Menú Principal
17 de febrero de 2017

Seguridad de datos personales: Desafíos para los Servicios de Salud

Por: Lorena Donoso, abogado y asesora del Depto. de Gestión Sectorial de TIC – MINSAL en materias de Seguridad de la Información.

Un factor crítico del tratamiento de datos es la conciencia de que éstos siempre serán de su titular y que, por tanto, quien los recoge, almacena o realiza otras operaciones de tratamiento no se hace dueño de ellos sino que es un mero tenedor. Siendo así, sólo podrá usarlos para las finalidades legítimas e informadas que se tuvieron a la vista a la hora de crear el registro o banco de datos.

En el área de la salud esto es especialmente crítico porque los datos personales de salud son datos sensibles, esto es, una categoría especial de datos a los cuales se les asigna el más alto estándar de protección, atendido que su mal uso puede llevar aparejada una vulneración grave de los derechos de sus titulares; por ejemplo, a través de una discriminación arbitraria a la hora de buscar trabajo, o de postular a un colegio, etc.

Los datos personales son uno de los principales insumos que hoy necesitan los servicios públicos, empresas y personas para desarrollar sus actividades. En Chile, la normativa exige obligaciones sustantivas en materia de tratamiento de datos personales que deben ser observadas por las personas que acceden a los datos ya sea como controladores y/o como procesadores.

Los Servicios de Salud que tratan datos personales en tanto titulares de Registros o Bancos de Datos (Controladores) son responsables de la calidad del tratamiento de datos. Esto implica garantizar respecto de los datos: que sean verídicos y respondan con fidelidad a la situación del titular de los datos, que cumplan los atributos de integridad y autenticidad. En cuanto a los procesos de tratamiento: que permitan el acceso a la información sólo a las personas facultadas para ello; que existan sistemas de acceso seguro a los datos, tales como contraseñas y marcas de sesión; que sea auditable y trazable el acceso y manipulación de datos; que se mantengan sólo por el tiempo en que persiste la obligación legal (temporalidad). En cuanto al sistema de información: que garantice la disponibilidad, integridad y confidencialidad de los datos.

En aquellos casos que intervengan proveedores, la obligación del servicio subsiste en su calidad de titular del registro o banco de datos. En estos casos, los proveedores serán considerados “mandatarios”, en los términos que establece el art. 8 de la Ley 19.628 y, por tanto, todas estas obligaciones deberán consignarse por escrito en los respectivos contratos de provisión de bienes y servicios, dejándose expresa constancia de que se informa al proveedor que se le considera un procesador de los datos y que no podrá utilizarlos para finalidades distintas de las que emanan del respectivo contrato, obligación que no cesa por el hecho de expirar el contrato respectivo, conforme al art. 7 inc. final de la Ley 19.628. De esta manera, ni siquiera con el consentimiento del titular de los datos, este proveedor podrá usarlos para una finalidad diferente de la provisión del servicio contratado.

Luego el uso de los datos personales se enmarcará en lo establecido en las leyes sectoriales. Tratándose de la información que tratan los servicios de salud públicos y/o privados, rige la Ley 20.584 de Derechos y Deberes de los Pacientes en concordancia con el Decreto 41, de 2012, del Ministerio de Salud. De su análisis se desprende que la información de la ficha clínica y todos los documentos donde se registren procedimientos y tratamientos sólo será accesible al personal involucrado en la atención del paciente titular de datos y a las otras personas e instituciones que señala el art. 13 incisos 2 y 3. Para ello, las fichas deben ser gestionadas centralizadamente, previendo medidas de seguridad para el acceso y edición, a fin de garantizar la autenticidad y confidencialidad de la información que se registra (Art 9, Dto. 41). En el mismo sentido, se regula la información de la receta médica, conforme prevé el art. 101 inciso 9.

En cuanto a la temporalidad del almacenamiento los datos personales de la ficha de salud se deben mantener por 15 años, garantizándose su reserva (Art.13 ley 20.584, 9 Dto. 41), plazo que debe contarse desde el último ingreso de información que experimenten. A la hora de su destrucción, “el prestador podrá eliminarlas a través de los medios, propios o ajenos, necesarios y que aseguren la confidencialidad de la información y efectiva destrucción” (Art. 12 Dto. 41). Esta última regla es la misma que debe considerarse si un Servicio de Salud decide cambiar de proveedor, una vez comprobada la migración exitosa de los datos.

Como podemos apreciar de esas normas, en concordancia con lo dispuesto en la Ley 19.628, los datos personales podrán ser entregados a la persona que es su titular o a un tercero debidamente autorizado por el titular, en la medida que se otorgue un mandato a través de un poder simple otorgado ante notario. Asimismo, podrán ser comunicados a los herederos de la persona, si ésta ha fallecido.

Tratándose de instituciones públicas, los datos podrán ser comunicados a los tribunales de justicia, cuando la información contenida en la ficha clínica se relacione con las causas que estuvieren conociendo y a los fiscales del Ministerio Público y a los abogados, previa autorización del juez competente, cuando la información se vincule directamente con las investigaciones o defensas que tengan a su cargo.

Otra excepción legal a la reserva de la información está contenida en la Ley Orgánica del Ministerio de Salud en su art. 59, que señala que será de competencia del Fondo Nacional de Salud Letra g) “Tratar datos personales o sensibles con el fin de proteger la salud de la población o para la determinación y otorgamiento de beneficios de salud, para lo cual podrá requerir de las personas naturales o jurídicas, públicas o privadas, la información que fuere necesaria”.