Tu salud ya no será un secreto

10 de agosto 2021

Hace algunos días el vicepresidente Alfredo Borrero anunció con gran entusiasmo dentro del IV Congreso Internacional Smart City Ecuador 2021 la posibilidad de incluir la historia clínica electrónica en la cédula de ciudadanía o identificación (en adelante la “Cédula”), con el fin de que “en el caso de un accidente o una enfermedad fuera de su ciudad o población de origen, la persona tenga el más adecuado tratamiento en función de sus antecedentes médicos[1].

Si bien esta iniciativa no suena mal -en principio- solo hay que dar una lectura rápida a toda la normativa de salud con respecto a las historias clínicas, y a la flamante Ley Orgánica de Protección de Datos Personales (en adelante la “LOPDP”) para darse cuenta de que esta idea transgrede con todas las normas y principios de protección de datos personales, por al menos 3 razones.

  1. Consentimiento

Tanto los datos de salud como los de niños y adolescentes están categorizados como especiales dentro de nuestra normativa, y no podría ser de otra manera, pues un tratamiento de datos inadecuado de esta categoría podría acarrear daños irreparables o peligrosos para sus titulares. Es por ello que –a priori– este tipo de datos están prohibidos de ser tratados[2]; sin embargo, existen sus respectivas excepciones[3], dentro de las cuales, y con relación al tema que nos compete, son el consentimiento y el tratamiento de datos de salud para proteger la integridad, vida o salud de una persona[4].

En sintonía de los mencionado, la Ley de Orgánica de Salud establece que “toda persona (…), tiene en relación a la salud, los siguientes derechos: h) Ejercer la autonomía de su voluntad a través del consentimiento por escrito y tomar decisiones respecto a su estado de salud y procedimientos de diagnóstico y tratamiento, salvo en los casos de urgencia, emergencia o riesgo para la vida de las personas y para la salud pública”.

El consentimiento, como ya se ha mencionado en otros artículos realizados, es la base de la legitimación para cualquier tratamiento, pero este tendrá, como los veremos más adelante, sus limitaciones. En todo caso, y dentro de este tema, el consentimiento no puede ser limitado de ninguna manera, por lo que, el consentimiento para el fin que se pretende por el vicepresidente, será necesario.

Por otro lado, y con relación a las historias clínicas, el Reglamento para el Manejo de la Historia Cínica Única establece ciertas definiciones que serán de obligatoria aplicación, una de ellas, el consentimiento informado[5].

Lo anteriormente mencionado, no puede ser distinto para el manejo de la historia clínica electrónica.

Ahora bien, ¿dónde estaría el error a lo planteado por el Vicepresidente de la República?

Y la respuesta es, en la posible falta de consentimiento por parte del titular, por las siguientes razones:

  • No es posible el tratamiento ulterior con fines distintos para los que fueron recolectados en un principio, a menos que se cuente con el consentimiento expreso de los titulares.
  • La comunicación de los datos personales entre instituciones es posible, siempre y cuando, las instituciones a las cuales se van a comunicar los datos personales tengan relación en cuanto a su naturaleza.
  • Y por último, aunque menos relevante con relación al consentimiento, la Constitución establece que las personas tienen “derecho a la identidad personal (…), que incluye tener nombre y apellido; y conservar, desarrollar y fortalecer las características materiales e inmateriales de la identidad, tales como la nacionalidad, la procedencia familiar, las manifestaciones espirituales, culturales, religiosas, lingüísticas, políticas y sociales[6], por lo que no consagra otro tipo de datos que los establecidos en dicho artículo. Sería necesario una reforma constitucional con el fin de incluir otros datos, como el de salud, aunque, este cambio tampoco afectaría en la necesidad de tener el consentimiento de los titulares para que sus historias clínicas estén dentro del documento de identificación.
  • Incompatibilidad de instituciones

Uno de los principales problemas a los que nos enfrentamos los titulares de los datos frente a las instituciones públicas, es la libertad de consentir o no el tratamiento de nuestros datos. Y esta excepción tiene lógica, pues no se podría solicitar el consentimiento por cada acto que las instituciones públicas requieran a cada uno de los ciudadanos, por lo que el deber de información por parte de las instituciones públicas debe ser reforzado.

Independientemente de lo mencionado, la cesión de los datos personales será válidos dentro de las instituciones públicas siempre y “cuando se trate del ejercicio de las mismas competencias o de competencias distintas que versen sobre la misma materia[7].

Para explicar lo mencionado, (Matilda Martínez, p. 1, 2016) expone dos ejemplos:

primer supuesto sería la cesión de datos entre universidades públicas para traslados de expedientes, cesiones de datos de los ficheros municipales tales como “multas de tráfico”, “precios públicos”, “recibos/liquidaciones”, “contribuyentes” etc, siempre que se trate de la misma competencia en todos los casos: gestión recaudatoria de deudas de derecho público. Ejemplo del segundo supuesto serían las cesiones operadas por un Ayuntamiento a favor de diversos órganos y entes de la Comunidad Autónoma (Dirección General e Inspección de Consumo; Junta Arbitral de Consumo; Servicios de salud, etc.) de los datos integrados en ficheros relativos a reclamaciones, quejas y denuncias de consumo, en la medida en que la legislación en esta materia articula de este modo las competencias[8].

Por otro lado, y directamente enfocado a las historias clínica, la Profesora de la materia Salud e Investigación Biomédica de la Universidad Internacional de la Rioja, Dra. María Suárez, ha manifestado que para la cesión de estos datos se requieren seguir tres reglas generales: (i) disociación; (ii) consentimiento; y (iii) habilitación legal.

Disociación: siempre que los datos clínicos puedan separarse de los identificativos, de modo que no puedan asociarse a una persona identificada o identificable, se podrán ceder sin más requisitos. Al separar los datos identificativos de los de carácter clínico-asistencial, ya no estamos cediendo «datos personales». El deber de confidencialidad no existe cuando la información no puede asociarse a una persona.

Consentimiento: si no es posible la disociación, la cesión de datos será legítima siempre que el paciente haya dado su consentimiento. Es necesario que el consentimiento conste por escrito. Es aconsejable que este consentimiento se archive en la propia HC.

Habilitación legal: a falta de consentimiento del paciente, los datos de salud solo podrán ser cedidos a un tercero cuando una Ley así lo disponga.”.

En este sentido, y como se ha podido observar, para que las historias clínicas de los ciudadanos o nacionales puedan ser cedidas por cualquier entidad del Sistema Nacional de Salud, o el Ministerio de Salud Pública al Registro Civil, con el fin de que este último, por sus competencias pueda insertar dicha información en la Cédula, además de lo mencionado anteriormente (“cuando se trate del ejercicio de las mismas competencias o de competencias distintas que versen sobre la misma materia”), deberían cumplir con cualquiera de las tres reglas antes mencionadas, lo cual no sucede.

Si bien el derecho de protección de datos en el Ecuador no está desarrollado, y aun no existe un reglamento que regule a la LOPDP, es de trascendental importancia tener en cuenta el principio de responsabilidad proactiva[9], por lo que será necesario revisar las legislaciones y doctrinas de otros países, en especial la europea, para la aplicabilidad de los tratamientos de datos.

  • Rompimiento de la confidencialidad

Si bien es cierto que los datos personales deben estar al resguardo absoluto de sus titulares, no es meno cierto que los documentos de identidad son de fácil acceso por terceros, pérdida o sustracción de estos, ya sea por la solicitud ilegal de la Cédula para el ingreso a cualquier edificio, por la ligereza de dejar nuestra Cédula a cambio de algo que se promete hacer o pagar, o por el simple robo de nuestras pertenencias.

Imaginemos el grave problema en el cual nos encontraríamos al momento de que terceras personas, sea cual sea la razón, tuvieran no solo nuestros datos básicos, sino que además, nuestros datos sensibles, como los son los de la salud.

Los datos sensibles, como su nombre lo indica, son datos que requieren de un resguardo y elementos especiales para que no sean conocidos por terceros sin nuestro consentimiento, es por ello que “[l]os responsables y encargados del tratamiento de datos, así como todas las personas que intervengan en cualquier fase de este, estarán sujetas al deber de confidencialidad[10].

Es necesario resaltar la “confidencialidad”, pues no solo brotará en toda la normativa referente a la salud, sino que la LOPDP lo considera como uno de los principios por la cual esta se rige, y en la cual se establece lo siguiente:

Confidencialidad. – El tratamiento de datos personales debe concebirse sobre la base del debido sigilo y secreto, es decir, no debe tratarse o comunicarse para un fin distinto para el cual fueron recogidos, a menos que concurra una de las causales que habiliten un nuevo tratamiento conforme los supuestos de tratamiento legítimo señalados en esta ley.


Para tal efecto, el responsable del tratamiento deberá adecuar las medidas técnicas organizativas para cumplir con este principio
[11].

Por otro lado, la Profesora de Salud e Investigación Biomédica de la Universidad Internacional de la Rioja, Dra. María Suárez, indica que la confidencialidad “es una cualidad de determinada información que no debe ser conocida más allá del círculo en el que resulta útil y pertinente. Es confidencial lo que se hace o se dice en confianza o con seguridad recíproca entre dos o más personas”.

Adentrándose al tema que nos compete, en el artículo 7 de la Ley Orgánica de Salud se establece que todas las personas tendrán derecho a “[t]ener una historia clínica única redactada en términos precisos, comprensibles y completos; así como la confidencialidad respecto de la información en ella contenida y a que se le entregue su epicrisis”.

Como se puede apreciar, la confidencialidad de la historia clínica es un elemento que no cabe discusión, que al momento de incorporar dentro de la Cédula puede ser vulnerado de manera muy sencilla.

En definitiva, la iniciativa que tiene el Vicepresidente de la República al pretender que nuestra historia clínica conste en la Cédula, no solo que contraviene con los principios establecidos en la LOPDP, entre ellos el de juridicidad, transparencia, finalidad, pertinencia y minimización, confidencialidad y seguridad, sino que además contraviene de manera directa con los derechos que tienen sus titulares.

Asimismo, se debe tener en cuenta que independientemente que las instituciones públicas deban estar interconectadas para satisfacer las necesidades de sus administrados y de las administraciones en sí, estas últimas no pueden, con el fin de “proveer servicios” a los administrados ceder datos que no les competen. Esto no solo contraviene, una vez más con los principios y derechos de los titulares de los datos, sino que sería abusivo e ilegal dichos tratamientos.

Se debe tener en cuenta que los datos de salud son sensibles por su naturaleza, y estos deben ser conocidos únicamente por quien el titular considere necesario, teniendo en cuenta el secreto y el sigilo con los que deben ser tratados.

Si bien este tema da para mucho más, y con mayor profundidad, la conclusión es la misma. No es posible que las historias clínicas puedan estar dentro de la Cédula, pues vulneraría todos los principios y derechos que se manifiesta en la LOPDP y en la normativa relativa a la salud.

Santiago Andrade Cadena


[1] https://www.elcomercio.com/actualidad/vicepresidente-borrero-incluir-historia-clinica-electronica-chip-cedula.html, actualizado el 21 de julio de 2021.

[2] Art. 26, Ley Orgánica de Protección de Datos Personales.

[3] Art. 26.g), Ley Orgánica de Protección de Datos Personales.

[4] Art. 7, Ley Orgánica de Protección de Datos Personales.

[5] Art. 3, Reglamento para el Manejo de la Historia Clínica Única.

[6] Art. 66.28, Constitución de la República.

[7] Art. 21.1, Ley Orgánica 15/1999 de carácter Personal española, derogada en algunos artículos por la LOPDGDD.

[8] https://dpicuantico.com/sitio/wp-content/uploads/2016/10/doctrina-dyt-diarion26.pdf

[9] Para saber sobre este principio, visítanos en: https://www.avl.com.ec/es-necesario-el-reglamento-para-el-cumplimiento-de-la-ley-organica-de-proteccion-de-datos-en-el-ecuador/

[10] Art. 30, LOPDP.

[11] Art. 10.g)

AUTOR

AVL

Deja un comentario

Tu correo electrónico no será publicado

  1. Mark dice:

    Thanks for your blog, nice to read. Do not stop.

  2. AVL dice:

    Thanks for read our news.