2012, Number 5
An approach to legal and operational issues in the managment of health data
Language: Spanish
References: 20
Page: 480-486
PDF size: 90.14 Kb.
ABSTRACT
Data protection regulation is a new and appealing issue in Mexico. The processing of health personal data will require even more specific regulation in the near future. Health care professionals and institutions need to adequate their usual proceedings to comply with the actual regulation in order to protect their patients and customers and avoid fines up to 35 million Mexican pesos and 10 years of prison. The aim of this article is to present a practical approach to the legal and managerial implications of this regulation.REFERENCES
La regulación en protección de datos personales en México actualmente está como sigue: Para el sector privado: – El artículo 6, párrafo 2.o, fracción II, y el artículo 16, párrafo 2.o de la Constitución Política de los Estados Unidos Mexicanos. – Ley Federal para la Protección de Datos Personales en Posesión de Particulares (LFPDPPP) (DOF 5/07/2010). – Reglamento de la LFPDPPP (DOF 21/12/2012). Para el sector público: – A nivel federal: – LFTAIPG. – Reglamento de la LFTAIPG (DOF 11/06/2003). – Lineamientos de Protección de Datos Personales (DOF 30/09/2005). – Recomendaciones del IFAI de Seguridad para la Protección de Datos Personales. A nivel estatal tendremos que atender a lo dispuesto por la regulación de los organismos estatales de transparencia y acceso a la información pública.
Los datos de salud se consideran internacionalmente como datos sensibles y, específicamente, en México, la LFPDPPP (DOF 5/07/2010) así lo señala en su artículo 3. En este sentido, se tendrá que adecuar su tratamiento para garantizar su protección mediante reglas específicas relativas especialmente al consentimiento y las medidas de seguridad aplicables, entre otros. Un aspecto importante es la distinción en el régimen de protección de datos en el sector público y en el privado. Si bien en ambos casos existe una Ley Federal, en el primer caso no existe una previsión constitucional igual al artículo 73 XXIX-O que atribuye al Congreso la facultad de legislar en materia de protección de datos para el sector público. Ello podría suponer que en el caso del sector público surjan leyes estatales. Por tanto, se hace también necesario abordar la regulación de los datos de salud desde el punto de vista competencial con la finalidad de garantizar una protección efectiva de la persona y evitar discriminaciones en el sentido del artículo 1 constitucional. En lo general, vid. Cossío Díaz JR. La controversia constitucional. México: Porrúa: 2009. p. 3 y ss.
Es posible señalar que el «derecho a la privacidad» ha evolucionado principalmente en el Derecho americano desde la Sentencia del Tribunal Supremo de EE.UU. en el caso Griswold v. Connecticut, 381 U.S. 479, 85 S.Ct. 1678, 14 L.Ed. 2d 510, hasta llegar a la concepción moderna del «derecho a ser dejado solo», tal y como fue enunciado también por el Tribunal Supremo en el caso Weathon v. Peters, 33 U.S. 591, 634 (1834).
La privacidad, tal y como señalaba en España la exposición de motivos de la antigua y derogada Ley Orgánica 5/1992, de 29 de octubre, de Regulación del Tratamiento Automatizado de Datos de Carácter Personal, al distinguirla de la intimidad: «constituye un conjunto, más amplio, más global, de facetas de su personalidad que, aisladamente consideradas, pueden carecer de significación intrínseca pero que, coherentemente enlazadas entre sí, arrojan como precipitado un retrato de la personalidad del individuo que este tiene derecho a mantener reservado».
Al respecto, siguiendo a S. Rodotà, al hacer referencia al «hombre de vidrio»: «si una persona quiere preservar una esfera, aunque mínima, de privacidad e intimidad, y desea que nadie conozca ciertas informaciones sobre sí mismo, se convierte, según el Estado, en “alguien que tiene algo que esconder” y, automáticamente, en sospechoso, en “enemigo del pueblo”. Se trata de una lógica, típica de los regímenes totalitarios, y, por tanto, contraria a la democracia». De esta manera, el tratamiento de datos personales puede llevarse a cabo con las garantías necesarias, ya que: «Los regímenes democráticos actúan (o tendrían que actuar) según lógicas profundamente distintas, basando las posibles limitaciones a la privacidad en el principio democrático». Rodotà S. Democracia y protección de datos. https://www.agpd.es/portalwebAGPD/ canaldocumentacion/conferencias/common/pdfs/DemocraciaMadrid_ mayo_05.pdf.
«Los derechos y las libertades de la tercera generación se presentan como una respuesta al fenómeno de lo que se ha denominado “contaminación de las libertades” –pollution des libertés–, término con el que algunos sectores de la teoría social anglosajona hacen alusión a la erosión y degradación que aqueja a los derechos fundamentales ante determinados usos de las nuevas tecnologías». Vid. García González A. La protección de datos personales: derecho fundamental del siglo XXI. Un estudio comparado. Boletín Mexicano de Derecho Comparado, n.o 120, septiembre-diciembre 2007, Instituto de Investigaciones Jurídicas de la UNAM.
A este respecto hubo mucha discusión parlamentaria, ya que la definición de un dato como sensible tiene importantes consecuencias, como la exigencia de consentimiento expreso o la inmediata elevación de las sanciones cometidas sobre un dato de estas características. En todo caso, no podrán crearse bases de datos con información que directa o indirectamente contenga datos personales sensibles, sin que se justifique la creación de dichas bases para finalidades legítimas y concretas o se trate de un mandato legal o sea necesario en virtud de los límites establecidos en el artículo 4 de la LFPDPPP, según el artículo 56 del Reglamento a la LFPDPPP.
De nuevo, debe insistirse en que, cuando hablamos de datos sensibles, se incide primordialmente en el cumplimiento de los referidos principios y la adopción de medidas de seguridad. Dichas garantías se refieren, en particular, al consentimiento, que tendrá que ser expreso y por escrito por tratarse de datos personales sensibles (art. 9), salvo que concurra alguna de las excepciones legalmente previstas y a las medidas de seguridad. Y, además, el resto de principios tendrá que aplicarse atendiendo a la especial protección conferida por la Ley.
Álvarez González S. La utilización de datos genéticos por las compañías aseguradoras. Instituto de Ciencias del Seguro. Madrid. Fundación MAPFRE; 2006. En: http://www.mapfre.com/ccm/content/documentos/ fundacion/cs-seguro/libros/la-utilizacion-de-datos-geneticos-por-lascompanias- aseguradoras-106.pdf.
Es importante considerar la anonimización de los datos en los casos en que la persona no requiera ser identificada. Dicha anonimización es la clave en cuanto al tratamiento de estos datos, siendo necesario analizar específicamente el concepto y distinguirlo de otros como el enmascaramiento de los datos que sí podría permitir la identificación de a quién se refieren.
López Ayllón S. La recepción del derecho a la protección de datos en México: breve descripción de su origen y estatus legislativo. Memorias del II Congreso Mexicano de Derecho Procesal Constitucional. México, D.F.: Instituto de Investigaciones Jurídicas de la Universidad Nacional Autónoma de México; 2007.
No obstante, sí existen diferentes disposiciones que tienen relevancia en la materia, como por ejemplo el Reglamento de la Ley General de Salud, o la Norma Oficial Mexicana NOM-168-SSA1-1998, relativa al expediente clínico, entre otras, especialmente en lo relativo a la confidencialidad en el tratamiento de esta información. Y, en este sentido, el IFAI ya ha ido haciendo estudios sobre impacto a la privacidad en el expediente clínico electrónico. Vid. Peschard J. El IFAI como órgano garante en protección de datos personales. Compendio de lecturas y legislación. México, D.F.: Tiro Corto; 2010. p. 115. Vid., también, Rodán Xopa J. Acceso al expediente médico. En: Fox J. Derecho a saber. Balance y perspectivas cívicas. México, D.F.: Fundar; 2007.
Además de la normativa en protección de datos personales en el sector público y privado citada en la primera nota al pie de este artículo, destacaremos brevemente: – Ley General de Salud (DOF de 7 de febrero de 1984). – Norma Oficial Mexicana NOM-168-SSA1-1998, del Expediente Clínico (DOF de 30 de septiembre de 1999).