MARCO NORMATIVO PARA LA PROTECCIÓN DE … · protección de datos personales, distinto al de la...
Transcript of MARCO NORMATIVO PARA LA PROTECCIÓN DE … · protección de datos personales, distinto al de la...
MARCO NORMATIVO PARA LA PROTECCIÓN DE DATOS EN EL
SECTOR SALUD
Implicaciones para la práctica médica
María Marván Laborde Comisionada
Instituto Federal de Acceso a la Información y Protección de Datos
14 de abril de 2011
Contenido de la exposición
Definición Antecedentes Normatividad en México
Protección de Datos Personales Normatividad Sector Sanitario
Principios y Derechos LFTAIPG y LFPDPPP
Retos del sector sanitario Expediente clínico electrónico
¿Qué son los datos personales?
Toda información concerniente o relativa
a una persona física identificada o
identificable.
Ejemplos
Identificación Nombre, edad, domicilio, sexo, RFC, CURP...
Patrimoniales Cuentas bancarias, saldos, propiedades...
Salud Estados de salud físicos y mentales...
Biométricos Huellas dactilares, iris, voz, firma autógrafa...
Otros Ideología, afiliación política, religión, origen
étnico, preferencia sexual...
Derecho a la Privacidad o a la Protección de datos personales
En derecho comparado se ha configurado unauténtico derecho fundamental a laprotección de datos personales, distinto al dela vida privada o a la intimidad.
Este derecho tiene sus propios mecanismos deprotección.
En México, este derecho ya es constitucional.
Derecho a la Privacidad o a la Protección de datos personales
Los avances en las TI y sus implicaciones para la vida delas personas dieron origen a un derecho distinto,relacionado con la protección de los datos personales (PDP).
Antecedentes Jurídicos
1967 - Consejo de Europa: “Comisión Consultiva paraestudiar las tecnologías de información y su potencialagresividad a los derechos de la persona”.
1968 - Resolución 509 de CE: “Derechos Humanos ynuevos logros científicos y técnicos.
1981 – Convenio 108 de CE: Protección de las personascon respecto al tratamiento automatizado de los datosde carácter personal.
1995 - Directiva 95/46/CE sobre protección de personasfísicas en lo que respecta al tratamiento de datospersonales y a la libre circulación de esos datos.
Antecedentes Constitucionales
Constitución Española 1978, art. 18.4: “La Leylimitará el uso de la informática para garantizar elhonor y la intimidad personal y familiar de losciudadanos y el pleno ejercicio de sus derechos”.
Constitución Perú art. 2.6: “Toda persona tienederecho a que los servicios informáticos,computarizados o no, públicos o privados, nosuministren informaciones que afecten la intimidad”.
Constitución Venezuela, art. 60: “…La ley limitará eluso de la informática”.
A nivel constitucional
Artículo 6 (DOF 20 de julio de 2007).
Artículo 16 (DOF 1º de junio de 2009).
Artículo 73 (DOF 30 de abril de 2009).
A nivel federal la LFTAIPGEste instrumento reconoce por primera vez en
México la protección de los datos personales.
Se limita a las bases de datos del sector público anivel federal.
La LFTAIPG es, a la vez, una ley de acceso a lainformación y una ley de protección de datospersonales (limitada en su ámbito de aplicación).
Actuación del IFAI como autoridad garante: Expedición de disposiciones administrativas. Expedición de recomendaciones concretas a los sistemas
de datos personales.
A nivel estatal Los estados de Colima, Jalisco y Tlaxcala
cuentan con leyes de protección de datos para elsector público y privado.
Los estados de Guanajuato, Coahuila, Oaxaca yel Distrito Federal sólo regulan la protección dedatos personales en posesión del sector público.
La mayoría de las legislaciones estatalescontienen un capítulo de protección de datospersonales.
Convenio para la Protección de los Derechos Humanos y la dignidad del ser humano con respecto
a las aplicaciones de la Biología y la Medicina (Consejo de Europa 2007)
Artículo 10. Vida Privada y derecho a la Información.
1. Toda persona tendrá el derecho a que se respete su vidaprivada cuando se trate de informaciones relativas a lasalud.
2. Toda persona tendrá derecho a conocer toda informaciónobtenida respecto a su salud- No obstante, deberárespetarse la voluntad de una persona a no serinformada.
3. De modo excepcional, la ley podrá establecerrestricciones, en interés del paciente, con respecto alejercicio de los derechos mencionado en el apartado 2.
Normatividad en el Sector Sanitario
Ley General de Salud (1984)
Reglamento LGS en materia de Prestación deServicios Médicos (1986)
Reglamento de la LGS en Materia de Investigaciónpara la Salud (1987) (Título II, cinco capítulos)….sólo como muestra de normas que contienen
disposiciones en materia de privacidad…
Dos regulaciones: un mismo objetivo
LEYES DEL SECTOR SANITARIO
LEYES DE PROTECCIÓN DE DATOS PERSONALES
Defienden la dignidaddel ser humano
Reconocen a la personacomo titular de losderechos Derecho a la Salud Derecho a la protección
de datos personalesEquilibrio entre el
interés público y elinterés del paciente
Principio de LicitudEl tratamiento de los datos personales
deberá llevarse a cabo de forma leal y
lícita; es decir, con pleno cumplimiento de
la legalidad y respeto de la buena fe y los
derechos del individuo cuya información es
sometida a tratamiento.
Principio de FinalidadEl tratamiento únicamente será llevado a
cabo en el ámbito de finalidades
determinadas, explícitas y legítimas
relacionadas con las actividades del
responsable.
Principio de Proporcionalidad
Sólo se deberán recabar los datos
adecuados o necesarios para la finalidad
que justifica el tratamiento.
El tratamiento obedecerá a tratar la
mínima cantidad de información necesaria
para conseguir la finalidad perseguida.
Principio de Calidad
La calidad del dato ha de entenderse
específicamente vinculada a su veracidad
y exactitud, de forma que aquél refleje
fielmente la realidad de la información
tratada.
Principio de Información-Aviso de privacidad-
Dar a conocer efectivamente a los titulares
la existencia misma del tratamiento y las
características esenciales de éste, en
términos que le resulten fácilmente
comprensibles y previo a la obtención de
los datos.
Principio del Consentimiento
Manifestación de la voluntad como causaprincipal legitimadora del tratamiento delos datos personales.
Esta manifestación deberá ser libre,específica, inequívoca e informada.
Derecho de Acceso
Derecho del titular a obtener información
sobre sí y a conocer sí está siendo objeto de
tratamiento, así como el alcance de dicho
tratamiento.
Derecho de Rectificación
Derecho del titular a que se
modifiquen los datos que resulten
ser inexactos o incompletos.
Derecho de Cancelación
Derecho del titular que da lugar a
que se supriman los datos que
resulten ser inadecuados o
excesivos.
Derecho de Oposición
Prerrogativa que consiste en
oponerse al uso de datos
personales para una determinada
finalidad.
Artículo 3.
VI. Datos personales sensibles: Aquellos datospersonales que afecten a la esfera más íntima de sutitular, o cuya utilización indebida pueda darorigen a discriminación o conlleve un riesgo gravepara éste. En particular, se consideran sensiblesaquellos que puedan revelar aspectos como origenracial o étnico, estado de salud presente y futuro,información genética, creencias religiosas,filosóficas y morales, afiliación sindical, opinionespolíticas, preferencia sexual;
Todos los Datos de Salud son “Sensibles”
Muestra biológica /Datos genómicos
Contiene datos personales
Por definición son datos sensibles (especialprotección)
Cuando en una base de datos, éstos sedesligan del nombre, pierden el carácter dedatos personales
Protocolos de Investigación en el sector salud
Dato anónimo: Sin nexo a una persona identificada o identificable
Dato anonimizado o irreversiblemente disociado: Imposibilidad de volver a asociar el nombre con el
dato
Dato codificado o reversiblemente disociado: Posibilidad de hacer la operación inversa en
beneficio de la persona sujeto de la investigación
Desde 2003 los pacientes han utilizado la ley paraobtener copia íntegra de sus expedientes clínicos
Gran resistencia del sector salud
Dos temores: Incentivar la medicina litigiosa en el país Deficientes archivos de expedientes clínicos
Acceso a Expedientes Clínicos
Normatividad vigente (NOM 168-SSA1-1998) hasta2003 solo garantizaba el acceso a un resumen y no ala historia clínica completa
Cuestionamientos sobre la titularidad del expediente: Hospital público Médico tratante (propiedad intelectual) Paciente
Posibilidad de una sobrecarga de trabajo al sectorsalud
Expedientes Clínicos
Paciente tiene derecho a una copia de suexpediente clínico íntegro
Hospital público conserva expedientes“originales”
Notas evolutivas se reservan
Expedientes psiquiátricos: paciente tieneacceso a través de un profesional de la salud
Criterios de Resolución:
Objetivo del gobierno federal (2006-2012) mejorar laatención a los pacientes y mejorar las estadísticas delsector Salud a través de la creación de RegistrosElectrónicos de Salud:
Expedientes Clínicos Electrónicos
Registros Electrónicos de Salud
Comunicación e interoperatividad de losdiversos sistemas electrónicos entre lasinstituciones públicas
Confidencialidad de los pacientes y atenciónfuera de su localidad en casos de emergencia
Seguridad de la información de cada uno de losexpedientes y del sistema público de salud
Alimentación de bases de datos para elaborarestadísticas de calidad con el fin de mejorar laspolíticas públicas de salud
Registros Electrónicos de Salud
NOM 168-SSA1-1998 establece loscriterios científicos, tecnológicos yadministrativos obligatorios en laelaboración, integración, uso y archivodel expediente clínico
A partir de dichos criterios se establecennuevas normas específicas para elExpediente Clínico Electrónico (ECE)
Expediente Clínico Electrónico
Garantizar la confidencialidad de laidentidad de los pacientes
Integridad y confiabilidad de lainformación clínica
Medidas de seguridad para evitar el usoilegal de la información
Atender a criterios éticos y científicos queorientan la práctica médica
Protección de Datos Personales
Acceso por parte del paciente a TODA lainformación del ECE
Acceso por parte del personal médico a lainformación necesaria para atender al paciente
Mediante orden judicial o administrativa a laComisión Nacional de Arbitraje Médico (en sucaso, a las estatales)
Revelar información de manera ilegal, serásancionado, inclusive de manera penal
Protección de Datos Personales
Autoridades Reguladoras
En materia de expedientes clínicos el trabajocon la Secretaría de Salud establecerá normaspara el manejo de los datos de salud quegaranticen la privacidad de los individuos.
La Secretarías en colaboración con el IFAIdeberán emitir regulación secundaria
Desde que se dio a conocer el proyecto de NOM delECE el IFAI se integró al grupo de discusión quedebería elaborarla
Exigió la elaboración de una Evaluación de Impacto ala privacidad por un experto extranjero (Primera PIAque se elaboró en México)
El Pleno del IFAI emitió una serie de recomendacionesa ser tomadas en cuenta en la elaboración de dichaNOM
IFAI- Secretaría de Salud
Minimizar los riesgos que pudieranvulnerar la confidencialidad y seguridadde los datos personales
Observancia de los principiosinternacionales
Medidas de seguridad en lastransmisiones entre instituciones de salud
Posibilidad de ejercicio de los derechosARCO
Objetivo de las Recomendaciones ( 21 de octubre de 2009)
www.ifai.org.mx
http://www.infomex.org.mx/gobiernofederal/home.action
01800 TEL IFAI01800 835 4324
TEL. 50 04 24 00
¡Gracias!