En el entorno digital actual, la protección de datos personales es un tema de suma importancia, especialmente cuando se trata de información sensible relacionada con la salud. En este blog abordamos el tema del consentimiento informado y el deber de información en materia de protección de datos personales. La normativa costarricense establece directrices específicas para el tratamiento de estos datos, garantizando la protección de la intimidad y dignidad de las personas.
Para proporcionar un análisis exhaustivo y preciso, hemos contado con la colaboración del abogado especialista en Derecho Digital y Protección de Datos Personales, Juan Durango. Su experiencia ha sido fundamental para la redacción y contenido de este artículo, asegurando que nuestros clientes tengan acceso a información detallada y relevante sobre sus derechos y obligaciones en esta materia.
El marco legal costarricense en materia de protección de datos personales [1], establece que los datos relativos a la salud, a la información biomédica o genética de una persona, son considerados datos personales sensibles, al igual que aquellos que revelen origen racial, opiniones políticas, convicciones religiosas o espirituales, condición socioeconómica y orientación sexual, entre otros, en el entendido que un tratamiento indebido en un contexto específico de este tipo de datos, puede afectar la intimidad y dignidad de una persona.
El tratamiento de esta categoría de datos personales se encuentra prohibida por ley, pero la misma normativa prescinde de esta prohibición cuando el tratamiento de los datos resulte necesario para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos, o la gestión de servicios sanitarios. A dicha excepción se debe agregar la no necesaria obtención del consentimiento informado por parte del profesional de la salud o del centro médico para la adecuada prestación de dichos servicios sanitarios.
No obstante, esta omisión del consentimiento informado en materia de protección de datos personales debe entenderse únicamente aplicable para los datos relativos a la salud del paciente, como síntomas, cirugías, discapacidades, recetas médicas, trastornos, alergias, signos vitales, resultados de exámenes de laboratorio, entre otros, mientras que datos personales como el número de teléfono, correo electrónico, domicilio, profesión, lugar de trabajo, nacionalidad, póliza de seguro, método de pago, etc., no se consideran datos personales sensibles y su tratamiento se encuentra condicionado a que el paciente otorgue el consentimiento informado al responsable del tratamiento (profesional sanitario, centro médico, clínica, etc.).
En el caso de datos personales sensibles relacionados a la salud, solo podrán tener acceso a estos los profesionales del área de la salud que se encuentran sujetos al secreto profesional o que dicha obligación de secreto se les impone debido a sus funciones, es decir, que dicha autorización legal es exclusiva para estos profesionales y excluye a cualquier otro tipo de personas, como es el caso del personal administrativo de una clínica, centro médico o de un consultorio médico, quienes sí podrán tratar aquellos datos que no son sensibles pero únicamente para el cumplimiento de sus funciones administrativas y para la adecuada prestación de los servicios, como la coordinación de citas médicas, exámenes, cobros, etc.
Si bien el personal administrativo deberá cumplir con los deberes de confidencialidad sobre esta información y demás normativa en la materia, el acceso a los datos de salud del paciente por parte de este personal se podrá considerar ilícito y contrario al principio de adecuación al fin y al de proporcionalidad establecido en la ley, así mismo a la disposición legal que permite que únicamente profesionales de la salud tengan acceso a dichos datos sensibles.
El consentimiento informado deberá entonces ser obtenido del paciente para el tratamiento de aquellos datos personales que no son relativos a su salud y como mínimo, dicho consentimiento deberá incluir entre otros aspectos:
- Los fines que se persiguen con la recolección de estos datos
- Los destinatarios de la información
- Así como de quiénes podrán consultarlos
- El tipo de tratamiento que se dará a los datos
- Las consecuencias de la negativa a suministrar los datos
- La posibilidad y los medios para ejercer los derechos que le asisten
- Así como la identidad y dirección del responsable de la base de datos, que en este caso es el profesional médico, el centro médico.
La normativa en materia de protección impone a cualquier responsable del tratamiento el cumplimiento de protocolos de actuación para garantizar el adecuado cumplimiento de las garantías y de los derechos de los titulares de los datos personales, por lo que todo responsable deberá en este caso no solo informar de manera amplia al paciente a través de su Política de Privacidad de cómo sus datos están siendo tratados y cómo podrá ejercer sus derechos, sino además deberá estar en la capacidad de demostrar a la autoridad en la materia (PRODHAB) la implementación de un análisis de riesgos, de medidas de seguridad implementadas, políticas internas, manuales de privacidad, códigos de conducta, procedimientos de control interno, manual de capacitación, actualización y concientización del personal, entre otras medidas.
Los protocolos de actuación persiguen mitigar el riesgo que los datos personales sean tratados por terceras personas no autorizadas. En el caso de datos de salud, el riesgo se eleva debido a la sensibilidad de estos y a lo rentables que resultan este tipo de datos personales en el mercado negro, una práctica que denunció el libro “Our Bodies, Our Data: How Companies Make Billions Selling Our Medical Records” [2] y que deja en evidencia el rentable mercado y tráfico que existe en Internet de los datos personales de la salud.
En conclusión, la implementación de buenas prácticas legales y técnicas en materia de protección de datos y seguridad de la información aumenta las garantías en la protección de los derechos fundamentales de los pacientes, eleva la confianza de estos con respecto al personal médico que lo atiende, además previene fugas de datos personales que vulneren la dignidad de las personas y minimiza los riesgos legales para el profesional de la salud o el centro médico.
Queremos expresar nuestro agradecimiento al Licenciado Juan Durango, por la redacción de este contenido, ya que su conocimiento y experiencia han sido esenciales para proporcionarnos una comprensión más clara y precisa de este importante tema.
Con el módulo de Centro de Documentación de Siku, la documentación legal y los consentimientos informados están asegurados y son de fácil acceso tanto para médicos como para pacientes, optimizando la gestión de la información, garantizando la confidencialidad y facilitando el cumplimiento de las normativas vigentes en protección de datos.
Para conocer más sobre nuestro módulo de firma de consentimientos da clic aquí.
———————-
[1] Ley de Protección de la Persona frente al tratamiento de sus datos personales Nº 8968 y el Reglamento a la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales N° 37554-JP.
[2] DW, “El gran negocio de los datos médicos “. Disponible en: https://www.dw.com/es/el-gran-negocio-de-los-datos-m%C3%A9dicos/a-37096019.