Protección de datos personales y el tratamiento de los datos de la salud

En la República Argentina se dictó la ley 25.326, instituyendo un mecanismo de protección de los datos personales, que incluye los datos sensibles y de salud; así también estableció principios de licitud de tratamiento de datos personales en general, que resultan aplicables a los datos relativos a la salud.

Por ende, corresponde analizar el objeto protegido por la norma y los principios rectores que rigen la materia.

En primer lugar, la ley 25.326, tiene como objetivo la protección integral de los datos personales asentados en archivos, registros, bancos de datos u otros medios técnicos de tratamiento de datos, sean estos públicos o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, tercer párrafo de la Constitución Nacional (art.1º).

La protección de los datos personales está receptada en nuestra Constitución Nacional (CN) que dispone, en su artículo 43, que “toda persona podrá interponer esta acción para tomar conocimiento de los datos a ella referidos y de su finalidad, que consten en registros o bancos de datos públicos, o los privados destinados a proveer informes, y en su caso de falsedad o discriminación, para exigir la supresión, rectificación, confidencialidad o actualización de aquellos...”.

Este nuevo derecho –el de autodeterminación informativa o control de la información personal– surge como respuesta al avance de la tecnología y la necesidad de proteger los intereses de la persona “respecto de toda actividad invasiva ilegítima de la esfera privada, de modo que sea efectiva la garantía de los derechos a la intimidad, al honor de las personas y a no ser injustamente discriminadas”.

La norma protege los datos personales en forma general, entendido estoscomo toda información de cualquier tipo referida a personas físicas o de existencia ideal, determinadas o determinables.

Los preceptos normativos resultan aplicables cuando los datos de carácter personal se encuentren asentados en archivos, registros, bancos de datos y otros medios técnicos de tratamiento de datos, sean éstos públicos o privados destinados a dar informes (art.1° citado).

En ese sentido, la norma entiende por archivo, registro o banco de datos al “conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento, electrónico o no, cualquiera que fuere la modalidad de su formación, almacenamiento, organización o acceso”.

Es decir que el objeto alcanzado por la ley 25.326 es el dato personal contenido en una estructura informativa organizada bajo una lógica que facilite su consulta; en consecuencia, la competencia de la Dirección Nacional de Protección de Datos Personales (DNPDP) como autoridad de aplicación, se configura cuando se encuentren reunidos los siguientes datos: 1) que se trate de un dato personal; 2) que el dato se encuentre asentado o contenido en un archivo, registro, base o banco de datos, y 3) que la base de datos exceda el uso estrictamente personal o potencialmente pueda dañar un derecho o interés legítimo del titular del dato.

En particular respecto al punto 3), cabe decir que el artículo 43 de la Constitución Nacional menciona a los “registros o bancos de datos públicos”, y la ley 25.326 hace referencia a los “datos personales asentados en archivos, registros, bancos de datos u otros medios técnicos de tratamiento de datos”.

Los bancos, archivos o registros que se encuentran regulados por el artículo 8° de la ley pueden ser de carácter público o privado destinados a proveer informes, encontrándose excluidos aquellos destinados “exclusivamente al uso personal”.

Dicho concepto debe ser interpretado de manera más favorable al ejercicio del derecho a controlar la información personal y limitarlo, entonces, a aquel tratamiento que por sus características queda comprendido en las acciones privadas de las personas, en su esfera íntima y que no tengan razonable potencialidad de dañar un derecho o interés legítimo del titular del dato.

La circunstancia o el hecho de que el tratamiento de la información, en algunos casos, no trascienda a terceros, carece de implicancia para la aplicación de la ley; porque donde exista tratamiento de datos personales que pongan en riesgo los derechos del titular del dato, se transmita o no a terceros, abre el ámbito de aplicación de la ley para su aplicación. En la causa “Prudential Seguros S.A. s/Medida cautelar”, se ha dicho: “…Desde una primera lectura de la norma legal transcripta podría sostenerse que cuando se establece ‘destinado a proporcionar informes’ la obligación no parece referirse sólo a aquellos bancos de datos que suministran informes a terceros…, pues ello, en principio, no surge de la literalidad de la norma… Resulta a simple vista más acorde con los principios que consagra la ley… que se trata de un banco de datos que posibilita obtener información sobre las personas, se transmita o no a terceros. Ello es así, debido a que el tratamiento de los datos implica riesgo susceptible de causar un perjuicio al titular de los datos…”.

Como ya lo dijéramos, la ley es comprensiva además de los “datos sensibles”, entendido como aquellos datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e “información referente a la salud” o a la vida sexual.

Nótese que la definición de “dato sensible” incluye o refiere a la protección de los datos relativos a la salud.

Los datos sensibles aluden a información vinculada con prejuicios, intolerancia, fanatismos, etcétera, lo que históricamente ha dado lugar a diversos tipos de discriminación: origen racial o étnico, opiniones políticas, convicciones religiosas, datos relativos a la salud o a la vida sexual, etcétera. Dentro del concepto de “dato sensible” quedan incluidos entonces todos aquellos datos que de alguna manera puedan causar discriminación, aún de manera potencial, porque la norma adopta un criterio de tutela preventiva. Entonces, lo que caracteriza un dato como dato sensible, es su potencialidad para generar actitudes discriminatorias respecto de sus titulares.

En el mismo sentido coinciden numerosas legislaciones como, por ejemplo, la Directiva 95/46/CE del Parlamento Europeo y del Consejo del 24 de octubre de 1995, relativa a la Protección de las Personas Físicas en lo que respecta al Tratamiento de Datos Personales y a la Libre Circulación de estos Datos; la Ley Orgánica 15/1999 de Protección de Datos de Carácter Personal (España); la Ley de Protección de Datos de 1998 (Reino Unido), entre otras.

Los establecimientos sanitarios ya sean públicos o privados y los profesionales vinculados a las ciencias de la Salud, están autorizados a recolectar y tratar los datos personales relativos a la salud física o mental de los pacientes que acudan a los mismos o que estén o hubieran estado bajo tratamiento de aquellos, amparando el tratamiento de los datos personales en la garantía del secreto profesional que deben respetar los facultativos intervinientes (conforme art.8°, ley 25.326).

El profesional de la Salud que intervenga en cualquier fase del tratamiento de datos personales está obligado al secreto profesional, aún después de finalizada su relación con el titular del archivo de datos. Sin embargo, el obligado podrá ser relevado del deber de secreto profesional por resolución judicial y cuando medien razones fundadas relativas a la seguridad pública, la defensa nacional o la salud pública.

Por otra parte, ninguna persona puede ser obligada a proporcionar este tipo de datos, ya que los datos de salud no pueden ser tratados sin el consentimiento libre, expreso e informado, el que deberá constar por escrito o por otro medio que permita se le equipare, de acuerdo a las circunstancias.

El consentimiento informado para actos médicos e investigaciones en salud es receptado en el nuevo Código Civil y Comercial de la Nación (CCyCN), entendiendo por consentimiento informado, “la declaración de voluntad expresada por el paciente, emitida luego de recibir información clara, precisa y adecuada”, respecto al estado de salud del paciente, el procedimiento propuesto, los beneficios esperados, como así también explicación clara y precisade los riesgos y efectos adversos del tratamiento, la especificación de la existencia de procedimientos alternativos y las consecuencias previsibles de la no realización del procedimiento propuesto o de los alternativos especificados, entre otros. En concordancia con ello, el decreto 1558/01 y sus modificatorias dispone en su artículo 5º que el consentimiento informado es el que está precedido de una explicación, al titular de los datos, en forma adecuada a su nivel social y cultural, de la información a que se refiere el artículo 6º de la ley 25.326.

No será necesario el consentimiento cuando se den las excepciones especialmente previstas por la ley. En el caso que nos ocupa de los datos sensibles, el consentimiento estará exceptuado cuando se produzcala disociación del dato y la persona sea inidentificable o no identificable.

A través de la aplicación de estos procedimientos, que generan una imposibilidad de determinar a quién pertenecen los datos, se está en presencia de un dato anónimo y, por lo tanto, fuera del alcance de la ley 25.326.

En la República Argentina se han dictado leyes que se refieren a la protección de los datos de salud, como por ejemplo la normativa laboral que regula los estudios preocupacionales o la ley 23.511, que crea el Banco Nacional de Datos Genéticos con fines de prevención y penalización del delito, entre otras.

Así también, la ley 23.798 establece las condiciones de extrema confidencialidad con que podrán tratarse los datos de los enfermos de SIDA; en ningún caso se puede afectar la dignidad de la persona; producir cualquier efecto de marginación, estigmatización, degradación o humillación; exceder el marco de las excepciones legales taxativas al secreto médico que siempre se interpretarán en forma restrictiva; incursionar en el ámbito de privacidad e individualizar a las personas a través de fichas, registros o almacenamiento de datos, los cuales, a tales efectos, deberán llevarse en forma codificada.

Los principios de licitud del tratamiento de datos personales también resultan aplicables a los datos relativos a la salud.

En primer lugar para que la formación de archivos o registros sean lícitos, deben estar inscriptos en el Registro Nacional de Bases de Datos que funciona en el ámbito de la Dirección Nacional de Protección de Datos Personales (arts. 3º, 21 y 24, ley 25.326). La autoridad de aplicación ha establecido un sistema simplificado para facilitar la inscripción de los investigadores; los datos del paciente sólo se pueden transferir a bases de datos lícitas, lo cual sólo se logra cuando el archivo se encuentra debidamente inscripto en el referido Registro Nacional. Es decir que es necesario que se encuentre inscripto el investigador o el responsable de la base de datos que archiva los datos del paciente y los agentes con los cuales deba compartir los datos del paciente. Esto se debe a que la ley establece que tanto el cedente como el cesionario deben poseer sus bases de datos inscriptas, caso contrario la cesión será ilícita.

La norma refiere también a las medidas de técnicas y organizativas que debe adoptar el responsable o usuario del archivo para garantizar la seguridad y confidencialidad de los datos personales; las medidas adoptadas deben permitir detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado; en el caso de los datos sensibles deben cumplir con el manual de seguridad nivel crítico (Disposición DNPDP 11/2006).

En cuanto a la recolección de datos relativos a la salud, también resultan aplicables los principios que rigen la recolección de datos personales en general.

En este caso deberá tenerse presente la regla expresamente establecida para el tratamiento de los datos sensibles, consistente en que ninguna persona está obligada a proporcionar esta clase de datos.

En ese contexto, deberá respetarse el principio de calidad de los datos, es decir que los datos recogidos deben ser adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para la que fueron recogidos. Así también que su recolección no puede hacerse por medios desleales, fraudulentos o en forma contraria a las disposiciones legales, ni pueden utilizarse los datos para finalidades distintas o incompatibles con las que motivaron su obtención.

Respecto de la finalidad en la recolección de los datos, debe señalarse que, para su modificación, es necesario contar con un nuevo consentimiento del interesado.

El principio de calidad de los datos exige que los datos sean exactos y que puedan actualizarse, como asimismo que se almacenen de modo que el titular pueda ejercer el derecho de acceso y que sean destruidos cuando hayan dejado de ser necesarios o pertinentes para los fines para los cuales fueron recolectados.

Como ya se dijera, al momento de recabar los datos deberá informarse al titular, en forma clara y expresa, sobre la finalidad para la cual los datos serán utilizados y sus destinatarios; la existencia del banco de datos, su domicilio y responsable; el carácter obligatorio o facultativo de las respuestas; las consecuencias de proporcionar o no los datos y la posibilidad del interesado de ejercer los derechos de acceso, rectificación y supresión.

La ley establece que la cesión sea lícita si existe un interés legítimo de cedente y cesionario. Es decir, el “interés personal y directo” que tiene un individuo para peticionar ante las autoridades.

Los datos personales objeto de tratamiento pueden ser cedidos para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario; existiendo entre ellos una responsabilidad solidaria y conjunta, salvo que el cesionario demuestre que no se le puede imputar el hecho que ha producido el daño.

De lo hasta aquí expuesto, podemos percibir que la ley 25.326 ha brindado una protección especial e implementado un mecanismo de seguridad que involucra a todas las partes intervinientes en la recolección y en el tratamiento de los datos de salud, evitando se afecten los derechos del titular del dato y se vulnere su privacidad.
 

Referencias normativas

Ley 25.326 (2000) de Protección de los datos personales.

Ley 26.343 (2007) de Protección de los datos personales. Modificación.

Ley 26.951 (2014). Créase el Registro Nacional “No Llame”.

Decreto 1558/2001.Apruébase la reglamentación de la ley 25.326.

Decreto 1160/2010.Modifícaseel Anexo I del decreto 1558/01.

Decreto 2501/2014. Ley 26.951 de Servicios de Telefonía. Reglamentación.

------------------------------------------------------------------
Recibido: 26/05/2016; Publicado: 03/2017