Por: Andrea Pulgar, especialista en Nuevas Tecnologías y Protección de Datos Personales, abogada a cargo del Área del mismo nombre en GRAU Abogados.

Quiero compartir con ustedes un suceso que me pasó hace algunos días. Obviamente no identificaré a los involucrados para no herir susceptibilidades, pero dicho evento me hizo tomar conciencia de lo expuesta que puede estar nuestra información de salud. Así, hace algunas semanas en un chat grupal que comparto con otros profesionales de diferentes especialidades, un amigo y colega de grupo preguntó si alguien conocía a algún contacto en una prestigiosa clínica, pues necesitaba conseguir la copia de su historia clínica de una persona para poder cerrar un contrato con ella. Hubo algunos ofrecimientos de contactos que podían satisfacer el pedido de este colega de grupo.

Obviamente, una de las primeras en contestar fui yo, explicándole que la información de salud está protegida por la Ley de Protección de Datos Personales y que además se trata de información sensible que puede ser utilizada en perjuicio de la persona titular de dicha información. Que creía imposible que algún médico o personal administrativo accediera a dicho pedido. Para mi sorpresa me indicaron que no era la primera vez que este tipo de pedidos era atendido. Evidentemente faltaba educar tanto a las personas respecto de sus derechos, como a los profesionales de la salud respecto a sus obligaciones, estos últimos obviamente no son conscientes que podrían estar cometiendo un delito, subsistiendo su exposición a ser demandados por cualquier titular afectado para obtener un resarcimiento en caso se le hubiere causado algún daño.

En efecto, si hablamos de información de salud contenida en historias clínicas en papel, podría configurarse el delito de “tráfico ilegal de datos personales”[1] si hay de por medio un ánimo de lucro, o bien, si hablamos de información de salud contenida en historias clínicas electrónicas, podría configurarse el delito de “Uso indebido de archivos computarizados”[2]

Ahora bien, considero que hoy el Estado proporciona una medida legal para que la información de salud cuente con un alto estándar de protección que hoy no tiene, esto es la implementación en todos los establecimientos de salud del país de la historia clínica electrónica, con el estándar de seguridad exigido por la Ley 30024, Ley que crea el Registro Nacional de Historias Clínicas Electrónicas, y su reglamento aprobado por Decreto Supremo Nª 009-2017.

En efecto, las referidas normas establecen la obligación de todos los establecimientos de salud que cuentan con historias clínicas electrónicas de implementar y acreditar ante el Ministerio de Salud un Sistema de Gestión de Seguridad de la Información relativa a historias clínicas electrónicas, que cumpla con la NTP-ISO/IEC 27001:2014 sobre sistema de gestión de seguridad de la información, así como con la Ley 29733, Ley de Protección de Datos Personales y su Reglamento aprobado mediante Decreto Supremo Nª 003-2013-JUS.

Evidentemente que contar con historias clínicas electrónicas trae muchos más beneficios que únicamente la protección de la privacidad, pues permitirá a las personas ser mejor atendidas y a los médicos tratantes efectuar un mejor diagnóstico ya que el sistema está diseñado para que el Registro Nacional de Historias o RENHICE[3] esté soportado por la plataforma de interoperabilidad del Estado.

Ahora bien, en cuanto a la protección de la información de salud de las personas, para lograr dicho objetivo, el RENICE -entre otras obligaciones que conlleva -se rige por los siguientes principios:

  • Autonomía para la autorización de acceso (es el paciente el único legitimado para autorizar el acceso a la información de salud, salvo casos de emergencia grave y bajo responsabilidad del médico tratante).
  • Disponibilidad (el sistema debe garantizar el acceso fácil, gratuito y seguro de los usuarios legitimados del RENHICE).
  • Veracidad (la información accedida a través del RENHICE debe ser veraz).
  • Confidencialidad (como obligación de todos los usuarios del RENHICE).
  • Accesibilidad (garantía del paciente o usuario de salud de poder acceder a su información).
  • Seguridad (el RENHICE y los sistemas de información de historias clínicas electrónicas se deben enmarcar dentro de un sistema de gestión de la seguridad de la información, que garantice la confidencialidad y el derecho a la privacidad de los propietarios de la información clínica contenida en las historias clínicas electrónicas).
  • Finalidad de uso (la información de salud accesible a través del RENHICE debe respetar la finalidad autorizada por el paciente o usuario de salud).

Finalmente, es importante tener en cuenta que no basta con que los establecimientos de salud implementen la historia clínica electrónica para dar mayor seguridad a nuestra información de salud, sino que se debe cumplir con los requisitos establecidos por la Ley que crea el Registro Nacional de Historias Clínicas Electrónicas y su reglamento, y los responsables de ello son los establecimientos de salud.


Fuentes recomendadas:

[1] Artículo 154-A. Tráfico ilegal de datos personales.- El que ilegítimamente comercializa o vende información no pública relativa a cualquier ámbito de la esfera personal, familiar, patrimonial, laboral, financiera u otro de naturaleza análoga sobre una persona natural, será reprimido con pena privativa de libertad no menor de dos ni mayor de cinco años.

Si el agente comete el delito como integrante de una organización criminal, la pena se incrementa hasta en un tercio por encima del máximo legal previsto en el párrafo anterior.

[2] Artículo 157.- El que, indebidamente, organiza, proporciona o emplea cualquier archivo que tenga datos referentes a las convicciones políticas o religiosas y otros aspectos de la vida íntima de una o más personas, será reprimido con pena privativa de libertad no menor de uno ni mayor de cuatro años.

Si el agente es funcionario o servidor público y comete el delito en ejercicio del cargo, la pena será no menor de tres ni mayor de seis años e inhabilitación conforme al artículo 36, incisos 1, 2 y 4.

[3] Artículo 2.1 de la Ley 30024.-  Créase el Registro Nacional de Historias Clínicas Electrónicas como la infraestructura tecnológica especializada en salud que mantiene la información de la historia clínica electrónica de respaldo y permite al paciente, o a su representante legal y a los profesionales de la salud que son previamente autorizados por aquellos, el acceso a la información clínica contenida en las historias clínicas electrónicas, así como a la información clínica básica y a la información clínica resumida contenida en el mismo, dentro de los términos estrictamente necesarios para garantizar la calidad de la atención en los establecimientos de salud y en los servicios médicos de apoyo públicos, privados o mixtos, en el ámbito de la Ley 26842, Ley General de Salud.

No hay comentarios

Dejar respuesta