MINSA emite Directiva sobre el tratamiento de datos personales en el sector salud

¿Cuál es el alcance del tratamiento de los datos personales que se generen en las atenciones médicas? ¿Hay “flexibilidad” a propósito de la pandemia? ¿Tendríamos que esperar alguna limitación a la protección de nuestra privacidad en el ámbito sanitario? Todas estas preguntas serán respondidas por la Directiva Administrativa emitida por el MINSA que trataremos a continuación.

Dicha Directiva es la No. 294-MINSA/2020/OGTI, que, como adelantamos, establece el tratamiento de datos personales relacionados a la salud. Dicha Directiva contó con la opinión previa favorable de la Autoridad Nacional de Protección de Datos Personales.

El mencionado documento realiza una clasificación importante sobre los datos que tratará el sector salud:

Datos Personales en Salud (DPS): los generados en todo acto médico, relacionados con la situación de salud de un individuo que lo identifica o lo hace identificable. Por su evidente naturaleza, se trata de datos sensibles. Su tratamiento, de acuerdo a la ley de protección de datos personales (artículo 13.6) y esta directiva, requiere consentimiento por escrito, salvo que opere algunas de las causales de excepción de solicitud de consentimiento (artículo 14), como es, precisamente, razones de interés público, salud pública o “para la realización de estudios epidemiológicos en tanto se apliquen procedimientos de disociación adecuados” (artículo 14.6).

Información en Salud (IS): se trata de datos estadísticos, es decir, conjunto de DPS que han pasado por el procedimiento de anonimización o disociación (procedimientos que impiden la identificación del individuo, el primero de manera irreversible, y el segundo, de manera reversible). Esta, IS es de interés y dominio público susceptible de ser publicada. Su publicación puede estar desagregada en criterios de edad, sexo, residencia, diagnóstico, tratamiento, entre otros, pero, de ninguna manera, puede identificar a las personas que originaron esta valiosa información.

Algunas consideraciones a destacar:

  1. No está permitido la construcción de listados nominales que incluyan DPS, éstas solo estarán disponibles en los establecimientos de salud donde se originaron los DPS, bajo el debido resguardo.
  2. Es competencia del MINSA, regular y garantizar la inviolabilidad de los DPS respecto del acceso que pueden tener otras entidades (Autoridad Nacional de Salud, Autoridad Regional de Salud, Instituciones Prestadoras de Servicios de Salud, entre otros) a ellos.
  3. El personal asistencial y/o administrativo que tenga contacto con los DPS por razón de sus labores, es responsable de su buen uso, así como de su reserva y de mantener privada dicha información. De igual forma, el área directiva y gerencial de dichos establecimientos médicos es responsable de disponer las herramientas para la garantía de la protección de los DPS. En este sentido, deben contar con las medidas técnicas, organizativas y legales de seguridad de la información necesarias para asegurar la protección de los DPS.
  4. El almacenamiento de los DPS se sujeta a lo dispuesto por la Norma Técnica de Salud de Gestión de la Historia Clínica.
  5. Los usuarios de los activos de información del Ministerio de Salud (es decir, de la información que contenga DPS) deberán implementar medidas de seguridad de la información, tales como: (i) procesos de alta y baja de usuarios, (ii) asignación y uso de acceso privilegiado debe ser restringido y controlado, entre otros.
  6. Los usuarios de los activos de información se comprometen a: (i) no revelar o facilitar bajo ninguna forma, a ninguna persona natural o jurídica, y no utilizar, para beneficio propio o de tercero la información a la que tiene acceso a razón de sus labores; (ii) guardar el debido cuidado y razonabilidad para la administración y suministro de información confidencial; (iii) considerar que el tratamiento de los DPS debe obedecer exclusivamente al cumplimiento de las funciones que le corresponden (se proscribe el uso extensivo) (iv) suscribir el acuerdo de confidencialidad ya sea por su relación laboral o de prestación de servicios con el establecimiento de salud.
  7. Los DPS que se generen durante situaciones de pandemia o emergencias sanitarias deberán ser objeto del mismo tratamiento que cualquier DPS generado en condiciones “normales”. En caso, a consecuencia del contexto de emergencia, se producen documentos transitorios (cuyo contenido recoge DPS), deberán ser objeto de medidas de seguridad que garanticen la privacidad, seguridad, e inviolabilidad de la información que contienen. En ningún caso, el personal asistencial o administrativo podrá divulgar los DPS a los que tenga acceso, bajo responsabilidad.

Con lo cual, para responder la interrogante que planteamos al principio referida a los datos personales de carácter sanitario que se han generado (y continúan haciéndolo) en el marco de esta situación de pandemia, en realidad, no existe tal “flexibilización” en la protección de estos datos, puesto que, se señala que deben recibir el mismo tratamiento que cualquier otro DPS. Sin embargo, reconocen la posibilidad de la creación de “documentación transitoria”, es decir, documentación que no guarda el esquema de recopilación y almacenamiento previamente fijado por el establecimiento de salud, respecto del cual, de igual forma debe garantizarse su privacidad, seguridad e inviolabilidad.

- Aviso Publicitario-
Marilú Lazo
Abogada por la Pontificia Universidad Católica del Perú (PUCP). Cuenta con experiencia en asesoría corporativa, así como en materia de protección de datos personales y nuevas tecnologías.

Similares

1,919FansMe gusta
443SeguidoresSeguir
77SeguidoresSeguir

Suscríbete

*Todos los campos son requeridos
es Spanish
X