Bases de datos personales relativos a la salud y su debida registración
Abogada, UBA. Magíster en Gestión de Servicios Tecnológicos y de Telecomunicaciones, Universidad de San Andrés. Asesora legal Dirección Nacional de Protección de Datos Personales, MJDH.
El acceso y tratamiento de información es primordial en las sociedades actuales, cualesquiera sean sus manifestaciones. Sin embargo, cuando la información se refiere a datos de carácter personal, debe ser sometida a principios y reglas, y los Estados deben ejercer un control para que el tratamiento de esos datos no lesione los derechos de sus titulares.
Ese deber de tutela, debe reforzarse cuando la información versesobre la salud física o mental de las personas.
Dentro de las garantías que fueron introducidas en la última reforma constitucional del año 1994, se halla la figura del habeas data, consagrada en el tercer párrafo del artículo 43, como una subespecie del amparo.
De conformidad con esta garantía, la ley 25.326 de Protección de Datos Personales (en adelante Ley PDP), tiene por objeto la protección integral de los datos personales asentados en archivos, registros o bancos de datos–públicos o privados–, destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas y el acceso a la información allí contenida.
La citada ley reglamentó la actividad de los bancos de datos públicos y privados que procesan información personal y los sometió al control de la Dirección Nacional de Protección de Datos Personales (en adelante DNPDP) en el ámbito nacional, creándose el Registro Nacional de Bases de Datos.
Los archivos, registros o bancos de datos a los que hace mención la norma, son el conjunto organizado de datos personales, objeto de tratamiento o procesamiento, electrónico o no, cualquiera fuere la modalidad de su formación, almacenamiento, organización o acceso. Pero no cualquier conjunto organizado de datos, sino aquellos destinados a dar informes.
Mucho se ha discutido acerca del verdadero alcance de la expresión “destinado a dar informes”, debate que ha quedado superado casi unánimemente por la doctrina especializada en la materia, la que considera que la expresión hace referencia a aquellos datos que exceden el uso exclusivamente personal y los que tienen como finalidad la cesión o transferencia de datos personales.
El concepto de uso exclusivo personal debe interpretarse de la manera más favorable al ejercicio del derecho a controlar la información personal, en virtud del carácter de derecho humano que reviste y el peligro que implica para las personas el tratamiento de sus datos personales. Por ello, ante la duda, debe interpretarse de manera amplia, concediendo al titular del dato el derecho a acceder a todo banco de datos que emita información sobre su persona.
En reciente jurisprudencia, con motivo de la medida cautelar autónoma iniciada por la empresa Prudential Seguros S.A. a raíz de la intimación de inscripción en el Registro de Bases de Datos formulada por la DNPDP, la Cámara Nacional en lo Contencioso Administrativo Federal resolvió: “(…) la cualificación ‘destinado a dar informes’, se refiere a que se trata de un banco de datos que posibilita obtener información sobre las personas, se transmita o no a terceros. Ello es así, debido a que el tratamiento de los datos implica riesgo susceptible de causar un perjuicio al titular de los datos. La norma no exige que el destinatario del informe sea una tercera persona ajena al responsable o usuario de la base de datos, sino que también abarca los usos internos que se dan dentro de una empresa” (CNCAF, “Prudential Seguros S.A. – Inc. M (23-XI-09) c/ EN-Mº Justicia DNPDP, Nota 816/09-3471 s/ Medida Cautelar (Autónoma)”, 9/9/10).
Para que el banco de datos sea lícito, debe encontrarse debidamente inscripto en el Registro Nacional de Bases de Datos (RNBD). La ley 25.326 pone en cabeza de usuarios y responsables de archivos, registros, bases o bancos de datos que contenganinformación personal, la correspondiente inscripción en el Registro Nacional de Bases de Datos Privadas habilitado por la DNPDP.
La inscripción se realiza mediante la presentación ante la Dirección Nacional de Protección de Datos Personales (DNPDP) de un formulario que constituye una declaración jurada para el responsable.
Con dicha presentación, se da lugar a un doble control por parte de la autoridad de aplicación: conocer la existencia del banco de datos, su estructura y características principales, y la verificación del cumplimiento de los principios generales consagrados en la Ley PDP, tales como:
Consentimiento. Comoregla general, el tratamiento de datos de carácter personal requiere el consentimiento libre, expreso e informado del titular de los datos.
Fin perseguido. Los datos que se recaben y almacenen deben ser pertinentes y adecuados, es decir, estar relacionados con el fin perseguido en el momento de creación de la base de datos.
Utilización no abusiva. Los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención.
Exactitud. Los datos deben ser exactos y actualizarse en el caso de que ello fuere necesario. Si fueren inexactos o incompletos, deben ser suprimidos y sustituidos, o completados.
Limitación en el tiempo. Los datos deben ser eliminados una vez que se haya cumplido la finalidad para la que fueron recabados.
Legalidad. El procedimiento de recogida de datos no debe ser realizado en forma ilícita o desleal, no puede hacerse por medios desleales, fraudulentos o en forma contraria a las disposiciones de la ley.
Confidencialidad. El responsable y las personas que intervengan en cualquier fase del tratamiento de datos personales están obligados al secreto profesional respecto de los mismos, aún después de finalizada su relación con el titular del archivo de datos.
Seguridad. La información personal referida a los ciudadanosdebe almacenarse en archivos, registros, bancos o bases de datos que reúnan condiciones técnicas de integridad y seguridad.
Ahora bien, cuando la información personal asentada en registros, archivos o bases de datos destinados a dar informes seanrelativos a la salud física o mental de las personas, estos datos serán calificados dentro de la categoría de “datos sensibles”.
No todos los datos personales requieren de idéntica protección. “La preocupación esencial que rodea el tratamiento de estos datos, además de la tutela del derecho a la intimidad, o vida privada es, sin duda, la posibilidad de discriminación”.
En consecuencia, la norma establece que ninguna persona puede ser obligada a proporcionar datos sensibles y éstos sólo pueden ser recolectados y objeto de tratamiento cuando mediar en razones de interés general autorizados por ley.
Así, la Ley PDP expresamente autoriza la recolección y tratamiento de datos sensibles referidos a la salud, a establecimientos sanitarios públicos o privados y profesionales vinculados a las ciencias de la Salud, siempre que se trate de datos cuyos titulares sean pacientes que acudan a estos centros o a profesionales, o estén o hubiesen estado bajo tratamiento de aquellos.
Además de la Ley PDP, existen otras normas que autorizan el tratamiento de datos sensibles, tales como la ley 24.557 de Riesgos del Trabajo y sus decretos reglamentarios, que autorizan la realización y conservación de estudios preocupacionales; la ley 23.798, que declara de Interés Nacional a la Lucha contra el Síndrome de Inmunodeficiencia Adquirida (SIDA), autoriza la individualización de personas que padecen esta afección a través de fichas, registros o almacenamiento de datos en forma codificada y la ley 26.548 crea el Banco Nacional de Datos Genéticos y autorizó la recolección y almacenamiento de información genética garantizando su inviolabilidad e inalterabilidad.
Conforme la Disposición DNPDP 11/2006, los responsables de bancos de datos deben cumplir con determinados niveles de seguridad en el tratamiento y conservación de los datos personales contenidos en sus archivos, registros, bancos y bases de datos.
En armonía con la Ley PDP, la disposición exige mayor seguridad al tratamiento de datos sensibles, debiendo los responsables cumplir con los tres niveles allí dispuestos.
Sobre el “nivel básico”, la norma establece que los responsables deben disponer de un documento de seguridad de datos personales en el que se especifiquen, entre otros, los procedimientos y las medidas de seguridad a observar sobre los archivos, registros, bases y bancos que contengan datos de carácter personal; instalar y actualizar software de detección y reparación de virus, ejecutándolo rutinariamente, y establecer un procedimiento que garantice una adecuada gestión de los soportes que contengan datos de carácter personal.
Respecto del “nivel medio”, por ejemplo, se exige a los responsables la realización de auditorías que verifiquen el cumplimiento de los procedimientos e instrucciones vigentes en materia de seguridad para datos personales; control de acceso físico a los locales donde se encuentren situados los sistemas de información con datos de carácter personal; adoptar medidas necesarias para impedir cualquier recuperación de la información con posterioridad a que un soporte vaya a ser desechado o reutilizado, o que la información deba ser destruida, por la causa que correspondiere,entre otras.
Los responsables de bases de datos que realizan tratamientos de datos sensibles autorizados por ley, además de las medidas de seguridad de “nivel básico” y “nivel medio”, deberán adoptar las medidas de seguridad de “nivel crítico”, tales como disponer de un registro de accesos con información que identifique al usuario; implementar copias de resguardo externas situadas fuera de la localización, y utilizar un cifrado de datos u otro tipo de mecanismo que impida su lectura y/o tratamiento por parte de personas no autorizadas cuando se realicen transmisiones de datos.
Quedan exceptuados de aplicar las medidas de seguridad de nivel crítico, los archivos, registros, bases y bancos de datos que deban efectuar el tratamiento de datos sensibles para fines administrativos o por obligación legal. No obstante, ello no excluye que igualmente deban contar con aquellas medidas de resguardo que sean necesarias y adecuadas al tipo de dato que tratan.
Las medidas de seguridad constituyen una exigencia que permiten proteger los datos personales de la intromisión de terceros y evitar su adulteración, pérdida, consulta o tratamiento no autorizado. Ello armoniza con el derecho a la intimidad definido como el derecho que tiene todo individuo de determinar por su cuenta, cómo y en qué medida, las informaciones que le atañen puedan ser comunicadas a otras personas.
Por su parte, la inscripción en el RNBD constituye una herramienta que permite conocer y controlar quiénes utilizan bases de datos para usos que excedan el ámbito privado, qué tipo de información manejan y con qué finalidad. Las consultas al registro son públicas y gratuitas. Por medio de él, los titulares pueden acceder a información sobre la existencia de archivos, registros, bases o bancos de datos personales, sus finalidades y los datos de contacto de sus responsables.
De este modo, se asegura la efectiva tutela de los datos personales ya que los particulares, con la información obtenida, pueden ejercer los derechos de acceso, rectificación, actualización y/o supresión consagrados en el artículo 43 de la Constitución Nacional (CN) y los artículos 14 y 16 de la ley 25.326. Esta garantía cobra mayor importancia cuando el tratamiento versa sobre datos referidos a la salud, los cuales ostentan una actituddiscriminatoria y cuyo uso indebido podría derivar en una posible afectación negativa a su titular.
Bibliografía
CNCAF, “Prudential Seguros S.A. – Inc. M (23-XI-09) c/ EN-Mº Justicia DNPDP Nota 16/09-3471 s/ Medida Cautelar (Autónoma)”, 9/9/10.
ALTMARK, Daniel R. - MOLINA QUIROGA,Eduardo (2012). Tratado de Derecho Informático, T.II, 1ª ed. Buenos Aires: La Ley.
Ley 25.326de Protección de Datos Personales.
Ley 24.557 de Riesgos del Trabajo.
Ley 26.548. Banco Nacional de Datos Genéticos.
-----------------------------------------------------------------
Recibido: 26/05/2016; Publicado: 03/2017