MARCO NORMATIVO PARA LA PROTECCIÓN DE DATOS EN EL

SECTOR SALUD

Implicaciones para la práctica médica

María Marván Laborde Comisionada

Instituto Federal de Acceso a la Información y Protección de Datos

14 de abril de 2011

Contenido de la exposición

Definición Antecedentes Normatividad en México

Protección de Datos Personales Normatividad Sector Sanitario

Principios y Derechos LFTAIPG y LFPDPPP

Retos del sector sanitario Expediente clínico electrónico

¿Qué son los datos personales?

Toda información concerniente o relativa

a una persona física identificada o

identificable.

Ejemplos

Identificación Nombre, edad, domicilio, sexo, RFC, CURP...

Patrimoniales Cuentas bancarias, saldos, propiedades...

Salud Estados de salud físicos y mentales...

Biométricos Huellas dactilares, iris, voz, firma autógrafa...

Otros Ideología, afiliación política, religión, origen

étnico, preferencia sexual...

Derecho a la Privacidad o a la Protección de datos personales

En derecho comparado se ha configurado unauténtico derecho fundamental a laprotección de datos personales, distinto al dela vida privada o a la intimidad.

Este derecho tiene sus propios mecanismos deprotección.

En México, este derecho ya es constitucional.

Derecho a la Privacidad o a la Protección de datos personales

Los avances en las TI y sus implicaciones para la vida delas personas dieron origen a un derecho distinto,relacionado con la protección de los datos personales (PDP).

Antecedentes Jurídicos

1967 - Consejo de Europa: “Comisión Consultiva paraestudiar las tecnologías de información y su potencialagresividad a los derechos de la persona”.

1968 - Resolución 509 de CE: “Derechos Humanos ynuevos logros científicos y técnicos.

1981 – Convenio 108 de CE: Protección de las personascon respecto al tratamiento automatizado de los datosde carácter personal.

1995 - Directiva 95/46/CE sobre protección de personasfísicas en lo que respecta al tratamiento de datospersonales y a la libre circulación de esos datos.

Antecedentes Constitucionales

Constitución Española 1978, art. 18.4: “La Leylimitará el uso de la informática para garantizar elhonor y la intimidad personal y familiar de losciudadanos y el pleno ejercicio de sus derechos”.

Constitución Perú art. 2.6: “Toda persona tienederecho a que los servicios informáticos,computarizados o no, públicos o privados, nosuministren informaciones que afecten la intimidad”.

Constitución Venezuela, art. 60: “…La ley limitará eluso de la informática”.

Normatividad en México

Protección de Datos Personales

A nivel constitucional

Artículo 6 (DOF 20 de julio de 2007).

Artículo 16 (DOF 1º de junio de 2009).

Artículo 73 (DOF 30 de abril de 2009).

A nivel federal la LFTAIPGEste instrumento reconoce por primera vez en

México la protección de los datos personales.

Se limita a las bases de datos del sector público anivel federal.

La LFTAIPG es, a la vez, una ley de acceso a lainformación y una ley de protección de datospersonales (limitada en su ámbito de aplicación).

Actuación del IFAI como autoridad garante: Expedición de disposiciones administrativas. Expedición de recomendaciones concretas a los sistemas

de datos personales.

A nivel estatal Los estados de Colima, Jalisco y Tlaxcala

cuentan con leyes de protección de datos para elsector público y privado.

Los estados de Guanajuato, Coahuila, Oaxaca yel Distrito Federal sólo regulan la protección dedatos personales en posesión del sector público.

La mayoría de las legislaciones estatalescontienen un capítulo de protección de datospersonales.

Normatividad en el

Sector Sanitario

Convenio para la Protección de los Derechos Humanos y la dignidad del ser humano con respecto

a las aplicaciones de la Biología y la Medicina (Consejo de Europa 2007)

Artículo 10. Vida Privada y derecho a la Información.

1. Toda persona tendrá el derecho a que se respete su vidaprivada cuando se trate de informaciones relativas a lasalud.

2. Toda persona tendrá derecho a conocer toda informaciónobtenida respecto a su salud- No obstante, deberárespetarse la voluntad de una persona a no serinformada.

3. De modo excepcional, la ley podrá establecerrestricciones, en interés del paciente, con respecto alejercicio de los derechos mencionado en el apartado 2.

Normatividad en el Sector Sanitario

Ley General de Salud (1984)

Reglamento LGS en materia de Prestación deServicios Médicos (1986)

Reglamento de la LGS en Materia de Investigaciónpara la Salud (1987) (Título II, cinco capítulos)….sólo como muestra de normas que contienen

disposiciones en materia de privacidad…

Dos regulaciones: un mismo objetivo

LEYES DEL SECTOR SANITARIO

LEYES DE PROTECCIÓN DE DATOS PERSONALES

Defienden la dignidaddel ser humano

Reconocen a la personacomo titular de losderechos Derecho a la Salud Derecho a la protección

de datos personalesEquilibrio entre el

interés público y elinterés del paciente

Principios y derechos

LFTAIPGy

LFPDPPP

Principios

Tratamiento

Licitud

Finalidad

Proporcionalidad

Calidad

Información

Consentimiento

Principio de LicitudEl tratamiento de los datos personales

deberá llevarse a cabo de forma leal y

lícita; es decir, con pleno cumplimiento de

la legalidad y respeto de la buena fe y los

derechos del individuo cuya información es

sometida a tratamiento.

Principio de FinalidadEl tratamiento únicamente será llevado a

cabo en el ámbito de finalidades

determinadas, explícitas y legítimas

relacionadas con las actividades del

responsable.

Principio de Proporcionalidad

Sólo se deberán recabar los datos

adecuados o necesarios para la finalidad

que justifica el tratamiento.

El tratamiento obedecerá a tratar la

mínima cantidad de información necesaria

para conseguir la finalidad perseguida.

Principio de Calidad

La calidad del dato ha de entenderse

específicamente vinculada a su veracidad

y exactitud, de forma que aquél refleje

fielmente la realidad de la información

tratada.

Principio de Información-Aviso de privacidad-

Dar a conocer efectivamente a los titulares

la existencia misma del tratamiento y las

características esenciales de éste, en

términos que le resulten fácilmente

comprensibles y previo a la obtención de

los datos.

Principio del Consentimiento

Manifestación de la voluntad como causaprincipal legitimadora del tratamiento delos datos personales.

Esta manifestación deberá ser libre,específica, inequívoca e informada.

Derechos (ARCO)

Acceso.Rectificación.Cancelación.Oposición.

Derecho de Acceso

Derecho del titular a obtener información

sobre sí y a conocer sí está siendo objeto de

tratamiento, así como el alcance de dicho

tratamiento.

Derecho de Rectificación

Derecho del titular a que se

modifiquen los datos que resulten

ser inexactos o incompletos.

Derecho de Cancelación

Derecho del titular que da lugar a

que se supriman los datos que

resulten ser inadecuados o

excesivos.

Derecho de Oposición

Prerrogativa que consiste en

oponerse al uso de datos

personales para una determinada

finalidad.

Retos específicos del sector sanitario

Ejercicio Derechos ARCO

Artículo 3.

VI. Datos personales sensibles: Aquellos datospersonales que afecten a la esfera más íntima de sutitular, o cuya utilización indebida pueda darorigen a discriminación o conlleve un riesgo gravepara éste. En particular, se consideran sensiblesaquellos que puedan revelar aspectos como origenracial o étnico, estado de salud presente y futuro,información genética, creencias religiosas,filosóficas y morales, afiliación sindical, opinionespolíticas, preferencia sexual;

Todos los Datos de Salud son “Sensibles”

Muestra biológica /Datos genómicos

Contiene datos personales

Por definición son datos sensibles (especialprotección)

Cuando en una base de datos, éstos sedesligan del nombre, pierden el carácter dedatos personales

Protocolos de Investigación en el sector salud

Dato anónimo: Sin nexo a una persona identificada o identificable

Dato anonimizado o irreversiblemente disociado: Imposibilidad de volver a asociar el nombre con el

dato

Dato codificado o reversiblemente disociado: Posibilidad de hacer la operación inversa en

beneficio de la persona sujeto de la investigación

Otras definiciones

Consentimiento

Desde 2003 los pacientes han utilizado la ley paraobtener copia íntegra de sus expedientes clínicos

Gran resistencia del sector salud

Dos temores: Incentivar la medicina litigiosa en el país Deficientes archivos de expedientes clínicos

Acceso a Expedientes Clínicos

Normatividad vigente (NOM 168-SSA1-1998) hasta2003 solo garantizaba el acceso a un resumen y no ala historia clínica completa

Cuestionamientos sobre la titularidad del expediente: Hospital público Médico tratante (propiedad intelectual) Paciente

Posibilidad de una sobrecarga de trabajo al sectorsalud

Expedientes Clínicos

Solicitudes de Acceso a Expediente Médico

Sujetos Obligados con el mayor número de solicitudes

Solicitudes de Acceso a Expediente Médico

Recursos de Revisión presentados al IFAI

Sujetos Obligados con mayor número de recursos de revisión

Recursos de Revisión

Paciente tiene derecho a una copia de suexpediente clínico íntegro

Hospital público conserva expedientes“originales”

Notas evolutivas se reservan

Expedientes psiquiátricos: paciente tieneacceso a través de un profesional de la salud

Criterios de Resolución:

REGISTROSELECTRÓNICOS DE

SALUD

Expediente Clínico Electrónico

Objetivo del gobierno federal (2006-2012) mejorar laatención a los pacientes y mejorar las estadísticas delsector Salud a través de la creación de RegistrosElectrónicos de Salud:

Expedientes Clínicos Electrónicos

Registros Electrónicos de Salud

Comunicación e interoperatividad de losdiversos sistemas electrónicos entre lasinstituciones públicas

Confidencialidad de los pacientes y atenciónfuera de su localidad en casos de emergencia

Seguridad de la información de cada uno de losexpedientes y del sistema público de salud

Alimentación de bases de datos para elaborarestadísticas de calidad con el fin de mejorar laspolíticas públicas de salud

Registros Electrónicos de Salud

NOM 168-SSA1-1998 establece loscriterios científicos, tecnológicos yadministrativos obligatorios en laelaboración, integración, uso y archivodel expediente clínico

A partir de dichos criterios se establecennuevas normas específicas para elExpediente Clínico Electrónico (ECE)

Expediente Clínico Electrónico

Garantizar la confidencialidad de laidentidad de los pacientes

Integridad y confiabilidad de lainformación clínica

Medidas de seguridad para evitar el usoilegal de la información

Atender a criterios éticos y científicos queorientan la práctica médica

Protección de Datos Personales

Acceso por parte del paciente a TODA lainformación del ECE

Acceso por parte del personal médico a lainformación necesaria para atender al paciente

Mediante orden judicial o administrativa a laComisión Nacional de Arbitraje Médico (en sucaso, a las estatales)

Revelar información de manera ilegal, serásancionado, inclusive de manera penal

Protección de Datos Personales

Medidas de seguridad

Autoridades Reguladoras

En materia de expedientes clínicos el trabajocon la Secretaría de Salud establecerá normaspara el manejo de los datos de salud quegaranticen la privacidad de los individuos.

La Secretarías en colaboración con el IFAIdeberán emitir regulación secundaria

Desde que se dio a conocer el proyecto de NOM delECE el IFAI se integró al grupo de discusión quedebería elaborarla

Exigió la elaboración de una Evaluación de Impacto ala privacidad por un experto extranjero (Primera PIAque se elaboró en México)

El Pleno del IFAI emitió una serie de recomendacionesa ser tomadas en cuenta en la elaboración de dichaNOM

IFAI- Secretaría de Salud

Minimizar los riesgos que pudieranvulnerar la confidencialidad y seguridadde los datos personales

Observancia de los principiosinternacionales

Medidas de seguridad en lastransmisiones entre instituciones de salud

Posibilidad de ejercicio de los derechosARCO

Objetivo de las Recomendaciones ( 21 de octubre de 2009)

www.ifai.org.mx

http://www.infomex.org.mx/gobiernofederal/home.action

01800 TEL IFAI01800 835 4324

atencion@ifai.org.mx

TEL. 50 04 24 00

¡Gracias!