La protección de La protección de datos en el sector datos en el sector salud en Méxicosalud en México

Lina Ornelas NúñezLina Ornelas NúñezDirectora General de Clasificación y Directora General de Clasificación y

Datos Personales IFAIDatos Personales IFAI

14 de noviembre de 200814 de noviembre de 2008

Situación actual de la Situación actual de la protección de datos de salud protección de datos de salud en Méxicoen México

Los datos personales de salud son datos Los datos personales de salud son datos considerados como datos sensibles o considerados como datos sensibles o especialmente protegidos en el ámbito especialmente protegidos en el ámbito internacionalinternacional

Actualmente, en el ámbito federal y en Actualmente, en el ámbito federal y en algunos estados existen instrumentos algunos estados existen instrumentos jurídicos en materia de protección de jurídicos en materia de protección de datos personales datos personales en posesión del sector en posesión del sector públicopúblico y sólo algunos estados regulan al y sólo algunos estados regulan al sector privadosector privado

Situación actual de la Situación actual de la protección de datos de salud protección de datos de salud en Méxicoen México

Se carece de una regulación Se carece de una regulación comprehensiva que regule comprehensiva que regule específicamente el tratamiento específicamente el tratamiento o manejo de datos de salud, o manejo de datos de salud, que evite un mal manejo de que evite un mal manejo de dicha informacióndicha información

Problemáticas en el Problemáticas en el tratamiento de datos tratamiento de datos personales de saludpersonales de salud

La falta de observancia de los principios La falta de observancia de los principios de protección de datos reconocidos de protección de datos reconocidos internacionalmente en las instituciones internacionalmente en las instituciones de salud públicas y privadasde salud públicas y privadas

La ausencia de homogeneidad en la La ausencia de homogeneidad en la organización, manejo y conservación de organización, manejo y conservación de archivos clínicosarchivos clínicos

Aplicación de principios Aplicación de principios rectores al tratamiento de rectores al tratamiento de datos de saluddatos de salud

La posesión de datos de salud debe La posesión de datos de salud debe obedecer exclusivamente a las obedecer exclusivamente a las atribuciones legales de los entes públicos, atribuciones legales de los entes públicos, o a la legitimación derivada del servicio o a la legitimación derivada del servicio entre hospitales privados y pacientesentre hospitales privados y pacientes

Los datos de salud deben tratarse Los datos de salud deben tratarse únicamente para la finalidad para la cual únicamente para la finalidad para la cual fueron obtenidosfueron obtenidos

Aplicación de principios Aplicación de principios rectores al tratamiento de rectores al tratamiento de datos de saluddatos de salud

Los datos de salud deben ser exactos, Los datos de salud deben ser exactos, adecuados pertinentes y no excesivosadecuados pertinentes y no excesivos

Los datos deben almacenarse de formal tal que Los datos deben almacenarse de formal tal que permitan el ejercicio de los derechos de acceso permitan el ejercicio de los derechos de acceso y rectificacióny rectificación

Se debe hacer del conocimiento del titular de Se debe hacer del conocimiento del titular de los datos de forma escrita, al momento de los datos de forma escrita, al momento de recabarlos, el fundamento y motivo de ello, así recabarlos, el fundamento y motivo de ello, así como los propósitos para los cuales se tratarán como los propósitos para los cuales se tratarán los mismoslos mismos

Aplicación de principios Aplicación de principios rectores al tratamiento de rectores al tratamiento de datos de saluddatos de salud

Los datos de salud deben contar con Los datos de salud deben contar con medidas de seguridad necesarias para medidas de seguridad necesarias para garantizar su integridad, confiabilidad, garantizar su integridad, confiabilidad, confidencialidad y disponibilidad de la confidencialidad y disponibilidad de la informacióninformación

Toda transmisión de datos de salud, Toda transmisión de datos de salud, debe contar con el consentimiento debe contar con el consentimiento previo, por escrito y otorgado de previo, por escrito y otorgado de manera libre por parte del titular, manera libre por parte del titular, salvo las excepciones legales salvo las excepciones legales conducentesconducentes

Organización y conservación Organización y conservación de los archivos clínicosde los archivos clínicos

El tratamiento de datos de salud El tratamiento de datos de salud involucra diversas y variadas acciones involucra diversas y variadas acciones desde su recolección hasta su desde su recolección hasta su cancelación o destrucción, las cuales cancelación o destrucción, las cuales deben estar documentadas deben estar documentadas

A pesar de que se realizan grandes A pesar de que se realizan grandes esfuerzos para la homogeneidad en la esfuerzos para la homogeneidad en la organización, manejo y conservación de organización, manejo y conservación de archivos clínicos, estamos frente a una archivos clínicos, estamos frente a una insuficiente y atomizada regulación del insuficiente y atomizada regulación del sector salud para abatir esta situaciónsector salud para abatir esta situación

Organización y conservación Organización y conservación de los archivos clínicosde los archivos clínicos

Resulta relevante regular:Resulta relevante regular:

La integración, manejo, acceso y La integración, manejo, acceso y custodia del expediente clínicocustodia del expediente clínico

La disociación o anonimización de La disociación o anonimización de información cuando sea necesarioinformación cuando sea necesario

La confidencialidad de la información no La confidencialidad de la información no sólo del paciente sino de terceras sólo del paciente sino de terceras personaspersonas

Organización y conservación Organización y conservación de los archivos clínicosde los archivos clínicos

El establecimiento de los casos en El establecimiento de los casos en que procedan las transferencias de que procedan las transferencias de información contenida en la historia información contenida en la historia clínica y las medidas de seguridad clínica y las medidas de seguridad aplicables (altas)aplicables (altas)

El tratamiento de la información de El tratamiento de la información de personas fallecidaspersonas fallecidas

Modelos internacionalesModelos internacionales

México, a través del IFAI México, a través del IFAI analiza modelos analiza modelos internacionales para la internacionales para la regulación del contenido y regulación del contenido y tratamiento de la tratamiento de la información de la historia información de la historia clínica (España, Canadá, clínica (España, Canadá, Reino Unido)Reino Unido)

Hacia el expediente Hacia el expediente clínico electrónicoclínico electrónico

Programa Nacional de Salud Programa Nacional de Salud 2007-20122007-2012

Promueve una estrategia nacional Promueve una estrategia nacional para el uso de los registros para el uso de los registros electrónicos de salud electrónicos de salud

La estrategia de la Secretaría de Salud La estrategia de la Secretaría de Salud se centra en lograr la comunicación se centra en lograr la comunicación entre los sistemas de instituciones entre los sistemas de instituciones públicas y privadas de salud a través públicas y privadas de salud a través de estándares y mecanismos de estándares y mecanismos innovadoresinnovadores

Estrategia nacional Estrategia nacional (objetivos)(objetivos)

Establecer estándares de información en salud que aseguren la calidad e interoperabilidad de la misma

Establecer un marco legal que garantice el mejor uso de la información de salud y establezca los requisitos mínimos que deben tener los sistemas de registros electrónicos de salud

Establecer los procesos y estructuras que aseguren el mayor uso de la información de salud

Crear modelos de inversión que permitan realizar la administración de datos

Asegurar la interoperabilidad de la información

NOM 024NOM 024

Establece los registros electrónicos mínimos en salud Establece los registros electrónicos mínimos en salud que las unidades que prestan servicios de atención que las unidades que prestan servicios de atención médica deben cumplir para garantizar la médica deben cumplir para garantizar la interoperabilidad, procesamiento, interpretación, interoperabilidad, procesamiento, interpretación, confidencialidad, seguridad y uso de estándares de la confidencialidad, seguridad y uso de estándares de la información en los registros electrónicos en salud. Se información en los registros electrónicos en salud. Se basa en el modelo HL7.basa en el modelo HL7.

Beneficios:

Centrar la atención en el paciente; entrar la atención en el paciente; Documentar eventos clínicos estructurados; Documentar eventos clínicos estructurados; Contar con la historia clínica de un paciente;Contar con la historia clínica de un paciente; Evitar la duplicidad de recetas, estudios y pruebasEvitar la duplicidad de recetas, estudios y pruebas Asegurar tratamientos completos y correctosAsegurar tratamientos completos y correctos

Delicado balance entre Delicado balance entre acceso expedito a la acceso expedito a la información del paciente por información del paciente por parte del personal de salud y parte del personal de salud y la protección a la privacidadla protección a la privacidad

Nuevas tecnologías

Evaluación de Impacto a la Evaluación de Impacto a la PrivacidadPrivacidad

La complejidad en el diseño de la NOM-024 entraña La complejidad en el diseño de la NOM-024 entraña riesgos potenciales en el derecho a la protección riesgos potenciales en el derecho a la protección de datos de los pacientes o personas que por de datos de los pacientes o personas que por cualquier motivo dan a conocer información cualquier motivo dan a conocer información personal a las instituciones de salud.personal a las instituciones de salud.

El IFAI como autoridad garante en materia de El IFAI como autoridad garante en materia de protección de datos personales a través de un protección de datos personales a través de un especialista en la materia elaborará una Evaluación especialista en la materia elaborará una Evaluación de Impacto a la Privacidad (de Impacto a la Privacidad (Privacy Impact Privacy Impact AssesmentAssesment –PIA-) –PIA-)

Coloquio de Protección de Coloquio de Protección de Datos de SaludDatos de Salud

Este año, previo al Consejo Nacional de Salud, en el estado Este año, previo al Consejo Nacional de Salud, en el estado de Guanajuato, se llevó a cabo un Coloquio de Protección de de Guanajuato, se llevó a cabo un Coloquio de Protección de Datos en SaludDatos en Salud

El objeto del Coloquio fue lograr un acuerdo político para El objeto del Coloquio fue lograr un acuerdo político para reformar el marco legal en la materia que incluya los reformar el marco legal en la materia que incluya los principios y derechos de protección de datos de salud.principios y derechos de protección de datos de salud.

El resultado fue el inicio de los trabajos para la concertación El resultado fue el inicio de los trabajos para la concertación de acciones para el estudio, análisis y propuesta para la de acciones para el estudio, análisis y propuesta para la protección de datos clínicosprotección de datos clínicos

ConclusionesConclusiones

Es necesario contar con una Ley de Es necesario contar con una Ley de Protección de Datos Personales que Protección de Datos Personales que contenga los principios y derechos de contenga los principios y derechos de protecciónprotección

Reformas a la Ley General de SaludReformas a la Ley General de Salud que que aseguren el adecuado tratamiento de la aseguren el adecuado tratamiento de la información de los pacientes, así como las información de los pacientes, así como las normas técnicas o reglamentarias ad-hocnormas técnicas o reglamentarias ad-hoc