protección de la confidencialidad, los usuarios autorizados para acceder al contenido de las bases de datos del EDUS se acreditarán conforme al nivel de acceso asignado que corresponda, según el uso estrictamente necesario para el adecuado cumplimiento de su función, en concordancia con lo dispuesto en el presente reglamento. El deber de confidencialidad se mantiene aún después de finalizada la relación con el EDUS. El secreto profesional se rige por lo establecido en el artículo 203 del Código Penal.

Capítulo II: Orientación de la solución tecnológica

Artículo 20: Características de la solución tecnológica

De acuerdo con lo establecido en el artículo 5° de la Ley N° 9162, la solución tecnológica deberá contener, al menos, las siguientes características claves:

a) Interoperabilidad: las aplicaciones, los equipos y los servicios que interactúen con el expediente digital único de salud deberán disponer de las capacidades necesarias para garantizar un intercambio de información efectivo de forma transparente, de acuerdo con los parámetros que para tales efectos establezca la Caja Costarricense de Seguro Social.

b) Mejores prácticas: las soluciones tecnológicas que conformen el expediente digital deberán diseñarse y operar tomando como referencia las mejores prácticas, tanto en los procesos de atención médica como en el campo de las tecnologías de información y comunicaciones. Se deberá prestar especial énfasis en la incorporación de protocolos de medicina basada en la evidencia y guías de atención médica.

c) Seguridad: el expediente digital y las soluciones informáticas que interactúen con este deberán cumplir los criterios que para tal efecto se establezcan en los ámbitos tecnológico, científico, ético y administrativo, en aras de garantizar la integridad, confidencialidad y disponibilidad en el uso, manejo, archivo, conservación y propiedad de los datos contenidos en el expediente clínico.

d) Escalabilidad: la solución informática deberá poseer una arquitectura que permita hacer frente, de forma gradual, al incremento en el número de usuarios, peticiones y nuevos servicios en el expediente digital que se demanden en el futuro.

e) Usabilidad: las interfaces de las soluciones que conforman el expediente digital deberán ser diseñadas para tener un aspecto uniforme y amigable, que facilite los procesos de aprendizaje y gestión del cambio en el uso de la herramienta informática, aumentando la productividad en el trabajo y minimizando el riesgo de errores en su operación.

f) Productividad y calidad: la solución deberá permitir incrementar la calidad, eficiencia, eficacia y oportunidad en la prestación de los servicios de salud, optimizando la relación entre insumos y productos asociados a dichos servicios, bajo un enfoque de mejora continua.

g) Portabilidad: acorde con la estrategia de implementación podrá introducirse la característica de portabilidad de la información contenida en el expediente digital, mediante la cual los usuarios podrán llevar consigo la información esencial de su expediente mediante el uso de dispositivos electrónicos.

h) Integridad: la información deberá permanecer sin alteraciones desde su origen, asegurando la calidad y confiabilidad de los datos, en la evolución del proceso salud-enfermedad.

i) Identificación única: congruente con la confidencialidad y veracidad que debe regir el proceso de atención médica, es necesario hacer la identificación unívoca de pacientes y usuarios de los servicios de salud, a efectos de que su expediente digital único de salud sea conocido e incluya solo la información del paciente que corresponda. Para lo anterior, se contará con el apoyo y los servicios del Tribunal Supremo de Elecciones y de la Dirección General de Migración y Extranjería.

j) Acceso único: al expediente digital podrá ingresarse mediante un único punto de acceso utilizando tecnologías web o su equivalente tecnológico, con el objetivo de conformar un portal idóneo de servicios a los ciudadanos y usuarios.

k) Trazabilidad: el expediente digital deberá permitir llevar un registro y seguimiento de los movimientos de cada paciente, así como los suministros y recursos en los diferentes establecimientos de salud, de tal manera que dicha información se encuentre disponible para la toma decisiones, bajo los principios de confidencialidad y privacidad que para tal efecto se establezcan.

l) Requerimientos para la prestación de servicios de salud: el expediente digital deberá atender los objetivos funcionales y las funcionalidades que requieren los servicios de salud en los tres niveles de atención, incluyendo soluciones informáticas para la implementación de la receta electrónica, la gestión telemática de citas y la imagenología digital, sistema de interconsulta y referencia y contra-referencia.

Capítulo III: De los Establecimientos de Salud

Artículo 21: Responsabilidad de vigilancia

El titular de la Dirección Médica del establecimiento de salud o responsable de la empresa externa proveedora de servicios de salud que mediante contrato, convenio u otra forma de relación con la CAJA, que esté autorizada para incluir o acceder a los datos contenidos en el EDUS, tendrá la responsabilidad por la aplicación y fiscalización de lo dispuesto en este Reglamento en su ámbito de acción.

Artículo 22: Condiciones necesarias para el uso del EDUS

La CAJA en conjunto con la Dirección de los establecimientos de salud tendrá la responsabilidad de velar por que en el establecimiento de salud existan las condiciones necesarias, tanto de equipamiento, medios de conexión y otros que el uso del EDUS requiera para su adecuado funcionamiento. Y que dichos elementos estén a disposición de los usuarios del EDUS en el proceso de atención en salud de las personas.

Artículo 23: Completitud de los registros

Todos los usuarios del EDUS que participan en el proceso de atención de la salud de las personas son responsables de realizar el debido registro en el EDUS, velar por la calidad y veracidad del registro, según el ordenamiento dispuesto en este para tal fin, de forma que quede evidencia clara y fidedigna de todos los actos relacionados con la atención en salud que se realiza a las personas.

Capítulo IV: Derechos y Deberes de los Pacientes

Artículo 24: Derechos y deberes de los usuarios de los servicios

Los derechos y deberes de los usuarios de los servicios de salud se rigen en el marco normativo dado por la Ley 8239, Derechos y Deberes de las Personas Usuarias de los Servicios de Salud Públicos y Privados, y el Reglamento de Seguro de Salud en los artículos 75 y 78, así como cualquier otro que aplique o se deriven de su condición de ciudadano usuario del servicio público de la CAJA

Artículo 25: Derechos a la actualización de datos

A la persona usuaria de los servicios de salud de la CAJA le corresponde el derecho a la rectificación, actualización, o eliminación de los datos personales tales como dirección, teléfono, etc., cuando demuestre que presentan error con relación al documento oficial pertinente y este sea corregible institucionalmente, toda vez que los que la Institución toma mediante enlace automatizado con bases de datos oficiales como las del Registro Civil y la Dirección de Migración y Extranjería, regidas por normativa específica, deberán ser corregidos directamente por la instancia pertinente.

Artículo 26: Consentimiento informado y exoneración de responsabilidad

Toda persona quien en virtud de procedimiento médico, quirúrgico, odontológico o de otro tipo requiera de la firma del "consentimiento informado" y, cuando procediere, del "asentimiento informado" para el menor entre doce y menos de dieciocho años de edad, deberá hacerlo directamente en el EDUS o, en ausencia de la aplicación específica, en el formulario físico respectivo, conforme con lo establecido en el Reglamento de Consentimiento Informado de la CAJA. En tal caso, el formulario físico se digitalizará o incorporará por medios electrónicos y conservará según la normativa vigente. De igual manera se procederá con el formulario de exoneración de responsabilidad. Para la aplicación del consentimiento informado y exoneración de responsabilidad, será requerida la presentación de la cédula de identidad o documento de similar rango aprobado por el Gobierno de Costa Rica en el caso de la persona extranjera; esto también aplica para el retiro de menores.

Artículo 27: Firma de la persona

La firma de la persona en los registros de salud que así lo requieran: consentimiento informado, asentimiento informado y exoneraciones de responsabilidad, entre otros, cuando exista aplicación en el EDUS, se realizará mediante los dispositivos tecnológicos disponibles. En su defecto, se realizará en forma física y el documento firmado se integrará al EDUS por digitalización o se custodiará y conservará conforme a la normativa vigente o en su defecto la que rige el expediente físico. Cuando corresponda, por motivos de discapacidad y demás limitaciones del usuario, se podrá recurrir a la firma puesto a ruego; según lo establecido en el artículo 115 del Código Procesal Civil.

Artículo 28: Derecho sobre los datos

Los usuarios de los servicios de salud de la CAJA o titular de los datos, podrán accesar sus datos personales, sensibles, restrictos e irrestrictos por los medios tecnológicos o físicos que la Institución disponga para tal fin.

Los derechos sobre los datos personales contenidos en el EDUS y reconocidos por este Reglamento, una vez fallecido su titular, le corresponderán a sus sucesores, herederos legítimos, autoridad judicial mediante resolución en firme que ordene y todo aquel que tenga interés legítimo en los datos e información registrada en EDUS y esté legitimado para tal efecto.

Para obtener copia de los documentos o reproducción de datos e información contenidos en el EDUS, el usuario titular de los servicios de salud de la CAJA podrá desde la aplicación EDUS imprimir o generar en formato digital de forma directa la información contenida en el Expediente Digital Único en Salud, la cual tendrá las características autenticidad propia que garantiza que la misma es copia fiel y exacta de lo contenido en las bases de datos del EDUS. Para efectos formales, el trámite debe ser mediante solicitud del usuario titular de los datos o aquellos con interés legítimo en el caso de los usuarios fallecidos de manera escrita ante la Dirección Médica del establecimiento de salud donde ha recibido atención, para el aval correspondiente dentro del marco de la razonabilidad y legalidad que sustenta el ordenamiento jurídico. En caso de trámites físicos o de manera presencial, por parte del titular de los datos, será requerida la presentación de la cédula de identidad o documento de similar rango aprobado por el Gobierno de Costa Rica en el caso de la persona extranjera; en el caso de trámites por terceros será requerida autorización expresa y copia de la cédula de identidad o documento de similar rango aprobado por el Gobierno de Costa Rica en el caso de la persona extranjera.

Se entregará la información de manera física, o por los medios tecnológicos, que se establezcan para tal fin, para lo cual la Institución fijará una tarifa, ajustada anualmente según las disposiciones de la Gerencia Financiera y descritas en Manual Operativo de este Reglamento, que correrá por cuenta del usuario titular de la CAJA o quien gestione dicha solicitud.

Capítulo V: De los Responsables de la Atención

Artículo 29: Del uso de los sistemas automatizados

Todo usuario del EDUS dedicado a la prestación de servicios en salud y funciones de tipo administrativo, incluidos los modelos alternativos y proveedores de servicios externos a nombre de la Institución tienen la responsabilidad de registrar y actualizar las anotaciones pertinentes que respalden la atención de los usuarios de los servicios de salud de la CAJA, de conformidad con los principios científicos, técnicos y éticos que sustentan la práctica de prestación en salud y la profesión en cada disciplina en salud, en los aplicativos institucionales aprobados para tal efecto, respetando un llenado completo de los mismos.

Artículo 30: De la completitud e integridad del registro administrativo

Es responsabilidad del personal de REDES y los demás usuarios del EDUS que por la naturaleza de sus funciones les correspondan realizar el registro de datos administrativos de las personas, velar por el adecuado, completo e integral registro de los datos de las personas en el EDUS, velar por la calidad, actualización y veracidad del registro, según lo establecido en los procesos de adscripción e identificación de los usuarios.

Artículo 31: De la completitud e integridad del registro clínico

Es responsabilidad del usuario del EDUS dedicado a la prestación de servicios asegurar que la información ingresada en los aplicativos informáticos utilizados esté completa, integra y suficiente para la continuidad de la atención del paciente o usuario titular de la CAJA en apego a los protocolos y guías clínicas que regulan la atención. En aras de brindar una adecuada atención en salud, en protección tanto de los intereses del usuario y de la Institución.

Artículo 32: De la notificación obligatoria

La notificación obligatoria de las enfermedades y eventos de conveniencia nacional e institucional debe ser registrada oportunamente en cualquiera de los registros de salud que sean utilizados oficialmente en las distintas modalidades de atención en que la relación con el paciente así lo permita, siendo que el interés por la salud pública impera en todo el proceso de atención. Las enfermedades consideradas de notificación obligatoria son las descritas en el artículo 9 del Decreto N. 30945-S publicado en La Gaceta 18 del 27 ENE-2003, los eventos de conveniencia nacional e institucional serán integrados al EDUS a partir de la regulación pertinente emanada por la Gerencia Médica a instancia de la unidad técnica responsable.

Capítulo VI: De la Regulación y la Normalización Técnica del EDUS

Artículo 33: Responsable local de la normalización y regulación técnica

La actividad de los Servicios de Registros y Estadística de Salud (Servicios de REDES) es de naturaleza sistémica y especializada, comprende las tareas administrativas propias del proceso de atención donde se requiera la adscripción e identificación de pacientes, el manejo de documentos de registro de la atención en salud, el manejo de agendas y citas, la vigilancia de la calidad, integridad, estandarización, oportunidad y aplicación normativa de los registros administrativos de salud, así como la generación de datos individualizados o a nivel estadístico como apoyo a la gestión clínica y administrativa del establecimiento de salud o de las autoridades institucionales.

Artículo 34: Dependencia Técnica y Administrativa de los Servicios de REDES

En razón de su función sustantiva, en resguardo de la integridad del Sistema de Información en Salud, y responsables de conservar la comparabilidad de los datos de producción en salud, los Servicios de REDES dependen técnicamente del AES.

Por la naturaleza de su función y el ámbito de acción, los Servicios de REDES administrativamente dependerán de:

a) En el nivel regional, de quien ejerza la titularidad en la Dirección Médica Regional de Servicios de Salud.

b) En el nivel local, de quien ejerza la titularidad en la Dirección Médica General del establecimiento, área de salud o dependencia específica.

c) En programas institucionales especializados, de quien ejerza la titularidad de la Jefatura Médica.

Artículo 35: Comité técnico en apoyo EDUS

Dependencia técnica de carácter auxiliar, temporal y, de apoyo, mismo formalmente conformado por parte de la unidad responsable de la administración del Sistema de Información del EDUS, dicho comité es encargado de emitir un determinado criterio de experto o de instrumentar cambios y procesos relacionados con el expediente de salud de conformidad con el o los objetivos establecidos en el acto administrativo mediante el cual se les designe. En todos los casos tendrá representación del AES conforme lo indicado en el artículo 7 de este reglamento.

La descripción correspondiente a las funciones y forma de trabajo están consideradas en el Manual Operativo de este Reglamento.

Artículo 36: Gestión clínica del paciente

La gestión clínica del paciente en apoyo a la atención integral, corresponde a la Dirección de Desarrollo de Servicios de Salud y Dirección de Red de Servicios de Salud. La Gerencia Médica definirá la creación de un comité técnico de la gestión clínica, para apoyar la atención integral y gestión del paciente en la red de servicios, dicho comité estará conformado por los especialistas que la Gerencia Médica defina, en todos los casos tendrá representación de la Dirección de Desarrollo de los Servicios de Salud, de la Dirección de Red de los Servicios de Salud, el AES y DTIC. En todo caso las decisiones finales de las acciones a seguir relacionadas con la gestión clínica del paciente, recaerán en las unidades de la Gerencia Médica antes descritas, de forma que se propicie y fortalezca la gobernanza, sostenibilidad y una transformación basada en la innovación, las posibilidades y necesidades de la Institución en lo relativo a EDUS. Las funciones asociadas a este comité están descritas en el Manual Operativo de este Reglamento.

Artículo 37: Vigencia números internos

Será responsabilidad de la Jefatura de REDES, como así también del coordinador de Adscripción o identificación, vigilar por la vigencia de los números temporales internos asignados, el cual tendrá una validez temporal de tres meses, en el caso de los extranjeros este tiempo estará en función del trámite de formalización de su estado migratorio, según lo establezca Dirección General de Migración y Extranjería, a partir de la última atención recibida, luego de lo cual pasará a un estado de "inactivo" y el expediente a un estado de "pasivo", pudiendo ser revertidos o reactivados dichos estados una vez que el usuario titular de la CAJA sea debidamente identificado. En el caso de los recién nacidos será responsabilidad de los funcionarios de REDES anteriormente citados, en vigilar que todo los números generados para estos efectos sean unificados con los respectivos números de cédula una vez que este sea dado por el Registro Civil.

La generación del número temporal interno aplica en el caso de los pacientes que no disponen de un documento que los identifique.

De igual manera como excepción deben considerarse el caso de los pacientes con identificación otorgada por SICERE y son incompatibles con la identificación en EDUS.

Artículo 38: Modificación de la identificación

Para modificar o unificar el número de identificación de los datos de las diferentes bases de datos vinculadas al usuario titular de la CAJA y su trazabilidad al establecimiento de salud, en cuanto a mantener un registro unificado, se aplicará el procedimiento establecido en el Manual Operativo de este Reglamento.

Artículo 39: Integración del proceso de atención

La integración de los datos del proceso de atención al EDUS se realizará a partir de la identificación del usuario titular de la CAJA directamente en los aplicativos de cada Sistema de Información, de forma alternativa, la integración de los datos podrán realizarse mediante la digitalización o incorporación electrónica de las piezas físicas por parte del personal de REDES en el establecimiento de salud que brindó la atención. Los datos incluidos o digitalizados deberán quedar suscritos por el responsable del proceso de atención.

La integración de los Sistemas de Información dentro del EDUS deberá estar coordinado entre los administradores de cada Sistema de Información, el AES y la Dirección de Tecnologías de Información y Comunicación.

Artículo 40: Oportunidad del registro

El registro de datos en el EDUS deberá realizarse de forma oportuna y de acuerdo a la etapa del proceso de atención del usuario titular de la CAJA salvo cuando no existan medios para ello, ante lo cual, el registro deberá ser realizado por el profesional o técnico a cargo del proceso de atención de conforme se describe en el Manual Operativo de este Reglamento, y en cumplimiento a las medidas de seguridad que se encuentran establecidas a nivel institucional.

Artículo 41: Continuidad de la gestión

La Dirección de Tecnologías de Información y Comunicación debe asegurar la continuidad de los servicios tecnológicos y de comunicaciones que apoyan el proceso de atención de las durante los episodios en que alguno de los Sistemas de Información del EDUS no opere, debiendo realizar los ajustes pertinentes en las aplicaciones para permitir el acceso a la información reciente que permita la continuidad de la atención y el registro posterior de los datos emanados en tales circunstancias. La fuente física de los datos registrados con posterioridad deberá conservarse conforme con lo previsto en el Manual Operativo de este Reglamento, misma situación cuando por cualquier razón los Sistemas de Información o aplicativos que conforman el EDUS se encuentren fuera de operación imposibilitando que los usuarios incluyan datos durante el proceso de atención, esto se realizará conforme a lo indicado Manual Operativo de este Reglamento

Artículo 42: Integración del historial clínico

La eventual integración del historial clínico de la persona, existente en medio físico o automatizado diferente del EDUS, dependerá de la calidad de los registros, la normativa que se defina, los medios tecnológicos a disposición, los costos involucrados y los procedimientos que establezcan las unidades competentes por parte de las Gerencias Médica y de Infraestructura y Tecnología.

Artículo 43: Prohibición respecto a los datos del EDUS

Queda prohibida la alteración, eliminación y de cualquier forma la enajenación del contenido de las bases de datos del EDUS, salvo por efecto de la corrección de errores por parte del ente autorizado, o del usuario titular de la CAJA, con base en el procedimiento establecido en el Manual Operativo de este Reglamento.

Artículo 44: Bitácora por usuario

Todo usuario de los aplicativos EDUS, sin distingo alguno, es responsable directo de la custodia e integridad de los datos que el mismo contiene, durante el tiempo que lo tenga en uso. Queda prohibido utilizar procedimientos de acceso, registro, modificación o eliminación de datos no autorizados o incompatibles con el nivel de acceso asignado. A tal efecto, la bitácora del EDUS registrará toda actividad ejecutada por el usuario.

Artículo 45: Clasificación de los datos en activos y pasivos

El EDUS clasificará en forma automática los datos y los registros como activos o pasivos en razón del historial de la última atención recibida por el usuario titular de la CAJA, según las tablas de plazos para tal efecto. En caso de fallecimiento del titular de éstos, el expediente del usuario titular de la CAJA se considera inactivo. Serán datos activos los correspondientes al expediente de personas vivas, cuyo último acto de salud registrado no haya superado los diez años desde que fuera realizado; concordantemente, serán datos pasivos los vinculados al expediente de las personas vivas, cuyo último acto de salud registrado haya superado el plazo indicado o por fallecimiento del titular. El plazo decenal podrá disminuirse por disposición de la Gerencia Médica previa solicitud del AES.

Artículo 46: Reactivación de datos clasificados como inactivos

Los datos clasificados como pasivos en el EDUS solo podrán ser reclasificados a activos cuando el usuario titular de la CAJA requiera nuevamente de atención y cuando se comprobare un error de identificación de la persona viva o declarada como fallecida, siendo ésta la causa por la cual se clasificó el expediente como pasivo o inactivo. En tales casos, el funcionario de REDES facultado para ello, procederá conforme al procedimiento establecido en el Manual Operativo de este Reglamento.

Artículo 47: Autorización para la inhabilitación de datos en EDUS

La eventual inhabilitación selectiva de datos contenidos en las bases del EDUS, se regirá por la "Tabla de plazos para la inhabilitación de datos en el EDUS" aprobada para tal efecto en coordinación con la Comisión Institucional de Selección y Eliminación de Documentos, conforme con lo establecido al efecto por la Ley del Sistema Nacional de Archivos N° 7202 y su Reglamento.

Artículo 48: Inscripción de base de datos en Prodhab

La inscripción de las bases de datos ante la Agencia de Protección de Datos de los Habitantes (Prodhab), conforme con lo establecido en el artículo 21 de la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales y el artículo 44 de su Reglamento, formarán parte del trámite integral a cargo de la Gerencia Médica y Gerencia de Infraestructura y Tecnología y sus respectivas áreas técnicas según corresponda.

Artículo 49: Conservación de piezas físicas

La custodia y conservación de las piezas físicas no digitalizadas o conservadas electrónicamente, vinculadas con las bases de datos del EDUS mediante el número de identificación del usuario titular de la CAJA o llave primaria, será competencia de la dependencia de REDES especializada, conforme con la normativa que regula la custodia y conservación del expediente de salud en formato físico, respetando los plazos definidos para tal fin.

Artículo 50: Evaluación de la calidad de los registros

Los servicios de REDES serán responsables de la evaluación de la calidad de los registros administrativos de salud y de la codificación de la morbi-mortalidad en SIAC y en el SIES, para lo cual seguirán los lineamientos técnicos definidos en el Manual Operativo de este Reglamento.

La calidad de los registros a cargo de los profesionales en salud será evaluada según los lineamientos establecidos por el administrador del Sistema de Información del EDUS correspondiente e incluido en el Manual Operativo de este Reglamento.

Artículo 51: Cierre mensual de base de datos para indicadores de salud

A efecto de disponer de bases de datos oportunas para la generación de indicadores de salud en apoyo a la toma de decisiones administrativas, será responsabilidad de la máxima autoridad del establecimiento el vigilar la completitud de las bases de datos, siendo esto durante los primeros 5 días hábiles de cada mes, de previo debe realizarse el control de calidad correspondiente en función del Sistema de Información EDUS que corresponda. De igual manera la omisión o ajuste de datos posterior al cierre deberá regularse por lo estipulado en el Manual Operativo de este Reglamento.

Sin embargo, constituye una prioridad para la gestión de la CAJA disponer de productos de información en tiempo real, razón por la cual esta fecha de cierre mensual no constituye limitante para que el establecimiento de salud mantenga sus registros y datos actualizados.

Artículo 52: Estadísticas oficiales

Los datos estadísticos oficiales derivados de la atención en salud a las personas que emita el EDUS, serán los que defina el AES, en razón de su competencia técnica en la rectoría y administración del sistema de estadísticas de salud. En ningún caso, los datos estadísticos contendrán el número de identificación, nombre y apellidos de los usuarios de los servicios de salud de la CAJA, en protección del principio de confidencialidad.

Artículo 53: Divulgación de datos en salud

La responsabilidad de la divulgación de datos de salud corresponde al AES como instancia técnica dentro de la Gerencia Médica, para lo cual se establecerá una línea de coordinación con los administradores de los Sistemas de Información EDUS a efecto de utilizar un canal de comunicación adecuado a los intereses institucionales, en observancia de la transparencia y acceso a la información según la clasificación y etiquetado de los datos, en apoyo a lo establecido en el Decreto Ejecutivo N° 39372-MP-MC Estrategia Nacional de Gobierno Abierto 2015-2018.

La visión del eje de transparencia y acceso de la información, consiste en abrir datos de instituciones públicas y ponerlos a disposición permanente de la ciudadanía aprovechando las tecnologías de la información disponibles y en apego a la confidencialidad de los datos.

Artículo 54: Solicitudes de datos con identificación nominal

Las solicitudes de datos con identificación nominal deben presentarse ante la máxima autoridad del establecimiento de salud para su debida autorización, toda vez que priva la confidencialidad de acuerdo con lo definido en los artículos 3 y 7 de la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales (Ley 8968), el artículo 11 de la Ley 9162 del Expediente Digital Único en Salud y lo establecido en la Ley del Sistema de Estadísticas Nacionales. Considerando las excepciones dadas en el artículo 5 de este reglamento.

Deberá conservarse la solicitud escrita, la autorización del titular y la constancia de envío y recepción a conformidad por el plazo de 10 años a partir de su recibo.

Artículo 55: Otra regulación relativa

Cada Sistema de Información del EDUS deberá disponer de los manuales operativos necesarios para el adecuado funcionamiento y regulación, manteniendo concordancia con los lineamientos normativos relativos a la identificación, integridad, completitud, acceso, divulgación de datos y cualquier otro definido para salvaguardar el uso de la información en el proceso de toma de decisiones clínicas y administrativas.

Capítulo VII: De la Transferencia de Datos

Artículo 56: Integración de datos de atención en salud dentro de la CAJA

Los datos derivados de la atención de los pacientes y que se encuentren registrados en el EDUS deberán estar disponibles de forma automática para ser consultados por los usuarios del EDUS en virtud de su competencia y nivel de acceso asignado.

La comunicación de datos entre los Sistemas de Información que conforman el EDUS deberá estar debidamente registrado y avalado por los respectivos administradores de los Sistemas de Información involucrados, esto en aras de mantener el control de acceso a los Sistemas de Información y el tipo de información que solicita o recibe de cada Sistema de Información que conforma el EDUS.

En todos los Sistemas de Información que conforman el EDUS, se utilizará la identificación del paciente como identificador único de correlación de datos, facilitando la trazabilidad de los pacientes dentro del Sistema EDUS y siguiendo el modelo de datos autorizado según se indica en el Manual Operativo de este Reglamento.

Artículo 57: Acceso irrestricto

La información contenida en el EDUS solo puede ser accedida en forma irrestricta por el usuario titular de la CAJA a partir de los doce años de edad, salvo que exista alerta médica en el sistema para que el acceso se brinde con apoyo de un profesional en salud calificado, sustentada en el bienestar emocional y físico del titular. Cuando el usuario titular de la CAJA en el EDUS sea un menor de doce años o incapaz, el acceso irrestricto a éstos corresponderá a sus representantes legales.

Artículo 58: Acceso restringido a terceros

Estará restringido el acceso a los datos contenidos en el EDUS, para poder acceder a los datos de un tercero. La persona física o jurídica interesada deberá aportar la autorización escrita del titular de éstos. toda vez que priva la confidencialidad de acuerdo con lo definido en los artículos 3 y 7 de la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales (Ley 8968). Deberá conservarse la solicitud escrita, la autorización del titular y la constancia de envío y recepción a conformidad por el plazo de 10 años a partir de su recibo.

Artículo 59: Medios de acceso para el usuario titular de los datos

El responsable de la administración del Sistema de Información EDUS comunicará en los establecimientos de salud, la forma de acceder a los datos contenidos en el sistema por parte del titular de éstos y de terceros autorizados; así como los medios para la transferencia de los datos y requisitos correspondientes, con base en la clasificación de la información y su nivel de confidencialidad.

Artículo 60: Transferencia de datos a otras instituciones públicas

Los datos contenidos en el EDUS podrán ser compartidos con instituciones públicas en razón de la naturaleza de la función y mediante la existencia previa de un convenio entre las partes, con objetivos claros en pro de la salud pública, en salvaguarda de la integridad y confidencialidad de los titulares de la información. En todos los casos el AES, la Dirección Jurídica y el administrador del Sistema de Información del EDUS emitirán criterio a fin de valorar el fundamento técnico y legal que permita la transferencia de datos, definiendo además el formato y la periodicidad con que debe realizarse la misma. En caso de que los criterios, legal y técnico, resulten positivos le corresponde a los responsables de TIC definir los requerimientos informáticos necesarios para hacer efectiva la transferencia de datos, considerando además los aspectos de seguridad informática que resguarde la confidencialidad de los datos individuales y colectivos.

Artículo 61: Transferencia de datos a organizaciones privadas

La CAJA podrá transferir los datos irrestrictos de acceso general, a organizaciones privadas según lo dispongan leyes especiales, de conformidad con la finalidad para la cual los datos fueron recabados. El acceso a los datos clasificados como sensibles deberá presentase autorización explícita por parte del usuario titular de la CAJA. En todos los casos el AES, la Dirección Jurídica y el administrador del Sistema de Información del EDUS emitirán criterio a fin de valorar el fundamento técnico y legal que permita la transferencia de datos, definiendo además el formato y la periodicidad con que debe realizarse la misma. En caso de que los criterios, legal y técnico, resulten positivos le corresponde a los responsables de TIC definir los requerimientos informáticos requeridos para hacer efectiva la transferencia de datos, considerando además los aspectos de seguridad informática que resguarde la confidencialidad de los datos individuales y colectivos.

Artículo 62: Secuestro judicial de datos.

La orden de secuestro judicial de datos del EDUS, debe ser presentada ante la Dirección Médica del establecimiento de salud y en horarios no hábiles por la dependencia designada por ésta. Salvo indicación en contrario, los datos o registros de atención a entregar, solo contemplarán los correspondientes al establecimiento o establecimientos de salud indicados en la orden y requerimientos del juez o del fiscal del Ministerio Público, como así también las piezas del expediente de salud o atenciones específicas requeridas. La entrega de los datos se realizará, de forma inmediata, salvo imposibilidad material que así lo justifique, en formato impreso o digital según se indique en la orden judicial. En caso de omisión en la forma de entrega de la información en la solicitud judicial, se entregará en formato digital, debiendo el solicitante proveer el dispositivo correspondiente.

Capítulo VIII: De las Tecnologías de Información

Artículo 63: Infraestructura tecnológica

La definición de la infraestructura tecnológica requerida por el EDUS es responsabilidad de la Dirección de Tecnologías de Información y Comunicaciones así como el asegurar la conectividad entre los establecimientos de salud y los repositorios de datos que soportan las distintas funcionalidades del EDUS en todos sus aplicativos, asegurando la aplicación de las medidas de seguridad informática en resguardo de los datos confidenciales de los pacientes atendidos en la CAJA.

Artículo 64: Alcance TIC en EDUS

El desarrollo de aplicativos y su mantenimiento así como la seguridad informática corresponderá a la Dirección de Tecnologías de Información y Comunicaciones y comprenderá, además, lo establecido en el artículo número 10 del presente reglamento. Esta responsabilidad no limita a que los Centros de Gestión Informática, en coordinación con DTIC, puedan apoyar el desarrollo de soluciones informáticas con recursos propios o de terceros. Para el desarrollo de estas funciones deberá coordinarse lo necesario con la Gerencia Médica a instancia del Área de Estadística en Salud y el administrador del Sistema de Información respectivo, para su respectivo aval, en los casos en que los datos lleguen a ser parte integral del EDUS.

Artículo 65: Calidad en el desarrollo y mantenimientos

La Dirección de Tecnologías de Información y Comunicación deberá cumplir con los criterios técnicos y normativos, que para tal efecto se establezcan en los ámbitos tecnológico, científico, ético, legal y administrativo, en aras de garantizar la integridad, confidencialidad, seguridad y disponibilidad en el uso, manejo, archivo, conservación y propiedad de los datos contenidos en éste.

Artículo 66: Administrador de aplicativo EDUS

El administrador o responsable de un aplicativo EDUS tendrá dentro de sus funciones el coordinar activamente el desarrollo, mantenimiento y evolución de la solución informática de acuerdo con los requerimientos identificados, valorar la viabilidad técnica en apego a las normas y protocolos, monitoreando el avance y cumplimiento de los requerimientos en tiempo y forma así como la coordinación con el AES la necesidad de acceder a datos generados por otros Sistemas de Información del EDUS, respecto a su integración.

Artículo 67: Conservación de datos

Corresponderá a la Dirección de Tecnologías de Información y Comunicación en coordinación con el AES y los administradores de cada Sistema de Información que conforma el EDUS, conforme con la estrategia que al efecto presenten a consideración de la Gerencia Médica, la custodia, conservación y mantenimiento de las bases de datos, las tablas interrelacionadas y las piezas digitalizadas de imágenes médicas o cualquier otro documento de salud digitalizado o conservado electrónicamente, independientemente de que su contenido se encuentre clasificado como activo o pasivo, esto para asegurar la conservación de los datos, tablas relacionadas y piezas digitalizadas, por el tiempo establecido en la Ley del Sistema de Archivos Nacionales y su Reglamento.

Artículo 68: Integración de aplicativos EDUS

El desarrollo de los aplicativos EDUS debe garantizar la integración de los datos de toda persona, atendida en cualquiera de los establecimientos de salud institucionales, de aquellos que mediante contrato u otra modalidad brinden servicios de atención en salud a la CAJA y que por resultar de interés para ésta sean debidamente autorizados.

En cualquiera de los aplicativos será necesario de previo la adscripción o identificación del paciente por parte de los funcionarios de REDES en el establecimiento de salud.

Artículo 69: No repudio

Todo registro del EDUS asociado a una firma digital certificada se presumirá, de la exclusiva autoría y responsabilidad del titular del código o firma digital certificada, salvo prueba documentada y verificable manteniendo la cadena y custodia de la información. En consecuencia, los registros incorporados al EDUS se considerarán realizados el día y hora indicados en la bitácora de transacciones que éste provee para determinar la identidad del usuario de EDUS responsable de la actuación.

El tiempo de acceso efectivo al EDUS por parte del usuario acreditado quedará registrado en la bitácora del sistema a partir del momento de ingreso y hasta que se venza el plazo autorizado conforme a la actividad específica, o bien, el usuario antes de que venza el tiempo autorizado, cierre su acceso o sesión de trabajo.

Artículo 70: Registro de historial de transacciones en el EDUS

En el registro de transacciones se almacena el reporte detallado de todas las actividades desarrolladas en el transcurso de una sesión de trabajo, entiendo ésta como el lapso en que un usuario permanece con una sesión activa en el EDUS.

Dicho registro no puede ser alterado, modificado, suprimido bajo ninguna circunstancia, su consulta estará delimitada a los administradores de cada Sistema de Información del EDUS en razón de la competencia.

Artículo 71: Normativa supletoria en seguridad informática

La seguridad en TI del EDUS, en lo pertinente, observará lo dispuesto en las leyes, reglamentos y directrices aplicables.

Capítulo IX: De los Archivos Clínicos y Documentos de Salud

Artículo 72: Digitalización de piezas

Los datos contenidos en piezas físicas que constituyan parte integral del expediente de salud podrán ser incorporadas al EDUS a partir del momento en que éste disponga del Manual Operativo de este Reglamento.

Artículo 73: Certificación de datos

Los datos del EDUS suministrados, física o digitalmente, contendrán una certificación de autenticidad provista automáticamente por el sistema, con indicación del establecimiento, la fecha, la hora y usuario que la entrega.

Artículo 74: Excepciones a documentos físicos

En ausencia de medios tecnológicos para la integración o digitalización del resultado de exámenes o procedimientos relacionados con la atención al EDUS, sus originales deberán ser conservados en el expediente físico existente o abierto para tales efectos, en cuyo caso, la custodia, conservación y eventual destrucción se realizará con observación de lo establecido en la normativa del expediente físico.

Artículo 75: Cierre Técnico de los Archivos Clínicos

El archivo clínico se mantendrá en su operativa normal hasta que la Institución logre la automatización completa de los procesos de atención o en su defecto el último expediente físico supere los 10 años desde la última atención registrada.

Artículo 76: Depuración del Expediente Físico de Salud

El proceso de depuración de los expedientes físicos se mantendrá en vigencia hasta que el cierre técnico del archivo clínico puede ser puesto en práctica.

Capítulo X: Disposiciones Finales

Artículo 77: Sanciones

La violación a las normas contenidas en este reglamento generará las sanciones administrativas previstas en el ordenamiento interno institucional, sin perjuicio de aquellas que pudieren corresponder, conforme al ordenamiento civil y penal.

Artículo 78: De su Oficialización.

El presente reglamento empezará a regir a partir de su publicación en el Diario oficial La Gaceta.

Capítulo XI: Disposiciones Transitorias

Capítulo 79: Vigencia del Reglamento del Expediente Físico de Salud

La normativa de manejo de archivos clínicos comprendida en el Reglamento del Expediente Físico de Salud y normativa conexa, se mantendrá en vigencia hasta que la Institución logre la automatización de los procesos de atención de forma completa.

Artículo 80: Ajustes a las unidades organizacionales referidas en este reglamento

Las unidades referidas en este reglamento, están sujetas a los cambios de organización y función que la CAJA defina, en razón de los procesos de reestructuración o cambios internos que así se consideren necesarios; dichas estructuras organizacionales al igual que las comisiones, equipos y comités que finalmente se definan, están sujetas a la oficialización y publicación correspondiente, por lo cual deberán realizarse los ajustes a este reglamento.

Bibliografía

Ley N°8968. (2011). Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales. San José, Costa Rica.

PRODATO, Protección de Datos Personales. (23 de Noviembre de 2016). ProDato® Protección de Datos y Propiedad Intelectual S de R.L. de C.V. Obtenido de http://www.protecciondedatospersonales.org/lfpdppp/glosario/

ACUERDO FIRME".