LA
PROTECCIÓN DE LOS DATOS PERSONALES
Se
encuentra realmente protegida en instituciones de salud
El
tema actualmente no se encuentra regulado con exactitud, existen lagunas que no
permiten realizar a los particulares la protección jurídica de sus datos
personales que se encuentran en posesión de entidades públicas o particulares
en materia de salud. Entre los temas que hoy nos ocupa sería las diferencias
entre el derecho a la intimidad y el derecho a la privacidad, los derechos de
Acceso, Rectificación, Corrección y Oposición (ARCO), la clasificación de la
información: pública, confidencial y reservada.
Comenzaremos
este breve análisis por definir qué son la intimidad y privacidad, para lo cual
nos avocamos a lo que expresa la Real Academia de la Lengua Española (RAE) al
definir la palabra intimidad como “1. f. Amistad íntima. 2. f. Zona espiritual
íntima y reservada de una persona o de un grupo, especialmente de una familia.”[1] De lo antes citado, se
puede desprender que aún nos deja con grandes interrogantes para escudriñar el
concepto, por tal motivo hemos de pasar a lo que se cita en la Enciclopedia
Jurídica Omeba: “Parte personalísima y reservada de una cosa o persona. Su revelación
puede originar responsabilidad cuando causa perjuicio y haya dolo grave
imprudencia, pero si se trata de actividad preliminar del delito, entonces la
denuncia resulta a veces deber.(sic)”[2]. Para lo cual, se puede
deducir que es un derecho personalísimo que es de carácter privado y no
público.
Ahora
avoquémonos al término privacidad, misma que la RAE ha definido como “1. f.
Ámbito de la vida privada que se tiene derecho a proteger de cualquier
intromisión.” Este supuesto lo podemos relacionar con lo insertado en la
segunda parte de la parte de la cita de la enciclopedia jurídica Omeba, con
relación a la intimidad.
Es
así que el ciudadano se encuentra ante un gran dilema que si su información al
ser recopilada por una institución de salud de carácter público se encuentre en
un inminente peligro de ser revelada por negligencia o imprudencia de algún
servidor público a terceros que pueden hacer mal uso de la misma, creando con
ello una violación directa a los derechos humanos del ciudadano, de seguridad y
certeza jurídica por parte de las entidades en materia de salud que tienen a su
cargo información privilegiada de los pacientes.
En
la vigente Ley Federal de Transparencia y Acceso a la Información Pública
Gubernamental, en su artículo 3, define datos personales como: Para efectos de
esta Ley se entenderá como (…) II. Datos
personales: Cualquier información concerniente a una persona física
identificada o identificable; (…)[3].
Para
el cual y como su nombre lo expresa, la información
de la persona física identificada o identificable, es aquella que se
encuentra en la base datos de identificación de las entidades gubernamentales
que solicitan a los ciudadanos para realizar ante dicha institución un trámite
o cobro de impuestos; en nuestro tema
sería la recopilación de datos personales (confidenciales) por parte de la
institución que brinda los servicios de atención médica a los derechohabientes
(pacientes) afiliados a los diversos sistemas de seguridad social vigentes en
nuestro país (IMSS, ISSSTE, PEMEX, Universidades, entre otros) y que
exclusivamente se pueden revelar al titular que le son inherentes por tratarse
de un derecho personalísimo y de confidencialidad.
De
lo antes citado, es donde se abre el abanico de incertidumbre, al ser
exclusivamente titular de sus datos personales el que los proporciona y no un
tercero, pero en casos de extrema urgencia ¿Se deben revelar a los familiares
directos, indirectos o terceros que cuenten con la debida acreditación ante
dichos organismos de salud la información del paciente? En la actualidad la
violación a los datos privados se pone en tela de duda, situando a las
instituciones que resguardan dicha información en severos conflictos
profesionales, al ser precisa la norma al establecer que la información de los
pacientes debe ser resguardada ante los sistemas idóneos de seguridad de los
organismos. Actualmente se han presentado casos en los cuales esa información,
llámese expediente clínico, transciende al exterior de las clínicas u
hospitales, teniendo como destino final personas ajenas a la información (terceros),
misma que la utilizan para cometer atropellos políticos o en su caso para
cometer delitos, ¿qué no se supone que es confidencial y reservada? Tal y como
se desprende de la fracción V de la Ley Federal de Transparencia, al indicar lo
siguiente: “Información: La contenida en los documentos que los sujetos
obligados generen, obtengan, adquieran, transformen o conserven por cualquier
título; (…)
Siguiendo
el orden de ideas, el titular de la información puede realizar vía
administrativa o jurisdiccional (vía procedimiento legal) el ejercicio de los
derechos denominados ARCO con la finalidad de realizar ante las instituciones
públicas a su elección el Acceso, Rectificación, Corrección y Oposición de sus
datos personales o en su caso, contra la pérdida, alteración, robo o
modificación de la misma; ejemplo de ello, lo podemos visualizar en la
información incorrecta en un expediente clínico, ya sea que el nombre, el
domicilio, el número de afiliado, la clínica, entre otros datos, se hayan
capturado erróneamente, y ante dicho panorama es que puede afectarle al derechohabiente
creándole un perjuicio o daño irreparable que aqueja su esfera jurídica,
social, económica y cultural. Atendamos como error clínico imperdonable los
múltiples sucesos que se emiten en los organismos de salud al llenarse
inapropiadamente los kárdex clínicos y que trae como acto seguido que el
paciente sea intervenido equivocadamente de una enfermedad o padecimiento distinto
del que realmente presentaba.
Así
mismo, el tratamiento de los derechos ARCO puede ser traslativos para su manejo
a terceros, exclusivamente para lo que corresponde y ante las autoridades competentes,
es nulo de todo derecho el mal uso que pudiera ocasionar un tercero con dicho
mandamiento. Ejemplo de ello, lo podemos observar en la corrección de nombre
ante la propia Dirección General del Registro Civil de los estados, el
mandamiento se otorga a un tercero, gestor o profesionista del derecho, para
que en su representación realice el trámite administrativo que sea pertinente
para la corrección en el nombre; habría que especificar que para que un tercero
realice el trámite de corrección de nombre se debe atender a lo siguiente, que
el titular del derecho de los datos le extienda una carta poder simple firmada
ante dos testigos y que el error de nombre sea de carácter mecanográfico, ya la
Corte se ha pronunciado al respecto y expresa que el error mecanográfico es
“una letra o un número”. Para el caso de acudir ante los tribunales a realizar
un juicio de jurisdicción voluntaria tratándose de corrección de nombre, como
bien se expresa corrección de nombre se refiere a más de dos letras o números,
se debe acudir de forma personal o mediante la representación del profesionista
en derecho para su tramitación. Véase que el gestor no tiene personalidad ante
la instancia jurisdiccional.
Siguiendo
el contexto, se permite citar lo que para la Ley Federal de Transparencia y
Acceso a la Información Pública Gubernamental manifiesta con relación a la
información pública, privada y reservada, y que a continuación se esboza:
Información pública:
es toda aquella información que se encuentra en posesión de los entes de la
Administración Pública y que los particulares pueden acceder a ella mediante
los portales de transparencia de los sujetos obligados o previa solicitud de
información pública en la entidad correspondiente.
Información privada:
es toda aquella información que le es inherente a los particulares y que será
tratada con sigilo por las entidades públicas o por los particulares que se
encuentren obligados por la ley.
Información reservada: comprende
aquella que se encuentra temporalmente sujeta de excepciones por la Ley.
Las
excepciones se encuentran enumeradas en los artículos 13 y 14 de la misma Ley
en comento y que al tenor enuncian:
Artículo
13. Como información reservada podrá clasificarse aquélla cuya difusión pueda:
I.
Comprometer la seguridad nacional, la seguridad pública o la defensa nacional;
II.
Menoscabar la conducción de las negociaciones o bien, de las relaciones
internacionales, incluida aquella información que otros estados u organismos
internacionales entreguen con carácter de confidencial al Estado Mexicano;
III.
Dañar la estabilidad financiera, económica o monetaria del país;
IV.
Poner en riesgo la vida, la seguridad o la salud de cualquier persona, o
V.
Causar un serio perjuicio a las actividades de verificación del cumplimiento de
las leyes, prevención o persecución de los delitos, la impartición de la
justicia, la recaudación de las contribuciones, las operaciones de control
migratorio, las estrategias procesales en procesos judiciales o administrativos
mientras las resoluciones no causen estado.
Artículo
14. También se considerará como información reservada:
I.
La que por disposición expresa de una Ley sea considerada confidencial,
reservada, comercial reservada o gubernamental confidencial;
II.
Los secretos comercial, industrial, fiscal, bancario, fiduciario u otro
considerado como tal por una disposición legal;
III.
Las averiguaciones previas;
IV.
Los expedientes judiciales o de los procedimientos administrativos seguidos en
forma de juicio en tanto no hayan causado estado;
V.
Los procedimientos de responsabilidad de los servidores públicos, en tanto no
se haya dictado la resolución administrativa o la jurisdiccional definitiva, o
VI.
La que contenga las opiniones, recomendaciones o puntos de vista que formen
parte del proceso deliberativo de los servidores públicos, hasta en tanto no
sea adoptada la decisión definitiva, la cual deberá estar documentada.
Cuando
concluya el periodo de reserva o las causas que hayan dado origen a la reserva
de la información a que se refieren las fracciones III y IV de este Artículo,
dicha información podrá ser pública, protegiendo la información confidencial
que en ella se contenga.
No
podrá invocarse el carácter de reservado cuando se trate de la investigación de
violaciones graves de derechos fundamentales o delitos de lesa humanidad.
La
información clasificada por la autoridad de la materia como reservada solo
podrá contar con dicho carácter 12-años o reducir el plazo cuando por causas
suficientes para considerar que su reserva no cuente con las causas que le
dieron origen. Conforme al artículo 61 de la ley, expresa los motivos por el
cual los sujetos obligados pueden solicitar al Instituto Nacional de Transparencia
y Protección de Datos Personales (INAI) la ampliación del plazo para la reserva
de la información.
En
el Portal de INAI, dentro del rubro indicado como “Protección de Datos
Personales”, se encuentra establecido un apartado de preguntas y respuestas de
las cuales solo tomaremos literalmente las siguientes:
¿Qué
tipo de datos personales hay?
Existen
diferentes categorías de datos, por ejemplo, de identificación (nombre,
domicilio, teléfono, correo electrónico, firma, RFC, CURP, fecha de nacimiento,
edad, nacionalidad, estado civil, etc.); laborales (puesto, domicilio, correo
electrónico y teléfono del trabajo); patrimoniales (información fiscal,
historial crediticio, cuentas bancarias, ingresos y egresos, etc.); académicos
(trayectoria educativa, título, número de cédula, certificados, etc.);
ideológicos (creencias religiosas, afiliación política y/o sindical,
pertenencia a organizaciones de la sociedad civil y/o asociaciones religiosas;
de salud (estado de salud, historial clínico, enfermedades, información
relacionada con cuestiones de carácter psicológico y/o psiquiátrico, etc.);
características personales (tipo de sangre, ADN, huella digital, etc.);
características físicas (color de piel, iris y cabellos, señales particulares,
etc.); vida y hábitos sexuales, origen (étnico y racial.); entre otros.
¿Cuáles
son los datos personales sensibles?
Son
los datos que, de divulgarse de manera indebida, afectarían la esfera más
íntima del ser humano. Ejemplos de este tipo de datos son: el origen racial o
étnico, el estado de salud, la información genética, las creencias religiosas,
filosóficas y morales, la afiliación sindical, las opiniones políticas y las
preferencias sexuales. Estos datos requieren mayor protección y la Ley
establece un tratamiento especial.[4]
Ergo,
podemos concluir en primer lugar, que los datos de la privacidad son
personalísimos, que es igual a íntimos; segundo, solo pueden acceder a ellos si
obra una autorización expresa del titular, mediante las formas y requisitos que
exige la ley; tercero, los entes públicos o aquellas personas que traten con
datos personales deberán protegerlos y resguardarlos en sus bases de datos
siendo responsables de la mala utilización de los datos personales del
usuario-paciente-derechohabiente por parte de los entes públicos, los
particulares (señalados en la Ley Federal de Protección de Datos Personales en
Posesión de los Particulares) o terceros.
Pero
seguimos en la interrogante, ¿hasta dónde se encuentra el alcance para el
acceso o protección de los datos personales en materia de salud?, si atendiendo
al principio de responsabilidad, el cual expresa que las instituciones públicas
deben de implementar todas y cada una de las medidas que consideren pertinentes
para asegurar en lo administrativo, soporte tecnológico[5], en lo físico y técnico la
información que se encuentra bajo su resguardo, velando por la integridad,
confidencialidad y disponibilidad de los datos personales de los
ciudadanos-usuarios-derechohabientes, dentro y fuera del país.
Pero
como bien lo hemos analizado en líneas anteriores, ¿cuál será la sanción para
el servidor público que no cumpla con la protección de datos personales que la
Ley dicta?, ¿se puede sancionar al ente público por la inobservancia de la
norma en materia de protección de datos personales? Para precisar en las
interrogantes, el artículo 21 de la Ley en comento expresa lo siguiente:
Artículo
21. Los sujetos obligados no podrán difundir, distribuir o comercializar los
datos personales contenidos en los sistemas de información, desarrollados en el
ejercicio de sus funciones, salvo que haya mediado el consentimiento expreso,
por escrito o por un medio de autenticación similar, de los individuos a que
haga referencia la información.
Para
la primera interrogante, nos podemos apoyar en lo que se estipula en los
artículos 63 y 64 de la Ley Federal de Transparencia, citada en obvio de
repeticiones, misma que establece los requisitos para que el servidor público
que obre de mala fe, negligencia o no cumpla con lo dictado en la norma en
cuanto refiere al acceso de la información y la protección de los datos
personales, será sancionado administrativamente conforme a lo que establece en la Ley Federal de Responsabilidades
Administrativas de los Servidores Públicos, en caso de reincidencia por parte
del servidor, la conducta será considerada como grave para los efectos administrativos,
de igual forma se establece que con independencia de las sanciones
administrativas a que se haga acreedor el o los servidor(es) público(s), se
pueden derivar acciones en materia civil y penal.
Para
la segunda interrogante, se tendrá la urgente necesidad de regular los
alcances, efectos y consecuencias de un indebido actuar por parte de las
instituciones públicas, que como bien lo marca la teoría, son ficciones
jurídicas representadas por una persona, pero que al final del camino esa
ficción ha generado un clima de incertidumbre en materia de salud y de sus
derechohabientes en materia de protección de datos personales, acarreando
consecuencias de derecho en su persona, familia o patrimonio.
Espero
que estas breves líneas sean de su interés. Quedo a sus apreciables atenciones.
Jesús
Arturo Vallejo Mauricio
[1]
REAL ACADEMIA ESPAÑOLA.
Diccionario de la lengua española. Versión electrónica.
[2] ENCICLOPEDIA JURÍDICA OMEBA. Enciclopedia
online.
[3] LEY FEDERAL DE TRANSPARENCIA Y
ACCESO A LA INFORMACIÓN PÚBLICA GUBERNAMENTAL. Versión electrónica. http://www.diputados.gob.mx/LeyesBiblio/pdf/244_140714.pdf
[4] Instituto Nacional de
Transparencia y Protección de Datos Personales (INAI). Portal electrónico. http://inicio.inai.org.mx/SitePages/Como-ejercer-tu-derecho-a-proteccion-de-datos.aspx?a=m5
[5] Idem.