MARCO NORMATIVO PARA LA PROTECCIÓN DE DATOS EN EL SECTOR SALUD

MARCO NORMATIVO PARA LA

PROTECCIÓN DE DATOS EN EL

SECTOR SALUD

Implicaciones para la práctica médica

María Marván Laborde Comisionada

Instituto Federal de Acceso a la Información y Protección de Datos

Contenido de la exposición

 Definición  Antecedentes

 Normatividad en México

 Protección de Datos Personales  Normatividad Sector Sanitario

 Principios y Derechos

 LFTAIPG y LFPDPPP

 Retos del sector sanitario

¿Qué son los datos personales?

Toda información concerniente o relativa

a una persona física identificada o

identificable.

Ejemplos



Identificación

 Nombre, edad, domicilio, sexo, RFC, CURP...



Patrimoniales

 Cuentas bancarias, saldos, propiedades...



Salud

 Estados de salud físicos y mentales...



Biométricos

 Huellas dactilares, iris, voz, firma autógrafa...



Otros

 Ideología, afiliación política, religión, origen étnico, preferencia sexual...

Derecho a la Privacidad o a la Protección

de datos personales



En derecho comparado se ha configurado un

auténtico

derecho

fundamental

a

la

protección de datos personales, distinto al de

la vida privada o a la intimidad.



Este derecho tiene sus propios mecanismos de

protección.

Derecho a la Privacidad o a la Protección

de datos personales

 Los avances en las TI y sus implicaciones para la vida de

las personas dieron origen a un derecho distinto, relacionado con la protección de los datos personales (PDP).

Antecedentes Jurídicos

 1967 - Consejo de Europa: “Comisión Consultiva para estudiar las tecnologías de información y su potencial agresividad a los derechos de la persona”.

 1968 - Resolución 509 de CE: “Derechos Humanos y nuevos logros científicos y técnicos.

 1981 – Convenio 108 de CE: Protección de las personas con respecto al tratamiento automatizado de los datos de carácter personal.

 1995 - Directiva 95/46/CE sobre protección de personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de esos datos.

Antecedentes Constitucionales

 Constitución Española 1978, art. 18.4: “La Ley limitará el uso de la informática para garantizar el honor y la intimidad personal y familiar de los ciudadanos y el pleno ejercicio de sus derechos”.

 Constitución Perú art. 2.6: “Toda persona tiene derecho a que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad”.  Constitución Venezuela, art. 60: “…La ley limitará el

Normatividad

en México

Protección de Datos

Personales

A nivel constitucional



Artículo 6 (DOF 20 de julio de 2007).

Artículo 16 (DOF 1º de junio de 2009).

Artículo 73 (DOF 30 de abril de

A nivel federal la LFTAIPG



Este instrumento reconoce por primera vez en

México la protección de los datos personales.



Se limita a las bases de datos del sector público a

nivel federal.



La LFTAIPG es, a la vez, una ley de acceso a la

información y una ley de protección de datos

personales (limitada en su ámbito de aplicación).



Actuación del IFAI como autoridad garante:

 Expedición de disposiciones administrativas.

 Expedición de recomendaciones concretas a los sistemas

A nivel estatal



Los estados de Colima, Jalisco y Tlaxcala

cuentan con leyes de protección de datos para el

sector público y privado.



Los estados de Guanajuato, Coahuila, Oaxaca y

el Distrito Federal sólo regulan la protección de

datos personales en posesión del sector público.



La mayoría de las legislaciones estatales

contienen un capítulo de protección de datos

personales.

Normatividad

en el

Convenio para la Protección de los Derechos

Humanos y la dignidad del ser humano con respecto a las aplicaciones de la Biología y la Medicina

(Consejo de Europa 2007)

Artículo 10. Vida Privada y derecho a la Información.

1. Toda persona tendrá el derecho a que se respete su vida

privada cuando se trate de informaciones relativas a la salud.

2. Toda persona tendrá derecho a conocer toda información

obtenida respecto a su salud- No obstante, deberá respetarse la voluntad de una persona a no ser informada.

3. De modo excepcional, la ley podrá establecer

restricciones, en interés del paciente, con respecto al ejercicio de los derechos mencionado en el apartado 2.

Normatividad en el Sector Sanitario

 Ley General de Salud (1984)

 Reglamento LGS en materia de Prestación de Servicios Médicos (1986)

 Reglamento de la LGS en Materia de Investigación para la Salud (1987) (Título II, cinco capítulos)

….sólo como muestra de normas que contienen disposiciones en materia de privacidad…

Dos regulaciones: un mismo objetivo

 LEYES DEL SECTOR SANITARIO  LEYES DE PROTECCIÓN DE DATOS PERSONALES 

Defienden la dignidad

del ser humano



Reconocen a la persona

como titular de los

derechos

Equilibrio

entre

el

interés público y el

interés del paciente

Principios y derechos

LFTAIPG

y

Principios

Principio de Licitud

El tratamiento de los datos personales

deberá llevarse a cabo de forma leal y

lícita; es decir, con pleno cumplimiento de

la legalidad y respeto de la buena fe y los

derechos del individuo cuya información es

sometida a tratamiento.

Principio de Finalidad

El tratamiento únicamente será llevado a

cabo

en

el

ámbito

de

finalidades

determinadas,

explícitas

y

legítimas

relacionadas con las actividades del

responsable.

Principio de

Proporcionalidad



Sólo

se

deberán

recabar

los

datos

adecuados o necesarios para la finalidad

que justifica el tratamiento.



El tratamiento obedecerá a tratar la

mínima cantidad de información necesaria

para conseguir la finalidad perseguida.

Principio de Calidad

La calidad del dato ha de entenderse

específicamente vinculada a su veracidad

y exactitud, de forma que aquél refleje

fielmente la realidad de la información

tratada.

Principio de Información

-Aviso de

privacidad-Dar a conocer efectivamente a los titulares

la existencia misma del tratamiento y las

características esenciales de éste, en

términos que le resulten fácilmente

comprensibles y previo a la obtención de

los datos.

Principio del Consentimiento



Manifestación de la voluntad como causa

principal legitimadora del tratamiento de

los datos personales.



Esta

manifestación

deberá

ser

libre,

Derechos (ARCO)



Acceso.



Rectificación.



Cancelación.



Oposición.

Derecho de Acceso

Derecho del titular a obtener información

sobre sí y a conocer sí está siendo objeto de

tratamiento, así como el alcance de dicho

tratamiento.

Derecho de Rectificación

Derecho del titular a que se

modifiquen los datos que resulten

ser inexactos o incompletos.

Derecho de Cancelación

Derecho del titular que da lugar a

que se supriman los datos que

resulten

ser

inadecuados

o

excesivos.

Derecho de Oposición

Prerrogativa

que

consiste

en

oponerse

al

uso

de

datos

personales para una determinada

finalidad.

Retos específicos

del sector sanitario

 Artículo 3.

 VI. Datos personales sensibles: Aquellos datos personales que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste. En particular, se consideran sensibles aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual;

Todos los Datos de Salud son

“Sensibles”

Muestra biológica /Datos genómicos



Contiene datos personales



Por definición son datos sensibles (especial

protección)



Cuando en una base de datos, éstos se

desligan del nombre, pierden el carácter de

datos personales

Protocolos de Investigación en el sector

salud

 Dato anónimo:

 Sin nexo a una persona identificada o identificable

 Dato anonimizado o irreversiblemente disociado:

 Imposibilidad de volver a asociar el nombre con el dato

 Dato codificado o reversiblemente disociado:

 Posibilidad de hacer la operación inversa en beneficio de la persona sujeto de la investigación

 Desde 2003 los pacientes han utilizado la ley para

obtener copia íntegra de sus expedientes clínicos

 Gran resistencia del sector salud  Dos temores:

 Incentivar la medicina litigiosa en el país  Deficientes archivos de expedientes clínicos

 Normatividad vigente (NOM 168-SSA1-1998) hasta

2003 solo garantizaba el acceso a un resumen y no a la historia clínica completa

 Cuestionamientos sobre la titularidad del expediente:

 Hospital público

 Médico tratante (propiedad intelectual)  Paciente

 Posibilidad de una sobrecarga de trabajo al sector

salud

Solicitudes de Acceso a Expediente

Médico

Sujetos Obligados con el mayor número de solicitudes

Solicitudes de Acceso a Expediente

Médico

Recursos de Revisión presentados al

IFAI

Sujetos Obligados con mayor número de recursos de revisión

 Paciente tiene derecho a una copia de su

expediente clínico íntegro

 Hospital público conserva expedientes

“originales”

 Notas evolutivas se reservan

 Expedientes psiquiátricos: paciente tiene

acceso a través de un profesional de la salud

R

EGISTROS

E

LECTRÓNICOS DE

S

ALUD

Expediente Clínico

Electrónico

 Objetivo del gobierno federal (2006-2012) mejorar la atención a los pacientes y mejorar las estadísticas del sector Salud a través de la creación de Registros Electrónicos de Salud:

Expedientes Clínicos Electrónicos



Comunicación e interoperatividad de los

diversos sistemas electrónicos entre las

instituciones públicas



Confidencialidad de los pacientes y atención

fuera de su localidad en casos de emergencia



Seguridad de la información de cada uno de los

expedientes y del sistema público de salud



Alimentación de bases de datos para elaborar

estadísticas de calidad con el fin de mejorar las

políticas públicas de salud

 NOM 168-SSA1-1998 establece los criterios científicos, tecnológicos y administrativos obligatorios en la elaboración, integración, uso y archivo del expediente clínico

 A partir de dichos criterios se establecen nuevas normas específicas para el Expediente Clínico Electrónico (ECE)



Garantizar la confidencialidad de la

identidad de los pacientes



Integridad

y

confiabilidad

de

la

información clínica



Medidas de seguridad para evitar el uso

ilegal de la información



Atender a criterios éticos y científicos que

orientan la práctica médica



Acceso por parte del paciente a TODA la

información del ECE



Acceso por parte del personal médico a la

información necesaria para atender al paciente



Mediante orden judicial o administrativa a la

Comisión Nacional de Arbitraje Médico (en su

caso, a las estatales)



Revelar información de manera ilegal, será

sancionado, inclusive de manera penal

Autoridades Reguladoras



En materia de expedientes clínicos el trabajo

con la Secretaría de Salud establecerá normas

para el manejo de los datos de salud que

garanticen la privacidad de los individuos.



La Secretarías en colaboración con el IFAI

 Desde que se dio a conocer el proyecto de NOM del

ECE el IFAI se integró al grupo de discusión que debería elaborarla

 Exigió la elaboración de una Evaluación de Impacto a

la privacidad por un experto extranjero (Primera PIA que se elaboró en México)

 El Pleno del IFAI emitió una serie de recomendaciones

a ser tomadas en cuenta en la elaboración de dicha NOM



Minimizar los riesgos que pudieran

vulnerar la confidencialidad y seguridad

de los datos personales



Observancia

de

los

principios

internacionales



Medidas

de

seguridad

en

las

transmisiones entre instituciones de salud



Posibilidad de ejercicio de los derechos

ARCO

Objetivo de las Recomendaciones

( 21 de octubre de 2009)

www.ifai.org.mx http://www.infomex.org.mx/gobiernofederal/home.action 01800 TEL IFAI

01800 835 4324

¡Gracias!