PROTECCIÓN DE DATOS PERSONALES EN EL SECTOR
PRIVADO DE LA SALUD

Ana Belem Hernández González*

I. Introducción

El derecho a la protección de datos personales se ha entendido como una prolongación del derecho a la vida, en su acepción doctrinal histórica, pues la protección de aquél se amplía a otros bienes y derechos del individuo teniendo como objeto no sólo la protección de la vida privada, sino también la autodeterminación informativa, la veracidad, confiabilidad y cuidado del manejo de los datos de las personas por razón de interés público, que trascienden la esfera volitiva del individuo (Villanueva y Nucci, 2012: 9 y 12).

Cobra importancia la evolución que este derecho ha tenido por estar circunscrito a un proceso de desarrollo teórico, normativo y jurisprudencial; por ello resulta relevante mencionar su avance y reconocimiento en el plano internacional, a través de los distintos instrumentos jurídicos que han sentado sus bases, desde la concepción del derecho a la vida privada hasta la configuración y reconocimiento del derecho a la protección de datos personales como derecho autónomo e independiente reconocido también en el plano constitucional en nuestro país.

El derecho a la protección de datos personales responde a todo un proceso de transformación que ha pasado del hecho de tener la posibilidad de conocer o tener acceso a cierta información relativa a una persona, e incluso manipularla, a la posibilidad de control de la información de uno mismo, decidiendo cuándo, cómo y en qué medida la quiere transmitir (Sánchez et al., 2003: 42); esto es, la escisión del derecho a la protección de datos personales en autodeterminación informativa.

Es indispensable, por tanto, hacer el estudio de un tema que por el actual desarrollo que ha tenido hace necesario tomar en cuenta su regulación, la estructura de su esquema conceptual, su naturaleza jurídica y alcances, las garantías para su protección, la generación de incentivos para su fiabilidad, además de su efectivo cuidado y manejo, al constituir un derecho humano conectado con la dignidad de la persona.

En este sentido, cuando nos referimos a los datos personales que son tratados en el sector privado de la salud, es necesario precisar que los mismos forman parte de una categoría especial, pues tal y como se verá en el desarrollo del presente estudio, los datos relativos a la salud, así como aquellos que pueden revelar aspectos como origen racial o étnico, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual, etcétera, forman parte de la categoría especial de datos sensibles, cuyo tratamiento cobra relevancia por el tipo de información que representan, y porque su utilización indebida puede dar origen a discriminación, o poner en riesgo grave al titular de esos datos.

Resulta necesario recalcar que el titular de los datos, en efecto, cuenta con la autonomía para decidir sobre el adecuado manejo de los mismos, atendiendo al principio de autodeterminación informativa, de ahí que en el caso específico en el que existe un tratamiento de datos personales de salud, se pueden presentar distintos problemas de no ser adecuadamente tratados, pues a través de ellos se puede construir un perfil de la personalidad del individuo, y, en consecuencia, tomarse decisiones que lo afecten directamente con respecto a sus derechos, al generarse elementos de información adicional sobre su persona.

Por ello la necesidad del acercamiento del sector privado de la salud al conocimiento, estudio y práctica del tema, sobre todo porque si la protección de datos personales es una materia especializada, la protección de datos personales concernientes a la salud es una submateria con diversas bifurcaciones (Davara, 2012: 480), que implica un cuidado delicado y especial, por tratarse de datos que en caso de ser utilizados de forma indebida pueden situar al individuo en un estado de riesgo grave, y para el responsable de su tratamiento puede acarrear, desde el daño en su reputación, la pérdida de confianza, menoscabo económico y la configuración de infracciones legales, hasta la imposición de considerables sanciones económicas.

Por este motivo, con el presente estudio, llevaremos a cabo un análisis general de la regulación que en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en adelante LFPDPPP) tiene el tema de los datos personales sensibles relativos a la salud, partiendo de su concepción legal, y tomando como referencia determinados instrumentos jurídicos internacionales que nos ayuden a vislumbrarlo, así como los casos que en la actualidad se presentan ante un campo poco explorado y aún en fase de construcción.

Aunque existe una legislación específica en la materia, la problemática en cuanto a su alcance y aplicación sigue siendo materia de controversia, por lo que es necesario partir de la construcción conceptual de datos personales sensibles, y, en específico, los relativos a la salud, los cuales son tratados por los profesionales médicos (hospitales y centros de salud públicos y privados, farmacias, laboratorios, bancos de sangre y de trasplante de órganos, entro otros).

Posteriormente sostenemos la necesidad del conocimiento de la legislación en la materia, tanto para los responsables del tratamiento de los datos personales, cuyo desconocimiento los puede colocar en la inobservancia o desapego a la ley respectiva, o situarlos en un escenario poco favorable, llegando incluso a creer que no tienen la obligación de cumplir con esa normativa, por contar con una legislación específica que rige su actividad profesional de forma genérica, como por los titulares de datos personales, que ante la ignorancia de los derechos y garantías con los que cuentan, se ven obstaculizados para ejercerlos.

Por ello es importante resaltar que al profesional de la salud le aplica la LFPDPPP, en virtud de que es un sujeto de derecho privado que lleva a cabo el tratamiento de datos personales, y sobre todo sensibles (por la naturaleza de su actividad), ya sea como persona física o bajo su constitución como persona moral, ya que tiene la obligación, al igual que los demás particulares, de llevar a cabo dicho tratamiento de forma adecuada, con base en los instrumentos normativos que en la materia se han desarrollado y que en la actualidad se aplican al sector privado en general.

Esos datos al pertenecer a la categoría de datos sensibles, y al configurarse la protección de datos personales como un derecho humano, demanda la tutela de la persona frente a su tratamiento ilícito.

II. Aproximación conceptual sobre el derecho
a la protección de datos personales

El estudio del derecho a la protección de datos personales se enmarca en la evolución que en el plano internacional ha tenido, desde su concepción como un límite en las posibles intromisiones de terceros en la vida privada, hasta la consideración de este derecho con un alcance en la dignidad del ser humano.

Así, dicha evolución puede ser entendida desde el contexto internacional a través de la creación de determinados instrumentos jurídicos, tales como la Declaración Universal de Derechos Humanos de 1948, que en su artículo 12 establece la protección de toda persona contra injerencias arbitrarias en su vida privada, familia, domicilio o correspondencia, así como de ataques contra su honra y reputación.

Posteriormente, en 1966, el artículo 17 del Pacto Internacional de Derechos Civiles y Políticos recoge de forma muy similar el contenido del artículo 12 señalado en el párrafo anterior.

Por otra parte, el Convenio para la Protección de los Derechos Humanos y de las Libertades Fundamentales de 1950, en su artículo 8o., reconoce, por primera vez, el derecho a la vida privada, y es que el derecho a la protección de datos personales emerge como parte de este último, pero es más amplio, pues se extiende a aquellos datos que son relevantes, figuren o no como derechos constitucionales, y sean o no relativos al honor, la ideología, la vida privada y familiar o cualquier otro bien constitucionalmente reconocido.1

Cobra relevancia la sentencia del Tribunal Constitucional Alemán de 1983 como antecedente de lo que sería llamado el “derecho de autodeterminación informativa”, entendido como la atribución al individuo de la capacidad de decidir qué extremos desea revelar de su propia vida (Martínez, 2007: 48), al determinarse, en dicha sentencia, la inconstitucionalidad de la Ley del Censo de Población de 1970, ante el acopio de datos con fines estadísticos debido a su registro electrónico y la posibilidad de riesgo de que fueran utilizados de forma indebida, representando una amenaza en la vida privada de las personas.

Con el Convenio 108 del Consejo de Europa de 1981, sobre la protección de las personas en lo relativo al tratamiento automatizado de datos de carácter personal, se da un giro en la concepción del derecho a la vida privada, primero por la protección que se le dio a la información electrónica que se obtenía de bases de datos, sentándose el modelo para establecer el derecho del titular para oponerse a la difusión de sus registros.

En 1995, con la publicación de la Directiva 95/46/CE del Parlamento Europeo y del Consejo, del 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de los mismos, se establece el derecho del individuo a proteger el manejo y control de sus datos personales.

Será a través de las sentencias 290/2000 y 292/2000 del 30 de noviembre en las que el Tribunal Constitucional Español establezca el contenido de forma más clara, del derecho a la protección de datos personales, al fijar el derecho a la autodeterminación informativa como un derecho autónomo e independiente del derecho a la intimidad, estableciendo como garantía del mismo la denominación “protección de datos de carácter personal” (Tejerina, 2014: 59).

Cabe destacar que en la sentencia 292/2000 dicho Tribunal realiza una gran aportación, al sostener que el derecho a la protección de datos personales se configura como el poder de disposición y de control sobre éstos, que faculta a la persona para decidir cuáles de ellos proporcionar a un tercero, sea el Estado o un particular, o cuáles puede este tercero recabar, y que también permite al individuo saber quién los posee y para qué, pudiendo oponerse a esa posesión o uso.

Lo anterior quiere decir que es el individuo el que cuenta con la libertad para elegir de qué forma desea que sus datos sean tratados y para qué finalidades, ya que los mismos deben ser protegidos del tratamiento que se les, contando con la facultad de decidir por sí mismo, en qué momento y dentro de qué términos procede revelar su información personal.

III. Concepto de datos personales, datos personales sensibles,
y su empleo en la Ley Federal de Protección de Datos
Personales en Posesión de los Particulares

Actualmente, en México contamos con una ley específica que tutela el derecho a la protección de datos personales en posesión de particulares (la LFPDPPP) que conforma un conjunto de principios y deberes para quien lleva a cabo su tratamiento,2 es decir, para quien lleva acabo la obtención, uso, divulgación o almacenamiento de datos personales, por cualquier medio, esto es, tanto los soportes físicos como los electrónicos.

La Ley prevé los principios rectores en la materia: licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad; los deberes: seguridad y confidencialidad; los derechos para los titulares (acceso, rectificación, cancelación u oposición), y las garantías de protección en caso de que esos derechos se vean quebrantados o durante el tratamiento de los datos personales se haya incurrido en algún otro tipo de vulneración.

Resulta necesario señalar que la evolución del tema responde a la influencia que en el plano internacional nos ha permeado, sobre todo por el acabado desarrollo teórico y jurisprudencial.

Así, por ejemplo, el referido Convenio 108 del Consejo de Europa del 28 de enero de 1981 para la “Protección de las Personas con Respecto al Tratamiento Automatizado de Datos de Carácter Personal”, en su artículo 2o. establece lo siguiente: “Datos de carácter personal: significa cualquier información relativa a una persona física identificada o identificable”.

Por su parte, haciendo alusión a la Directiva 95/46/CE del Parlamento Europeo y del Consejo, del 24 de octubre de 1995, en su artículo 2o. señala:


a) datos personales: toda información sobre una persona física identificada o identificable (el interesado); se considerará identificable toda persona cuya identidad pueda determinarse, directa o indirectamente, en particular mediante un número de identificación o uno o varios elementos específicos, característicos de su identidad física, fisiológica, psíquica, económica, cultural o social;


Así, la LFPDPPP, en su artículo 3o., fracción V, indica qué se entenderá por datos personales: “Para los efectos de esta Ley, se entenderá por:… V. Datos personales: Cualquier información concerniente a una persona física identificada o identificable”.

Como se observa, la LFPDPPP mantiene un concepto amplio de “datos personales”, muy a la manera del Convenio 108, al englobar toda aquella información que pueda vincularse a una persona.

En este sentido, podemos resaltar el dictamen 4/2007 sobre el concepto de “datos personales”, elaborado por el grupo de trabajo del artículo 29 de la Directiva 95/46/CE, en el cual se hace un estudio sobre los elementos del concepto de “datos personales”, del cual se puede concluir que son todas aquellas informaciones de cualquier clase, aun cuando éstas no sean verídicas, disponibles en cualquier forma, que pueden hacer identificada o identificable a una persona, a través de indicadores específicos, que permitan caracterizar su identidad, ya sea física, fisiológica, psíquica, económica, cultural o social.

Por otra parte, es importante señalar que existen categorías especiales de datos personales, como es el caso de los datos personales sensibles, los cuales, de acuerdo con la LFPDPPP, en su artículo 3o., fracción VI, son aquellos que afecten a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación, o conlleve un riesgo grave para éste; se consideran también como aquellos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas, preferencia sexual.

Por ello, resulta útil traer a colación la Directiva 95/46/CE, que en su sección III, denominada “Categorías especiales de tratamientos”, en su artículo 8o. refiere lo siguiente: “Los Estados miembros prohibirán el tratamiento de datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, así como el tratamiento de los datos relativos a la salud o a la sexualidad”.

Asimismo, en el artículo 6o. del Convenio 108 de Europa también hallamos la definición referente a esta categoría particular de datos personales, que se entienden como aquellos que revelan el origen racial, las opiniones políticas, las convicciones religiosas u otras convicciones, así como los relativos a la salud o a la vida sexual, e incluso a condenas penales.

Es por ello que podemos identificar que los datos sensibles corresponden a una categoría especial dentro de la gama de datos personales, los cuales, por su naturaleza, deben obedecer a la implementación de mecanismos adecuados para su tratamiento, tales como medidas de seguridad de alto nivel y la solicitud del consentimiento expreso y por escrito del titular de los datos, pues a partir de su utilización indebida se puede situar al titular de los mismos en un estado de riesgo grave.

Esto quiere decir que de la tipología y características de los datos tratados depende su nivel de protección,3 de ahí la división que se hace entre datos personales y datos personales sensibles, perteneciendo los segundos a una categoría distinta y cuyo tratamiento es especial.

En un primer momento, en nuestra consideración podemos concluir que la categoría de datos sensibles se puede determinar por las siguientes características: a) revelan cuestiones de la vida íntima de la persona; b) su indebido tratamiento puede generar importantes riesgos para el ejercicio de otros derechos; c) su nivel de protección resulta más elevado, y d) por su naturaleza, la revelación del dato expone potencialmente al individuo a alguna contingencia.

En el caso del tratamiento de datos sensibles, es muy importante, de acuerdo con la LFPDPPP, tomar en cuenta los principios de consentimiento, de información, así como el de deber de confidencialidad.

Así, el principio de consentimiento se refiere a que para llevar a cabo el tratamiento de datos personales, éste se debe encontrar sujeto a la manifestación de la voluntad del titular de los mismos.

En el caso del tratamiento de estos datos, la LFPDPPP es clara, al establecer que dicho consentimiento deberá obtenerse de forma expresa, es decir, que la voluntad se manifieste de forma verbal, por medios electrónicos, ópticos o por cualquier otra tecnología, o por signos inequívocos, pero además deberá hacerlo por escrito, a través de la firma autógrafa del titular, firma electrónica, o cualquier mecanismo de autenticación que al efecto se establezca, y se impone una obligación adicional, esto es, que su obtención debe ser libre, específica e informada (artículo 9o. de la LFPDPPP y 12 de su Reglamento).

Por otro lado, el principio de información se entiende como la obligación de hacerle saber a los titulares de los datos la información que se recaba de ellos y con qué fines, a través del aviso de privacidad, que es el documento físico, electrónico o en cualquier otro formato, que debe ser generado por quien lleva a cabo el tratamiento de los datos, debiendo ponerlo a su disposición antes del tratamiento de los datos (artículo 3o., fracción I).

Éste debe contener: a) la identidad y domicilio del responsable que recaba los datos; b) las finalidades de su tratamiento; c) las opciones y medios que el responsable ofrezca a los titulares para limitar su uso o divulgación; d) los medios para ejercer los derechos de acceso, rectificación, cancelación u oposición; e) en su caso, las transferencias de datos que se efectúen, y f) el procedimiento y medio por el cual el responsable comunicará a los titulares de cambios al aviso de privacidad, y en el caso de datos personales sensibles, el aviso de privacidad deberá señalar expresamente que se trata de este tipo de datos (artículo 16).4

Finalmente, el principio de confidencialidad implica la obligación de guardar reserva o secreto respecto de los datos personales que son tratados, con el objeto de evitar causar un daño al titular, pues en el caso de datos sensibles relativos a la salud, es ineludible cumplir con dicho principio, con el objeto de evitar que la información se divulgue, o un tercero no autorizado tenga acceso a ella.

IV. Los datos personales en la Ley General de Salud
y demás normas de salud

Como es sabido, en el área de la salud, los datos que comúnmente son tratados constituyen información que revela los estados físicos y mentales de una persona, estado de salud presente, pasado o futuro, etcétera,5 los cuales son tratados no sólo por quienes los recaban, esto es, los responsables del tratamiento, que pueden ser desde médicos individuales, clínicas, asociaciones médicas privadas, laboratorios, consultorios médicos, hasta grandes consorcios hospitalarios, sino que en muchas ocasiones su tratamiento se amplía a sectores diversos, como cuando existe comunicación de los mismos a aseguradoras, afianzadoras o terceros. En el peor de los casos pueden ser, por ejemplo, utilizados de forma indebida (es el caso de la publicidad en seguros) y para fines distintos para los cuales en un principio fueron recabados.

Por ello es importante destacar que cuando hablamos de datos relativos a la salud, nos referimos a una amplia gama de posibilidades, pues éstos abarcan desde datos genéticos, de incapacidad, enfermedad, dopaje, consumo de alcohol, tabaco, los relativos a la sexualidad, e incluso salud psicológica y emocional; se incluyen también desde la receta o prescripción médica, hasta el expediente clínico u otros documentos sanitarios.

En este sentido, los datos relativos a la salud se encuentran dentro de la categoría especial de datos sensibles, pues, como ya se abordó con anterioridad, conforman datos que afectan a la esfera más íntima de su titular, o cuya utilización indebida puede dar origen a discriminación, o conllevar un riesgo grave para éste por el tipo de información que revelan, tal es el caso del expediente clínico, por ser el documento físico o electrónico que contiene datos relativos a la salud de un individuo.

Al respecto, la Ley General de Salud hace referencia a la protección de datos personales en cuanto a donaciones de órganos y trasplantes; se habla del deber de la salvaguarda de la confidencialidad de los datos genéticos, del consentimiento informado en la recepción de tratamientos, en la investigación en seres humanos, en los tratamientos aplicados a enfermos en situación terminal, además como una obligación del médico, en materia de farmacodependencia y también en casos de donación, pero no se incluye de manera puntual la forma en que se debe dar tratamiento a esos datos personales sensibles del paciente.

Por otro lado, es importante señalar que la misma Ley, de forma somera, hace mención al expediente clínico en la aplicación de los procedimientos diagnósticos y terapéuticos, como el documento en el cual se deja constancia de los procedimientos o actividades que el médico realiza; también se habla de la integración de expedientes clínicos como un elemento de acreditación de la calidad de los servicios médicos.

Asimismo, establece la obligación de la Secretaría de Salud de emitir la normatividad a la que se deben sujetar los sistemas de información de registro electrónico que utilicen las instituciones del sistema nacional de salud, con la finalidad de garantizar la interoperabilidad, procesamiento, interpretación y seguridad de la información contenida en los expedientes clínicos electrónicos.6

Es a través de determinadas normas oficiales mexicanas (en adelante NOM) que se desarrolla de forma más detallada el tema del tratamiento de determinados datos de salud, tal es el caso de la NOM-004-SSA3-2012, publicada en el Diario Oficial de la Federación el 29 de junio de 2012, en la que se establece la conformación del expediente clínico, qué se debe entender por éste, así como los criterios científicos, éticos, tecnológicos y administrativos obligatorios en la elaboración, integración, uso, manejo, archivo, conservación, propiedad, titularidad y confidencialidad del mismo.

Así, dicha norma, tanto en la parte introductoria como en su numeral 4.4, se refiere al expediente clínico como el conjunto único de información y datos personales de un paciente, que se integra dentro de todo tipo de establecimiento para la atención médica, ya sea público, social o privado, el cual consta de documentos escritos, gráficos, imagenológicos, electrónicos, magnéticos, electromagnéticos, ópticos, magneto-ópticos y de cualquier otra índole, en los cuales el personal de salud lleva a cabo los registros, anotaciones, constancias y certificaciones correspondientes a su intervención en la atención médica del paciente, así como la descripción de su estado de salud, además de incluir, en su caso, datos acerca del bienestar físico, mental y social, con apego a las disposiciones jurídicas aplicables.

Esta misma norma establece la obligación de que los datos personales contenidos en el expediente clínico, los cuales pueden hacer posible la identificación del paciente, no sean divulgados o dados a conocer, atendiendo a principios científicos y éticos que orientan la práctica médica, así como la confidencialidad y discreción en el manejo de la información referente a la salud, la obligación de confidencialidad y secreto médico profesional, con relación a los datos personales que son proporcionados.

Otro aspecto a tomar en cuenta es el tema del consentimiento informado, el cual en la NOM se le refiere como la garantía de la libre manifestación de la voluntad del paciente de ser o no atendido a través de procedimientos clínicos o quirúrgicos, con fines diagnósticos, terapéuticos, rehabilitatorios, paliativos o de investigación, para lo cual el personal de salud debe recabar su consentimiento, previa información y explicación de los riesgos posibles y beneficios esperados.

Por lo anterior, consideramos que el tema del consentimiento informado cobra relevancia, sobre todo porque éste se encuentra limitado a la manifestación de voluntad del titular de los datos para recibir determinado procedimiento médico, pero no toma en cuenta el tema del tratamiento de los datos personales que se encuentran en juego, el cual demanda también la necesidad de consentimiento expreso y además por escrito, por tratarse de datos de salud que pertenecen a la categoría de datos sensibles.7

Otro aspecto importante por considerar es el hecho de que dicha norma no cubre la posibilidad de proporcionar el expediente clínico en su totalidad al titular del mismo, puesto que sólo permite el acceso a un resumen clínico o a determinadas constancias que lo integran, dejando abierta esa posibilidad solamente a las autoridades judiciales, órganos de procuración de justicia y autoridades administrativas (numeral 5.7).8

Al respecto, resulta importante señalar que el titular de los datos personales, en el caso específico los datos relativos a la salud, de acuerdo con la LFPDPPP, cuenta con el derecho de acceder a ellos, solicitar su rectificación en caso de que sean inadecuados o excesivos, pedir su cancelación y manifestar la oposición a su tratamiento, esto es, los llamados derechos ARCO, y en caso de que exista una omisión ante su petición, o la respuesta no satisfaga la misma, cuenta con la garantía para ejercer su derecho a la protección de datos personales a través del procedimiento de protección de derechos establecido en la ley de la materia.

Para ilustrar mejor lo anterior, el Pleno del Instituto Federal de Acceso a la Información y Protección de Datos (IFAI), actualmente Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), conoció de un asunto en el cual una titular de datos personales relativos a la salud solicitó a una unidad médica privada el acceso a su expediente clínico, y ante la omisión de respuesta, el entonces IFAI se pronunció en el siguiente sentido:


Es necesario resaltar que de conformidad con lo establecido en el artículo 3, fracciones V y VI de la Ley, se debe considerar que el expediente clínico o médico de una persona debe considerarse como un cúmulo de datos personales y sobre todo sensibles, toda vez que se trata de información concerniente a una persona física identificada o identificable, que revela su estado de salud ya sea presente y futuro…9


Como se puede observar, se determinó procedente la entrega de la información solicitada, por considerarse que el expediente clínico constituye un dato personal sensible sobre el cual el titular tiene el poder de disposición.

De lo anterior arribamos a la conclusión de que, en efecto, el expediente clínico constituye un conjunto de datos personales sensibles, pues contiene información referente a la salud del individuo que, de ser indebidamente utilizada, puede situarlo en un estado de riesgo grave, o dar origen a discriminación.

Un inadecuado manejo de los datos relativos a la salud implica un deterioro o menoscabo en la intimidad de la persona, ocasionando un daño en su esfera privada, e incluso en su relación con el medio en el que se desenvuelve, por lo que se pueden ver afectados sus derechos.

Hacemos referencia a este tema sobre todo porque en el caso de la NOM-012-SSA3-2012, que establece los criterios para la ejecución de proyectos de investigación para la salud en seres humanos, sí se prevé el derecho de todo sujeto de investigación a la protección de sus datos personales, al acceso, rectificación, cancelación y oposición de los mismos, así como a la protección de la identidad de la persona y el apego a la Ley de la materia, esto es, la LFPDPPP; consideramos que esta situación debe estar prevista no sólo para el tema de la investigación médica, sino de forma general para todo tratamiento de datos de salud.

Y es que el tratamiento de los datos relativos a la salud implica tanto la obtención del dato, la creación y almacenamiento a través del expediente clínico, su conservación, su transferencia, hasta su cancelación, por lo que es necesario indicar que en la actualidad existe un rango amplio de desconocimiento tanto por parte del personal de la salud, sobre las disposiciones específicas que en materia de protección de datos se deben observar, como por el titular de dichos datos.

Las situaciones que son resultado del desconocimiento de la Ley o la falta de conciencia sobre su importancia, la falta de medidas de seguridad necesarias para el tratamiento de datos, la negativa de acceso a estos últimos (en especial a expedientes clínicos), la omisión en la puesta a disposición del aviso de privacidad,10 la pretensión de que sólo se debe cumplir con disposiciones aplicables en materia de salud, etcétera, han dificultado el debido ejercicio del derecho a la protección de datos de las personas, en específico de datos sensibles.

Sin embargo, no cumplir con dichas obligaciones puede acarrear consecuencias graves tanto para los profesionales de la salud como para los titulares de los datos personales. En el primer caso tenemos el daño en la reputación de los médicos en lo individual o clínicas o asociaciones médicas, ya que pocos confiarán en ellos después de saber que éstos no protegen debidamente la información personal, y tendrán como consecuencia pérdidas económicas, e incluso la configuración de infracciones legales y la imposición de considerables sanciones económicas por parte de la autoridad garante en la materia, que es el INAI. En el segundo caso, las personas se encuentran potencialmente expuestas a la utilización indebida de sus datos sin saber que tienen la posibilidad de exigir el cumplimiento de determinados principios y deberes, así como la facultad para ejercer los derechos ARCO (acceso, rectificación, cancelación, oposición).

Por ello, la LFPDPPP es obligatoria para todos aquellos particulares, ya sean personas físicas o morales, de carácter privado, que lleven a cabo la obtención, el uso, la divulgación o el almacenamiento de datos personales relativos a la salud, y que por ende constituyen datos sensibles, al ser una norma de carácter especializada en la materia, de orden público y de observancia general, y como bien se establece en su artículo 1o., tiene como objeto la protección de los datos personales con la finalidad de regular su tratamiento legítimo, controlado e informado, por lo que debe velar por el respeto a la protección de esa información.

V. Consideraciones finales

El sector de la salud se encuentra expuesto a un riesgo constante en cuanto a la protección de datos personales se refiere, al ser un ramo que por el trabajo tan delicado que realiza, y por la naturaleza de los datos que trata, requiere de acciones y evaluaciones constantes que cumplan con el objeto que la Ley de la materia planteó, pues la normatividad específica, es decir, la LFPDPPP, se remonta al 5 de julio de 2010, fecha en la que se publicó en el Diario Oficial de la Federación, por lo que resulta un tema de implementación relativamente joven en nuestro país.

Sin embargo, el hecho de que el tema de la protección de datos personales sea novedoso, o un tanto incipiente, así como su legislación, no significa que sitúe al destinatario de dicha norma en un caso de exclusión o de posición privilegiada para su aplicación, pues la postura normativa se encuentra sustentada no sólo en doctrina nacional e internacional que posiciona el derecho a la protección de datos personales como un derecho humano, sino que además se sustenta en hechos reales de vulneración que los titulares de datos personales han padecido y siguen padeciendo.

El desconocimiento por parte de quien lleva a cabo el tratamiento de este tipo de datos, así como la consideración de que las normas en la materia no le son aplicables al sector privado de la salud por contar con legislaciones específicas (normas oficiales mexicanas, Ley General de Salud), han obstaculizado el ejercicio de los derechos en favor de sus titulares.

Cuestiones como la transferencia de datos relativos a la salud con fines científicos sin previo consentimiento; la utilización en beneficio de su explotación con finalidades particulares; la creación de perfiles de la personalidad con los que se pueden tomar decisiones que condicionen derechos de sus titulares; el comercio de bases de datos para publicidad en seguros; el control de los expedientes clínicos por algunos hospitales o médicos individuales, que impiden el conocimiento de los padecimientos tanto físicos, mentales o emocionales que permitan los tratamientos más adecuados, por considerar que los pacientes no tienen el poder de disposición sobre éstos; el riesgo al que se encuentra expuesto el titular ante el conocimiento de cuestiones de su vida íntima relacionadas con su sexualidad o padecimientos físicos y mentales que pueden provocar hacinamiento o discriminación en su contra, son, entre otras, problemáticas que reclaman su adecuada atención en aras de salvaguardar el bienestar de la persona, al encontrarse directamente conectados con su dignidad.

Y es que cuando hablamos del tratamiento de datos personales relativos a la salud, y por lo tanto sensibles, sabemos que nos encontramos ante un escenario en el que su utilización indebida puede situar a su titular en un estado de riesgo grave o generar discriminación.

Así pues, como observamos a lo largo de este estudio, es relevante tomar en cuenta que la protección de datos personales comprende un conjunto de atribuciones que adoptan un carácter transversal, esto es, incluyen todos los sectores que lleven a cabo el tratamiento de datos personales (Solange y Moreno, 2014: 15), por lo que hay una convergencia entre aquellos a quienes les aplica la ley en la materia, tal es el caso del sector privado de la salud, como a todo aquel que lleve a cabo tratamiento de datos personales, sean personas físicas o morales de carácter privado, de acuerdo con el artículo 2o. de la LFPDPPP.

Bajo esta óptica, podemos decir que, en principio, el médico como persona física que lleva a cabo el tratamiento de datos, o la persona moral, en el caso de clínicas o asociaciones médicas privadas, laboratorios, consultorios, etcétera, son sujetos regulados por la LFPDPPP, y por ello se encuentran obligados a cumplirla.

Sin embargo, no se puede dejar todo a la sola regulación de los casos específicos; la realidad exige el acercamiento del sector privado de la salud al conocimiento integral de la materia, por lo que debe haber un trabajo conjunto entre éste y el órgano garante de la protección de datos personales, es decir, el INAI, quien se encuentra obligado a su difusión, desarrollando y complementando tópicos, tales como las obligaciones que se deben cumplir en el tratamiento de datos personales sensibles; el cumplimiento de los principios nacionales e internacionales en la materia; las medidas de seguridad que deben emplearse, además de la capacitación dirigida tanto a los responsables del tratamiento de datos personales como a los titulares de ellos a través de la difusión en cuanto al ejercicio de los derechos de acceso, rectificación, cancelación u oposición (ARCO); la sensibilización y concientización del profesional de la salud en relación con la posibilidad de vulneración que puede llegar a sufrir el titular de los datos, sobre todo derivado del empleo de nuevas tecnologías o sistemas de automatización de la información con respecto a las condiciones de salud física y mental;11 la implementación de medidas de seguridad técnicas, administrativas y físicas que permitan que dicho tratamiento sea el más adecuado; las pautas éticas y científicas que deben orientar la práctica médica; el riesgo existente de un indebido tratamiento de los datos, así como sus probables consecuencias.12

Todo lo anterior se traduce en un arduo trabajo que, de implementarse de manera adecuada, reducirá significativamente los riesgos en el manejo de la información relativa a la salud, y por lo tanto de carácter sensible, que el titular confía a determinados sujetos, reduciendo, a su vez, las malas prácticas por parte de quienes llevan a cabo el tratamiento de esos datos.

Asimismo, debe haber un análisis de todo el ciclo de vida del dato; desde que se recaba, pasando por su conservación, cancelación, los aspectos generales de su acceso, utilización de datos en seguros de salud, transferencia de datos a autoridades competentes, recomendaciones emitidas tanto por la Secretaría de Salud como por el organismo garante en materia de protección de datos personales; la cautela y seguridad en su tratamiento, la implicación de su uso con fines estadísticos e incluso comerciales, así como la comunicación o cesión de los mismos; su protección contra daño, pérdida, alteración, destrucción, o el uso, acceso o tratamiento no autorizado.13

Todo ello porque siguen existiendo prácticas que vulneran un derecho que, con sus matices, tiene como finalidad garantizar la facultad del titular para que su información personal sea tratada de forma correcta, que su poder de decisión respecto de aquellos datos que se encuentran en posesión de determinados sujetos siga bajo su control, conociendo las finalidades de su tratamiento, y, en su caso, ante un uso indebido, contar con las herramientas suficientes que eviten su continuación y evitarlo en futuras ocasiones.

VI. Fuentes de información

Araujo Carranza, Ernesto, 2009, “El derecho a la información y la protección de datos personales en el contexto general y su construcción teórica y jurídica”, IUS. Revista del Instituto de Ciencias Jurídicas de Puebla A.C., México, núm. 23.

Davara Fernández de Marcos, Isabel, 2012, “Breve aproximación a las implicaciones jurídicas y operativas del tratamiento de datos de salud”, Gaceta Médica de México, núm. 5.

García González, Aristeo, “La influencia europea en materia de datos personales. Una visión teórico-constitucional y jurisprudencial”, IUS, Revista Jurídica, disponible en: http://www.unla.mx/iusunla37/opinion/
La%20Influencia%20Europea%20en%20Materia%20de%20Datos%20, Personales.htm.

Gómez Robledo, Alonso y Ornelas Núñez, Lina, 2006, Protección de datos personales en México: el caso del Poder Ejecutivo Federal, México, UNAM, Instituto de Investigaciones Jurídicas.

Martínez, Ricard, 2007, “El derecho fundamental a la protección de datos: perspectivas”, Revista de Internet Derecho y Política, núm. 5, disponible en: http://www.uoc.edu/idp/5/dt/esp/martinez.pdf.

Pérez Gómez, José María, 2015, Hacia un nuevo derecho europeo de protección de datos, España, Tirant Io Blanch.

Sánchez Ana et al., 2003, Tecnología, intimidad y sociedad democrática, Barcelona, Icaria.

Solange Maqueo, María y Moreno, Jimena, 2014, Implicaciones de una Ley General en Materia de Protección de Datos Personales, México, CIDE, documento de trabajo, núm. 64, disponible en: http://www.libreriacide.com/librospdf/DTEJ-64.pdf.

Tejerina Rodríguez, Ofelia, 2014, Seguridad del Estado y privacidad, Madrid, Editorial Reus.

Tenorio Cueto, Guillermo A. (coord.), 2012, Los datos personales en México. Perspectivas y retos de su manejo en posesión de particulares, México, Porrúa-UP.

Villanueva, Ernesto y Nucci, Hilda (coords.), 2012, Comentarios a la Ley Federal de Protección de Datos Personales en Posesión de Particulares, México, Novum.

* Maestra en derecho por la Facultad de Derecho de la UNAM y profesora en la misma casa de estudios, anbelher9@gmail.com.

Fecha de recepción: 12 de octubre de 2017.

Fecha de dictamen: 16 de octubre de 2017.

1 Esta consideración se origina en la sentencia 151/2014, emitida por el Pleno del Tribunal Constitucional de España, en la que se establece que el derecho a la protección de datos personales emerge como parte del derecho a la vida privada.

2 Para ampliar la posibilidad de formas en las que se puede llevar a cabo el tratamiento de datos, sirve como ejemplo del derecho comparado la Directiva 95/46/CE, del Parlamento Europeo y del Consejo, del 24 de octubre de 1995, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos, que en su artículo 2o. se refiere al tratamiento de datos personales como a cualquier operación o conjunto de operaciones, efectuadas o no mediante procedimientos automatizados, y aplicadas a datos personales, como la recogida, registro, organización, conservación, elaboración o modificación, extracción, consulta, utilización, comunicación por transmisión, difusión o cualquier otra forma que facilite el acceso a los mismos, cotejo o interconexión, así como su bloqueo, supresión o destrucción.

3 Como señala Aristeo García González en La influencia europea en materia de datos personales. Una visión teórico-constitucional y jurisprudencial, disponible en: http://www.unla.mx/iusunla37/opinion/La%20Influencia%20Europea%20en%20Materia%20de%20Datos%20Personales.htm, resulta ilustrativa la sentencia del TEDH del 7 de julio de 1989 en el Caso Gaskin, el cual se refiere al acceso de los datos sobre la estancia de un individuo durante su infancia en un orfanato, en el que el Tribunal Europeo de Derechos Humanos consideró necesario analizar el tipo de datos respecto de los que se planteaba el conflicto, en virtud de que de la naturaleza y de las características de esos datos dependería el nivel de protección que se les reconociera.

4 Es importante resaltar que el Reglamento de la LFPDPPP, así como los Lineamientos del Aviso de Privacidad, establecen requisitos adicionales para cumplir con la materialización del principio de información.

5 En Europa, el concepto “dato de salud” tiene su precedente en la Recomendación número R (97) 5 del Consejo de Europa del 13 de febrero de 1997 sobre la protección de datos médicos; en ésta se señala que la expresión “datos médicos” se refiere a todos los datos personales relativos a la salud de un individuo, pero también a todos aquellos que tengan una clara y estrecha relación con la salud y los datos genéticos.

6 Es importante hacer la distinción entre el expediente clínico en papel y el expediente clínico electrónico, el cual se registra en un formato digital, permitiendo un registro de salud longitudinal. Al respecto, en aras de apoyar la adopción e interoperabilidad de sistemas de expediente clínico electrónico a nivel nacional, así como simplificar la evaluación de los mismos, el 8 de septiembre de 2010 se publicó en el Diario Oficial de la Federación, la NOM-024-SSA3-2010, que establece los objetivos funcionales y funcionalidades que deberán observar los productos de sistemas de expediente clínico electrónico para garantizar la interoperabilidad, procesamiento, interpretación, confidencialidad, seguridad y uso de estándares y catálogos de la información de los registros electrónicos en salud.

7 Al respecto, el Reglamento de la LGS en Materia de Investigación para la Salud, en su artículo 21, fracción VIII, señala que para que el consentimiento informado se considere existente, se debe recibir una explicación que comprenda, entre otros aspectos, por lo menos, la explicación de la seguridad de que no se identificará al titular de los datos y que se mantendrá la confidencialidad de la información relacionada con su privacidad.

8 En cuanto al tema de acceso al expediente clínico como derecho del titular de los datos de salud, en Estados Unidos, la Ley de Transferencia y Responsabilidad de Seguro Médico (Health Insurance Portability and Accountability Act, HIPAA por sus siglas en inglés), amplificó sus cláusulas en 2002, con el objeto de dar la posibilidad al paciente a tener un mayor acceso a sus expedientes médicos, y mayor control sobre el uso de su información relacionada con su salud, señalando como requisito el consentimiento escrito para que la misma se pueda compartir, además de la obligación de que los agentes de atención médica y los programas de seguro médico también resguarden la privacidad de dicha información, estableciendo también la obligación de que los expedientes se custodien bajo llave y puedan ser utilizados sólo en casos en los que sea indispensable.

9 Resolución emitida por el Pleno del IFAI el 4 de diciembre de 2013 en el expediente PPD.0097/13.

10 La Encuesta Nacional de Acceso a la Información Pública y Protección de Datos Personales 2016 (ENAID), disponible en: http://proyectos.inai.org.mx/enaid2016/images/doc/ENAID_2016_Principales_resultados.pdf, estima que a nivel nacional sólo al 32.7% de la población de 18 años y más le dieron a conocer un aviso de privacidad (p. 76).

11 A propósito, el entonces IFAI (actualmente INAI) emitió la recomendación al anteproyecto de NOM-024-SSA3-2007, el 21 de octubre de 2009, dirigido a la Secretaría de Salud, en la cual señala la necesidad de implementación de medidas de seguridad en las transmisiones entre instituciones de salud, la observancia de los principios internacionales, minimización de riesgos que pudieran vulnerar la confidencialidad y seguridad de los datos personales, posibilidad de ejercicio de los derechos ARCO, entre otros.

12 Al respecto, cabe resaltar que la LFPDPPP prevé la implementación de esquemas de autorregulación vinculante en la materia, los cuales se pueden traducir en la creación de códigos deontológicos o de buenas prácticas profesionales, sellos de confianza o diversos mecanismos entre los responsables del tratamiento de los datos personales (personas físicas o morales) y organizaciones civiles o gubernamentales, nacionales o extranjeras, con el fin de complementar lo dispuesto en la mencionada Ley, su Reglamento y las disposiciones que se emitan por las dependencias, que contengan mecanismos para medir la eficacia en la protección de datos, las consecuencias y medidas correctivas en caso de incumplimiento.

13 Existen materiales adicionales a la LFPDPPP, tales como la Guía para Cumplir con los Principios y Deberes de la LFPDPPP, los Lineamientos de Protección de Datos Personales, los Lineamientos del Aviso de Privacidad, entre otros, los cuales complementan la ley de la materia.