Dra. Isabel Davara Fdez. de MarcosSEMINARIO: Protección De Datos Personales En Materia De Salud

CONAMED11 de Noviembre de 2008

Tratamiento de datos personales relativos a la salud

2

ALGUNAS PRECISIONES INICIALES

Confusión terminológica: los datos no necesitan protección, sino sus titulares

Datos vs información

Derecho a la autodeterminación informatiCa

Potencial agresividad tecnología en tratamiento de información personal

3

SOBRE EL CONCEPTO DE DATO DE SALUD

Recomendación R (97) 5 del Comité de Ministros a los Estados  miembros 

relativa 

a 

la 

protección 

de 

datos 

médicos, 

aunque 

respecto de datos médicos:"la expresión datos médicos hace referencia a todos los datos de

carácter personal relativos a la salud de una persona. Afecta igualmente a los datos manifiesta y estrechamente relacionados con

la salud, así como con las informaciones genéticas”

Apartado 45 de la Memoria Explicativa del Convenio 108 del Consejo de Europa: considera que la expresión "datos de carácter personal relativos a la salud" abarca "las informaciones concernientes a la salud pasada, presente y futura, física o mental, de un individuo"

4

ESTRUCTURA DE LA NORMATIVA

PRINCIPIOS

DERECHOS

PROCEDIMIENTO/S

5

PRINCIPIOS INTERNACIONALES

CalidadInformación en la recogida de datos

ConsentimientoDatos especialmente protegidos

Datos de saludSeguridad

Deber de secretoComunicación/cesión

Prestación de servicios/acceso por terceros

6

DERECHOS DE LAS PERSONAS

ACCESO

MODIFICACIÓN Y SUPRESIÓN

OPOSICIÓN

OTROS: CONSULTA, INDEMNIZACIÓN...

7

SALUD

“Libertad o bien público o particular de cada uno”

Diccionario de la Lengua Española, Vigésima segunda edición. Real Academia Española.

8

OTRAS DEFINICIONES

Datos personales: La información concerniente a una persona física, identificada o identificable, entre otra, la relativa a su origen étnico o racial, o que esté referida a las características físicas, morales o emocionales, a su vida afectiva y familiar, domicilio, número telefónico, patrimonio, ideología y opiniones políticas, creencias o convicciones religiosas o filosóficas, los estados de salud físicos o mentales, las preferencias sexuales, u otras análogas que afecten su intimidad (art. 3, fracción II, de la LFTAIPG).

Paciente: beneficiario directo de la atención médica (Apartado 4.7 de la NOM- 168-SSA1-1998).

Usuario: toda aquella persona, paciente o no, que requiera y obtenga la prestación de servicios de atención médica (Apartado 4.11 de la NOM-168- SSA1-1998).

(Más definiciones en http://www.davara.com.mx/glosario.php)

9

OTRAS DEFINICIONES

Datos médicos: todos los datos personales relativos a la salud de un individuo. También los datos personales que tengan una clara y estrecha relación con la salud y los datos genéticos (Recomendación (97) 5 del Consejo de Europa).

Datos genéticos: todos los datos, cualquiera que sea su clase, relativos a las características herediatarias de un individuo o al patrón hereditario de tales características dentro de un grupo de individuos emparentados.

También se refieren a todos los datos sobre cualquier información genética que el individuo porte (genes) o la línea genética reltiva a la salud o la enfermedad, presente o con características identificables o no.

La línea genética es la línea constituida por similaridades genéticas que resultan de la procreació y son compartidas por dos o más individuos (Recomendación (97) 5 del Consejo de Europa).

10

OTRAS DEFINICIONES Expediente clínico: conjunto de documentos escritos, gráficos e imagenológicos o de cualquier otra índole, en los cuales el personal de salud, deberá hacer los registros, anotaciones y certificaciones correspondientes a su intervención, con arreglo a las disposiciones sanitarias (Apartado 4.4 de la NOM-168-SSA1-1998).

Resumen clínico: documento elaborado por un médico, en el cual se registrarán los aspectos relevantes de la atención médica de un paciente, contenidos en el expediente clínico. Deberá tener como mínimo: padecimiento actual, diagnósticos, tratamientos, evolución, pronóstico, estudios de laboratorio y gabinete (Apartado 4.9 de la NOM-168-SSA1-1998).

Expediente clínico elecrónico: un historial médico completo o una documentación similar del estado de salud física y mental pasado y presente de un individuo, en formato electrónico, que permita acceder fácilmente a estos datos a efectos de tratamientos médicos y otros fines estrechamente relacionados (Documento de trabajo sobre el tratamiento de datos personales relativos a la salud en los hitsoriales médicos electrónico (WP 131), adoptado el 15 de febrero de 2007 y disponible en la dirección de Internet:http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2007/wp131_es.pdf)

11

NORMATIVA BÁSICA FEDERAL

Artículo 6º reformado Constitución Política de los Estados Mexicanos

Propuestas reforma art. 16 y 73 Constitución Política de los Estados Mexicanos

Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (DOF 11/6/02)

Reglamento de la Ley Federal de Transparencia y Acceso a la Información Pública Gubernamental (DOF 10/6/03)

Lineamientos de Protección de Datos Personales (DOF de 30/9/05)

Lineamientos que deberán observar las dependencias y entidades de la Administración Pública Federal para notificar al Instituto el listado de sus sistemas de datos personales (DOF 20/8/03)

Lineamientos que deberán observar las dependencias y entidades de la Administración Pública Federal en la recepción, procesamiento, trámite, resolución y notificación de las solicitudes de acceso a datos personales que formulen los particulares, con exclusión de las solicitudes de corrección de dichos datos (DOF 25/8/05)

Lineamientos que deberán observar las dependencias y entidades de la Administración Pública Federal, en la recepción, procesamiento, trámite, resolución y notificación de las solicitudes de corrección

Norma Oficial Mexicana NOM-168-SSA1-1998, del Expediente Clínico (http://www.salud.gob.mx/unidades/cdi/nom/168ssa18.html).

12

OBJETO DE LA LAI

PRECISIÓN INICIAL: LAI no es una norma legal cuyo objeto sea la regulación de esta materia, sino que la referencia a la protección de datos surge como consecuencia de permitir el acceso a la información pública que maneja la Administración Pública Federa (APF).

Artículo 1:

“garantizar el acceso de toda persona a la información en posesión de los Poderes de la Unión, los órganos constitucionales autónomos o con autonomía legal, y cualquier otra entidad federal”.

13

FUNDAMENTACIÓN CONSTITUCIONAL (LAI)

Constitución Política de los Estados Unidos Mexicanos

Derecho de acceso a la información: artículo 6 desarrollado por la LAI.

Derecho a la privacidad: REFORMADO art. 6 No hay una Ley específica a nivel federal que regule la protecciónde datos de carácter personal.

14

LOS LINEAMIENTOS DE PDP

“en nuestro país, fue voluntad del legislador plasmar en la Constitución Política de los Estados Unidos Mexicanos el derecho a la vida privada también denominada por la doctrina intimidad, como límite a la intromisión del Estado en el ámbito de la persona, al plasmar en su artículo 16 que: “nadie puede ser molestado en su persona, familia, domicilio, papeles o posesiones, sino en virtud de mandamiento escrito de la autoridad competente, que funde y motive la causa legal del procedimiento”, por lo que el derecho a la intimidad tiene dos facetas principales: una que tutela la inviolabilidad del hogar, de las comunicaciones y de las relaciones familiares, y otra que consagra el derecho del individuo a desarrollarse libremente como tal”.

15

LOS LINEAMIENTOS DE PDP“(…)una mala utilización de las herramientas tecnológicas puede convertirse en un factor de amenaza a la privacidad y seguridad de las personas al permitir que se generen formas de exclusión o condiciones de incertidumbre y riesgo, ya que las nuevas tecnologías facilitan ilimitadas posibilidades para mover un gran volumen de información y de interrelacionarla, de manera que se constituyen perfiles que pueden limitar la libertad o condicionar el modo de actuar de las personas;

Reconociendo que como consecuencia de lo anterior, y a efecto de lograr un uso racional y ético de las tecnologías, en el concierto de las naciones se ha legislado en materia de protección de datos personales, por lo cual los individuos gozan de un nuevo derecho denominado a la autodeterminación informativa, como garantía del ciudadano en las modernas sociedades frente al desafío del tratamiento electrónico de sus datos, entendida la garantía como la facultad del individuo de decidir quién, cuándo y bajo qué circunstancias utiliza sus datos personales, tanto en el sector público como en el privado”

16

PRINCIPIOS EN LOS LINEAMIENTOS

Licitud Calidad

acceso y correcciónInformaciónSeguridadCustodia

consentimiento para su transmisión

17

NORMATIVA ESTATAL

COLIMA: Decreto Nº 356 se aprueba Ley de Protección de Datos Personales del Estado de Colima (LPD Colima), publicada en el Suplemento nº 1 del Periódico Oficial “El Estado de Colima” nº 27, 21 de junio de 2003.

GUANAJUATO: Decreto nº 266 por el que se aprueba la Ley de Protección de datos personales para el Estado y los municipios de Guanajuato , publicada en el Periódico Oficial número 80, segunda parte de 19 de mayo de 2006.

JALISCO: reforma de 18/09/04 a su Código Civil, insertando el Capítulo III “De la información privada”

TLAXCALA: su ley de transparencia se aplica también al Sector Privado

18

SIGNIFICADO DE LA NORMATIVA

La protección de datos es una materia fundamental dentro del entorno de las consecuencias jurídicas del uso de las tecnologías de la información y las comunicaciones. En países de tradición legislativa debe añadirse al espectro regulatorio, estando éste incompleto sin contar con una normativa de este tipo. La protección de datos es un derecho fundamental internacionalmente reconocido. El individuo tiene derecho a decidir cuándo, cómo y quién va a tratar su información personal. En América Latina queda mucho trabajo por hacer en relación con la privacidad, pues la mayor parte de los países no tienen una regulación en la materia. Debe tenerse en cuenta, a este respecto, los principios y derechos que conforman la estructura de dichas leyes, procurando encontrar un equilibrio entre la protección individual y el desarrollo empresarial y comercial.

La existencia de un órgano de control deviene imprescindible, quedando su estructura y composición, así como su funcionamiento y facultades, necesitadas de concreción y ajuste al entorno socio cultural en concreto, siempre manteniéndose unos mínimos requisitos.

19

NORMATIVA BÁSICA INTERNACIONAL

• Consejo de Europa (Convenios):

o Convenio Nº 108 del Consejo de Europa, de 28 de enero de 1981, para la Protección de las Personas con respecto al tratamiento automatizado de datos de carácter personal (https://www.agpd.es/portalweb/canaldocumentacion/legislacion/consejo_e uropa/convenios/common/pdfs/B.28-cp--CONVENIO-N-1o--108-DEL- CONSEJO-DE-EUROPA.pdf).

o Convenio para la protección de los Derechos Humanos y la dignidad del ser humano con respecto a las aplicaciones de la Biología y la Medicina, Oviedo, 4 de abril de 1997. (“Convenio sobre los Derechos Humanos y la Biomedicina” o “Convenio de Oviedo”). (https://www.agpd.es/portalweb/canaldocumentacion/legislacion/consejo_e uropa/convenios/common/pdfs/B.33-cp--CONVENIO-SOBRE-BIO-EE- TICA-DE-OVIEDO.pdf).

20

NORMATIVA BÁSICA INTERNACIONAL

• Consejo de Europa (Recomendaciones):

o Recomendación R (97) 5 del Comité de Ministros a los Estados miembros relativa a la protección de datos médico s (http://www.coe.int/t/e/legal_affairs/legal_co%2Doperation/data_protection/ documents/international_legal_instruments/Rec(97)5_EN.pdf).o Recomendación R (89) 4 del Comité de Ministros a los Estados miembros sobre la recogida de datos epidemiológicos relativos a la atención sanitaria de carácter primario.oRecomendación R (81) 1 del Comité de Ministros a los Estados miembros relativa a la reglamentación aplicable a los bancos de datos médicos automatizados.o Recommendation No.R(2002) 9 on the protection of personal data collected and processed for insurance purposes (18 September 2002) and Explanatory Memorandum (http://www.coe.int/t/e/legal_affairs/legal_co%2Doperation/data_protection/ documents/international_legal_instruments/Rec(2002)9_EN.pdf).

21

NORMATIVA BÁSICA INTERNACIONAL

• Consejo de Europa (Recomendaciones):

o Otras Recomendaciones a considerar:

Recomendación (83) 10 – datos utilizados con fines científicos y estadísticos.

Recomendación (85) 20 – datos utilizados con fines de marketing directo.

Recomendación (86) 1 – datos utilizados con fines de Seguridad Social.

Recomendación (87) 15 – datos utilizados con fines policiales.

Recomendación (89) 2 – datos utilizados con fines de empleo.

22

NORMATIVA BÁSICA INTERNACIONAL

• Unión Europa:

o Directiva 95/46/CE del Parlamento Europeo y del Consejo, de 24 de octubre, relativa a la protección de las personas físicas en lo que respecta al tratamiento de datos personales y a la libre circulación de estos datos (D.O. L núm. 281, de 23 de noviembre) (http://www.davara.com.mx/upload/documents/212/D9546CE.pdf).

o Documento de trabajo sobre el tratamiento de datos personales relativos a la salud en los historiales médicos electrónicos (HME), adoptado el 15 de febrero de 2007, WP 131. Grupo de Trabajo sobre protección de datos del artículo 29 (http://ec.europa.eu/justice_home/fsj/privacy/docs/wpdocs/2007/wp131_es .pdf).

23

NORMATIVA BÁSICA INTERNACIONAL

• España:

o Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (B.O.E. núm. 298, de 14 de diciembre) (http://www.davara.com.mx/upload/documents/217/LOPD.pdf).

o Real Decreto 1720/2007, de 21 de diciembre, por el que se aprueba el Reglamento de desarrollo de la Ley Orgánica 15/1999, de 13 de diciembre, de Protección de Datos de Carácter Personal (B.O.E. núm. 17, de 19 de enero de 2008) (http://www.davara.com.mx/upload/documents/362/RD172007.pdf).

o Ley 41/2002, de 14 de noviembre, básica reguladora de la autonomía del paciente y de derechos y obligaciones en materia de información y documentación clínica (B.O.E. núm. 274, de 15 de noviembre) (http://www.boe.es/boe/dias/2002/11/15/pdfs/A40126-40132.pdf).

24

NORMATIVA BÁSICA INTERNACIONAL

• Estados Unidos de América (federal):

o The Privacy Act of 1974 (http://www.usdoj.gov/oip/privstat.htm).

o Health Insurance Portability and Accountability Act of 1996 (“HIPAA”), 21 de agosto de 1996 (http://www.hhs.gov/ocr/AdminSimpRegText.pdf).

o Standards for Privacy of Individually Identifiable Health Information; Final Rule (http://www.hhs.gov/ocr/hipaa/privrulepd.pdf).

• Canadá (federal):

o Privacy Act (http://www.privcom.gc.ca/legislation/02_07_01_01_e.asp).

o Personal Information Protection and Electronic Documents Act (PIPEDA).

25

¿CONFLICTO ENTRE DERECHOS?

• Derecho a la protección de datos.

vs.

• Derecho a la información sobre salud.

•Necesidad de encontrar el equilibro entre ambos derechos.

26

SITUACIÓN ACTUAL

• Avance de las TIC y aplicación en el ámbito de la salud.

• Coste el Servicio Nacional de Salud.

• Acceso de un mayor número de partes a datos personales de salud (médicos, otro personal de la salud, aseguradoras, empleados, laboratorios y grupos farmacéuticos, etc.).

• En definitiva, nuevos retos para la protección de datos relativos a la salud.

27

SUJETOS

• Paciente, ciudadano, afectado, interesado o titular de los datos.

• Profesionales de la medicina (facultativos y profesionales sanitarios, hospitales y centros de salud públicos y privados, farmacias, laboratorios, bancos de sangre y de transplante de órganos, etc.).

•Otros sujetos (entidades aseguradoras, etc.).

28

AUTONOMÍA DEL PACIENTE

• Dignidad de la persona.

• Autonomía de la voluntad.

• Derecho a ser informado:

o Paciente.

o Otras personas (familiares; terceros, por ejemplo, los votantes en relación con la salud de los candidatos presidenciales; situaciones de salud pública).

• Relación médico-paciente (juramento hipocrático).

29

DATOS DE SALUD

• Datos de minusvalía, datos de incapacidad laboral, información sobre accidentes laborales o enfermedades, resultados de análisis clínicos, etc.

• Datos relativos al consumo de tabaco, alcohol, drogas, dopaje, etc.

• Datos relativos a la salud física y psicológica.

• Datos genéticos (salud pasada, presente y futura).

30

LOS DATOS DE SALUD COMO …

• Datos sensibles o especialmente protegidos.

• Datos que inciden en la dignidad de la persona ya que afectan a su privacidad.

• Datos en soporte papel y electrónico (expediente clínico, receta o prescripción, otros documentos sanitarios).

31

NECESIDAD DE GARANTIZAR

• Confidencialidad de la información

• Seguridad de los datos

• Finalidad del tratamiento

• Derechos de los interesados (paciente, usuario y terceros)

32

TRATAMIENTO DE DATOS DE SALUD

• Principios de la protección de datoso Calidad de los datoso Finalidad del tratamientoo Información sobre el tratamientoo Tratamiento de datos con fines estadísticos e históricos: disociación (datos anónimos y pseudónimos)o Seguridad de los datoso Acceso a los datos para la prestación de servicioso Comunicación o cesión de datos

• Principios específicos relativos a los datos de saludo Norma generalo Excepciones

33

PRINCIPIOS EN LOS LINEAMIENTOS DE PDP

Licitud Calidad

acceso y correcciónInformaciónSeguridadCustodia

Consentimiento para su transmisión

34

LICITUD (LINEAMIENTOS)

La posesión de sistemas de datos personales deberá obedecer exclusivamente a las atribuciones legales o reglamentarias de cada dependencia o entidad y deberán obtenerse a través de los medios previstos en dichas disposiciones.

Los datos personales deberán tratarse únicamente para la finalidad para la cual fueron obtenidos. Dicha finalidad debe ser determinada y legítima.

35

CALIDAD (LINEAMIENTOS)

El tratamiento de datos personales deberá ser exacto, adecuado, pertinente y no excesivo, respecto de las atribuciones

legales de la dependencia o entidad que los posea.

36

CALIDAD (LINEAMIENTOS)

Decimotercero. A efecto de cumplir con el principio de calidad a que se refiere el Lineamiento Séptimo, se considera que el tratamiento de datos personales es:

a) Exacto: Cuando los datos personales se mantienen actualizados de manera tal que no altere la veracidad de la información que traiga como consecuencia que el Titular de los datos se vea afectado por dicha situación;b) Adecuado: Cuando se observan las medidas de seguridad aplicables;c) Pertinente: Cuando es realizado por el personal autorizado para el cumplimiento de las atribuciones de las dependencias y entidades que los hayan recabado, yd) No excesivo: Cuando la información solicitada al Titular de los datos es estrictamente la necesaria para cumplir con los fines para los cuales se hubieran recabado.

37

CALIDAD/CORRECCIÓN DE DATOS (LINEAMIENTOS)

En caso de que los Responsables, Encargados o Usuarios detecten que hay datos personales inexactos, deberán de

oficio, actualizarlos en el momento en que tengan conocimiento de la inexactitud de los

mismos, siempre que posean los documentos que justifiquen la actualización.

38

ACCESO Y CORRECCIÓN (LINEAMIENTOS)

Octavo: Los sistemas de datos personales deberán almacenarse de forma tal que permitan el ejercicio de los derechos de

acceso y corrección previstos por la Ley, el Reglamento y los Lineamientos emitidos por

el Instituto.

39

INFORMACIÓN (LINEAMIENTOS)

Noveno. Se deberá hacer del conocimiento del Titular de los datos, al momento de recabarlos y de forma escrita, el fundamento y motivo de ello, así como los propósitos para los cuales se tratarán dichos datos.

En el momento en que se recaben datos personales, la dependencia o entidad deberá hacer del conocimiento al Titular de los datos tanto en los formatos físicos como en los electrónicos utilizados para ese fin, lo siguiente:

a) La mención de que los datos recabados serán protegidos en términos de lo dispuesto por la Ley;b) El fundamento legal para ello, yc)La finalidad del Sistema de datos personales.

40

INFORMACIÓN (LINEAMIENTOS)Decimoctavo. Sin perjuicio de que las dependencias y entidades elaboren sus propios formatos para informar al Titular de los datos lo establecido por el Lineamiento anterior, podrán utilizar el siguiente modelo:

Los datos personales recabados serán protegidos y serán incorporados y tratados en el Sistema de datos personales (indicar nombre), con fundamento en (indicar ) y cuya finalidad es (describirla), el cual fue registrado en el Listado de sistemas de datos personales ante el Instituto Federal de Acceso a la Información Pública (www.ifai.org.mx), y podrán ser transmitidos a (indicar ), con la finalidad de (indicar ), además de otras transmisiones previstas en la Ley. La Unidad Administrativa responsable del Sistema de datos personales es (indicarlo), y la dirección donde el interesado podrá ejercer los derechos de acceso y corrección ante la misma es (indicarla). Lo anterior se informa en cumplimiento del Decimoséptimo de los Lineamientos de Protección de Datos Personales, publicados en el Diario Oficial de la Federación (incluir fecha).

Decimonoveno. Las dependencias y entidades que recaben datos personales a través de un servicio de orientación telefónica, u otros medios o sistemas, deberán establecer un mecanismo por el que se informe previamente a los particulares que sus datos personales serán recabados, la finalidad de dicho acto así como el tratamiento al cual serán sometidos, cumpliendo con lo establecido en el Decimoséptimo de los presentes Lineamientos

41

SEGURIDAD (LINEAMIENTOS)

Se deberán adoptar las medidas necesarias para garantizar la integridad, confiabilidad,

confidencialidad y disponibilidad de los datos personales mediante acciones que eviten su alteración, pérdida, transmisión y acceso no

autorizado.

Capítulo V De la Seguridad de los Sistemas de Datos Personales

42

CUIDADO Y CUSTODIA (LINEAMIENTOS)

Los datos personales serán debidamente custodiados y los Responsables, Encargados y

Usuarios deberán garantizar el manejo cuidadoso en su tratamiento

Decimosexto. Los datos personales sólo podrán ser tratados en sistemas de datos personales que reúnan las condiciones de seguridad establecidas

en los presentes Lineamientos y las demás disposiciones aplicables.

43

CONSENTIMIENTO PARA TRANSMISIÓN (LINEAMIENTOS)

Toda transmisión de datos personales deberá contar con el consentimiento del Titular de los

datos, mismo que deberá otorgarse en forma libre, expresa e informada, salvo lo dispuesto en el

Lineamiento Vigésimo segundo.

44

CONSENTIMIENTO PARA TRANSMISIÓN (LINEAMIENTOS)

Vigésimo segundo. Las dependencias y entidades podrán transmitir datos personales sin el consentimiento del Titular de los datos, en los casos previstos en el artículo 22 de la Ley. Asimismo, deberán otorgar acceso a aquellos datos que no se consideran como confidenciales por ubicarse en los supuestos establecidos por sus artículos 7, 12 y 18 último párrafo.Vigésimo tercero. Para los efectos del artículo 21 de la Ley, y en los casos no previstos por el artículo 22 de la Ley, las dependencias y entidades sólo podrán transmitir datos personales cuando:

a) Así lo prevea de manera expresa una disposición legal, yb) Medie el consentimiento expreso de los titulares.

Vigésimo cuarto. Para la transmisión de los datos, el consentimiento del Titular de los mismos deberá otorgarse por escrito incluyendo la firma autógrafa y la copia de identificación oficial, o bien a través de un medio de autenticación. En su caso, las dependencias y entidades deberán cumplir con las disposiciones aplicables en materia de certificados digitales y/o firmas electrónicas.El servidor público encargado de recabar el consentimiento del Titular de los datos para la transmisión de los mismos, deberá entregar a éste, en forma previa a cada transmisión, la información suficiente acerca de las implicaciones de otorgar, de ser el caso, su consentimiento.

45

CONSENTIMIENTO PARA TRANSMISIÓN (LINEAMIENTOS)Informes sobre la transmisión

Vigésimo quinto. Las transmisiones totales o parciales de sistemas de datos personales que realicen las dependencias y entidades en el ejercicio de sus atribuciones, deberán ser notificadas por el Responsable al Instituto en los términos establecidos por el Cuadragésimo de los presentes Lineamientos.

Requisitos del InformeVigésimo sexto. El informe a que hace referencia el Lineamiento anterior deberá contener al menos, lo siguiente:I. Identificación del Sistema de datos personales, del transmisor y del destinatario de los datos;II. Finalidad de la transmisión; así como el tipo de datos que son objeto de la transmisión;III. Las medidas de seguridad y custodia que adoptaron o fueron adoptadas por el transmisor y destinatario;IV. Plazo por el que conservará el destinatario los datos que le hayan sido transmitidos, el cual podrá ser ampliado mediante aviso al Instituto, yV. Señalar si una vez concluidos los propósitos de la transmisión, los datos personales deberán ser destruidos o devueltos al transmisor, al igual que cualquier soporte o documento en que conste algún dato de carácter personal objeto de la transmisión.

46

CONSERVACIÓN (LINEAMIENTOS)

Los datos personales que hayan sido objeto de tratamiento y no contengan valores históricos, científicos, estadísticos o contables, deberán ser dados de baja por las dependencias y entidades, o bien, los que contengan dichos valores serán objeto de transferencias secundarias, de conformidad con lo establecido por los catálogos de disposición documental a que se refieren los Lineamientos Generales para la organización y conservación de archivos de las Dependencias y Entidades de la Administración Pública Federal, teniendo en cuenta los siguientes plazos:

a) El que se haya establecido en el formato físico o electrónico por el cual se recabaron;b) El establecido por las disposiciones aplicables;c)El establecido en los convenios formalizados entre una persona y la dependencia o entidad, yd)El señalado en los casos de transmisión

47

SISTEMA PERSONA (LINEAMIENTOS)Trigésimo noveno. Para dar cumplimiento a lo dispuesto por el artículo 23 de la Ley, el Instituto pondrá a disposición de las dependencias y entidades el Sistema “Persona”.Cuadragésimo. Los Responsables deberán registrar e informar al Instituto, dentro de los primeros diez días hábiles de enero y julio de cada año, lo siguiente:

a) Los sistemas de datos personales;b) Cualquier modificación sustancial o cancelación de dichos sistemas, yc) Cualquier transmisión de sistemas de datos personales de conformidad a lo dispuesto por los Lineamientos Vigésimo quinto y Vigésimo sexto de los presentes Lineamientos.

Cuadragésimo primero. El registro de cada Sistema de datos personales deberá contener, los siguientes datos:

a) Nombre del sistema;b) Unidad administrativa en la que se encuentra el sistema;c) Nombre del responsable del sistema;d) Cargo del Responsable;e) Teléfono y correo electrónico del Responsable;f) Finalidad del sistema, yg) Normatividad aplicable al sistema.

El Instituto otorgará al Responsable un folio de identificación por cada Sistema de datos personales registrado.Cuadragésimo segundo. Las dependencias y entidades deberán establecer un vínculo en sus sitios de Internet al Sistema “Persona”, a efecto de dar cumplimiento a lo establecido en los artículos 48 y Sexto transitorio del Reglamento de la Ley.

48

DEL INSTITUTO (LINEAMIENTOS)

Cuadragésimo tercero. Las dependencias y entidades deberán permitir a los servidores públicos del Instituto o a terceros previamente designados por éste, el acceso a los lugares en los que se encuentran y operan los sistemas de datos personales, así como poner a su disposición la documentación técnica y administrativa de los mismos, a fin de supervisar que se cumpla con la Ley, su Reglamento y los presentes Lineamientos.Irregularidades

Cuadragésimo cuarto. En caso de que el Instituto determine que algún servidor público pudo haber incurrido en responsabilidades por el incumplimiento de los presentes Lineamientos, lo hará del conocimiento del Organo Interno de Control correspondiente, a efecto de que determine lo conducente, con base en el capítulo de Responsabilidades y Sanciones establecido en el Título IV de la Ley, así como en la Ley Federal de Responsabilidades Administrativas de los Servidores Públicos.

49

CALIDAD (LINEAMIENTOS)•No finalidades incompatibles•Exactos y actualizados•Adecuados, pertinentes y no excesivos según propósitos•Tratamiento lealartículo 20 de la LAI:“Los sujetos obligados serán responsables de los datos personales y, en relación con éstos, deberán:II. Tratar datos personales sólo cuando éstos sean adecuados, pertinentes y no excesivos en relación con los propósitos para los cuales se hayan obtenido;[...]IV. Procurar que los datos personales sean exactos y actualizados;V. Sustituir, rectificar o completar, de oficio, los datos personales que fueren inexactos, ya sea total o parcialmente, o incompletos, en el momento en que tengan conocimiento de esta situación, ...” Lineamientos listado de sistemas de datos personales).

50

INFORMACIÓN AL RECABAR LOS DATOS (LAI)

En México el principio de información se ciñe a informar al interesado del propósito del tratamiento de sus datos, si bien se requiere que dicha información conste en un documento que se ponga a disposición de los individuos, según el artículo 20 de la LAI:“Los sujetos obligados serán responsables de los datos personales y, en relación con éstos, deberán:[...]III. Poner a disposición de los individuos, a partir del momento en el cual se recaben datos personales, el documento en el que se establezcan los propósitos para su tratamiento, en términos de los lineamientos que establezca el Instituto o la instancia equivalente a que se refiere el Artículo 61;”

51

CONSENTIMIENTO (LAI)

NORMA GENERAL: CONSENTIMIENTO. EXCEPCIONES

El principio de consentimiento para recabar datos no se encuentra recogido en la LAI federal, y, en todo caso, habría que llegar en su caso de manera indirecta, mediante la aplicación del resto de principios de la PD. No obstante, sí se exige en la fase de comunicación.

Aunque para ser honestos los Lineamientos posteriores exigen para la licitud del tratamiento que dicho tratamiento esté facultado por una disposición legal o reglamentaria, lo que, en Derecho comparado, se suele establecer como una excepción a la necesidad de dicho consentimiento. En este sentido, parece que este desarrollo posterior estaría entonces subsanando en algún modo la falta de la ley, si bien tampoco puede ir contra la misma

52

DATOS SENSIBLES (LAI)

La normativa mexicana no distingue categorías de datos, al contrario de lo que hacen las normas en Derecho comparado

Tampoco la Ley de Protección de Datos Personales del Estado de Colima

Tipos de datos especialmente reconocidos: ideología, afiliación sindical, religión, creencias, origen racial, salud, vida sexual

Consecuencias: forma del consentimiento e incremento sanciones

53

SEGURIDAD DE LOS DATOS (LAI)

La obligación de los responsables de adoptar las medidas de seguridad tiene por objeto garantizar la privacidad de los individuos ya que, al asegurar la confidencialidad e integridad de la información, se protege frente a intromisiones no deseadas por parte de terceros o como consecuencia de contingencias naturales.

La fracción VI del artículo 20 LAI se establece la obligación de quienes tengan sistemas de datos personales de:“Adoptar las medidas necesarias que garanticen la seguridad de los datos personales y eviten su alteración, pérdida, transmisión y acceso no autorizado.”

54

SEGURIDAD DE LOS DATOS (LAI)

Lineamientos en medidas de seguridad: Condiciones técnicas y organizativas, recogidas en un documento, posibilidad de inspección por parte funcionarios IFAI, objetivo: garantizar la confidencialidad, integridad y disponibilidad de los datos personales, con procedimientos y estándares mínimos, planes de contingencia, medidas sobre las instalaciones y equipos de cómputo, seguridad al utilizar la red y las comunicaciones donde se transmitan datos personales, control de acceso físico, registro de incidencias, registro de accesos, copias de respaldo y de recuperación de datos.

55

DEBER DE SECRETO (LAI)

La LAI no lo establece expresamente pero con él nos queremos referir a la obligación de todos los que

intervengan en cualquier fase del tratamiento de los datos de carácter personal de estar obligados al secreto profesional respecto de los mismos y al deber de

guardarlos, obligaciones que subsistirán aun después de finalizar sus relaciones con el titular del fichero o, en su

caso, con el responsable del mismo

56

COMUNICACIÓN O CESIÓN DE DATOS (LAI)

NORMA GENERAL: CONSENTIMIENTO y expreso por escrito o medio similar (art. 21 LAI). Revocable (art. 23 lineamientos) también por escrito.

EXCEPCIONES (art. 22)II. Los necesarios por razones estadísticas, científicas o de interés general previstas en ley, previo procedimiento por el cual no puedan asociarse los datos personales con el individuo a quien se refieran;III. Cuando se transmitan entre sujetos obligados o entre dependencias y entidades, siempre y cuando los datos se utilicen para el ejercicio de facultades propias de los mismos;IV. Cuando exista una orden judicial;V. A terceros cuando se contrate la prestación de un servicio que requiera el tratamiento de datos personales. Dichos terceros no podrán utilizar los datos personales para propósitos distintos a aquéllos para los cuales se les hubieren transmitido, yVI. En los demás casos que establezcan las leyes

57

PRESTACIÓN DE SERVICIOS (LAI)

LAI (fracción V artículo 22): no será necesario el consentimiento del interesado para proporcionar sus datos a un tercero al que se contrate para la prestación de un servicio que requiera el tratamiento de datos personales. Lineamientos, Apartado 21: Cuando exista la contratación de un tercero para que realice el tratamiento de datos personales, se le deberán exigir, al menos, las medidas de seguridad y confidencialidad establecidas en estos lineamientos y en la reglamentación propia de las dependencias y entidades.”

58

TRATAMIENTO DE DATOS DE SALUD

• Principio general: prohibición de tratamiento de datos relativos a la salud.

• Excepciones:o Consentimiento.o Previsión en una Ley.o Prevención o diagnóstico médico.o Salvaguardia del interés vital del afectado o un tercero, si aquél está incapacitado para dar su consentimiento.

59

DERECHOS DEL INTERESADO

• Acceso

• Rectificación

• Cancelación

• Oposición al tratamiento de datos con fines de publicidad o marketing

• Ejercicio de los derechos en caso de finados

• Excepciones al ejercicio de los derechos

60

DERECHO DE ACCESO (LAI)

Artículo 20 LAI:“Los sujetos obligados serán responsables de los datos personales y, en relación con éstos, deberán:I. Adoptar los procedimientos adecuados para recibir y responder las solicitudes de acceso y corrección de datos, así como capacitar a los servidores públicos y dar a conocer información sobre sus políticas en relación con la protección de tales datos, de conformidad con los lineamientos que al respecto establezca el Instituto o las instancias equivalentes previstas en el Artículo 61;”

61

DERECHO DE ACCESO (LAI)

Artículo 24 LAI:“Sin perjuicio de lo que dispongan otras leyes, sólo los interesados o sus representantes podrán solicitar a una unidad de enlace o su equivalente, previa acreditación, que les proporcione los datos personales que obren en un sistema de datos personales. Aquélla deberá entregarle, en un plazo de diez días hábiles contados desde la presentación de la solicitud, en formato comprensible para el solicitante, la información correspondiente, o bien, le comunicará por escrito que ese sistema de datos personales no contiene los referidos al solicitante.La entrega de los datos personales será gratuita, debiendo cubrir el individuo únicamente los gastos de envío de conformidad con las tarifas aplicables. No obstante, si la misma persona realiza una nueva solicitud respecto del mismo sistema de datos personales en un periodo menor a doce meses a partir de la última solicitud, los costos se determinarán de acuerdo con lo establecido en el Artículo 27.”

62

DERECHO DE ACCESO (LAI)

Artículo 47 Reglamento LAI:

“Los procedimientos para acceder a los datos personales que estén en posesión de las dependencias y entidades garantizarán la protección de los derechos de los individuos, en particular, a la vida privada y a la intimidad, así como al acceso y corrección de sus datos personales, de conformidad con los lineamientos que expida el Instituto y demás disposiciones aplicables para el manejo, mantenimiento, seguridad y protección de los datos personales.”

63

DERECHO DE RECTIFICACIÓN (LAI)

Artículo 25 LAI:“Las personas interesadas o sus representantes podrán solicitar, previa acreditación, ante la unidad de enlace o su equivalente, que modifiquen sus datos que obren en cualquier sistema de datos personales.Con tal propósito, el interesado deberá entregar una solicitud de modificaciones a la unidad de enlace o su equivalente, que señale el sistema de datos personales, indique las modificaciones por realizarse y aporte la documentación que motive su petición. Aquélla deberá entregar al solicitante, en un plazo de 30 días hábiles desde la presentación de la solicitud, una comunicación que haga constar las modificaciones o bien, le informe de manera fundada y motivada, las razones por las cuales no procedieron las modificaciones.”

64

DERECHO DE CONSULTA (LAI)

Artículo 23 de la LAI: “Los sujetos obligados que posean, por cualquier título, sistemas de datos personales, deberán hacerlo del conocimiento del Instituto o de las instancias equivalentes previstas en el Artículo 61, quienes mantendrán un listado actualizado de los sistemas de datos personales.”

Artículo 48 del Reglamento de la LAI:“Las dependencias y entidades que cuenten con sistemas de datos personales deberán hacer del conocimiento del Instituto y del público en general a través de sus sitios de Internet, el listado de dichos sistemas, en el cual indicarán el objeto del sistema, el tipo de datos que contiene, el uso que se les da, la unidad administrativa que lo administra y el nombre del responsable. El Instituto mantendrá un listado público actualizado de los sistemas de datos personales que sean hechos de su conocimiento.”

65

PROCEDIMIENTOS Y GARANTÍAS

• Infracciones y responsabilidades

• Sanciones

• Órgano de control

66

ÓRGANO DE CONTROL: IFAI (LAI)

Artículo 37 de la LAI“VI. Orientar y asesorar a los particulares acerca de las solicitudes de acceso a la información;VII. Proporcionar apoyo técnico a las dependencias y entidades en la elaboración y ejecución de sus programas de información establecidos en la fracción VI del Artículo 29;VIII. Elaborar los formatos de solicitudes de acceso a la información, así como los de acceso y corrección de datos personales;IX. Establecer los lineamientos y políticas generales para el manejo, mantenimiento, seguridad y protección de los datos personales, que estén en posesión de las dependencias y entidades;XII. Promover y, en su caso, ejecutar la capacitación de los servidores públicos en materia de acceso a la información y protección de datos personales;”

Artículo 62 del Reglamento de la LAI:“Sin perjuicio de lo dispuesto por el artículo 37 de la Ley, el Instituto podrá:I. Diseñar procedimientos y establecer sistemas para que las dependencias y entidades reciban, procesen, tramiten y resuelvan las solicitudes de acceso a la información, así como a los datos personales y su corrección;”

67

ÓRGANO DE CONTROL: IFAI (LAI)

Capítulo VI de los Lineamientos“Cuadragésimo. Con objeto de garantizar la protección de datos personales, los sistemas estarán sujetos a la supervisión, inspección y vigilancia del Instituto, teniendo como límite la materia de estos Lineamientos, por lo que las dependencias y entidades deberán proporcionar la información que el Instituto les requiera, a fin de cumplir respectivamente con sus funciones, en términos de estos Lineamientos.Cuadragésimo primero. El Instituto podrá ordenar a las dependencias y entidades, como medida precautoria, la suspensión temporal o definitiva del tratamiento de datos personales cuando no se cumplan las medidas técnicas y administrativas establecidas en estos Lineamientos.Cuadragésimo segundo. A petición del titular, el Instituto podrá requerir la exhibición de la autorización del tratamiento suscrita por el mismo, cuando éste la haya previamente solicitado a la dependencia o entidad y la misma le haya sido negada.Cuadragésimo tercero. El Instituto no tendrá acceso a los datos personales de un individuo, salvo que medie autorización de su titular, o bien, se requiera supervisar que los sistemas cumplen con los niveles de seguridad en su manejo y tratamiento.Cuadragésimo cuarto. Asesorar a las dependencias o entidades públicas en la materia de protección de datos personales, así como hacer las recomendaciones conducentes para que se dé cumplimiento a lo dispuesto.Cuadragésimo quinto. En caso de que alguna dependencia o entidad incurra en irregularidades en el cumplimiento de los presentes Lineamientos, el Instituto podrá hacer del conocimiento del Órgano Interno de Control de las mismas, a efecto de que determine lo conducente con relación a los funcionarios públicos presuntamente responsables.”

68

PROCEDIMENTO: TUTELA DE DERECHOS (LAI)

El procedimiento ante el IFAI se regula en los artículos 49 a 60 de la LAI. En concreto, el procedimiento podrá iniciarse ante la negación de acceso a la información o la inexistencia de los documentos solicitados.

Causas de responsabilidad las acciones y omisiones: las que se indican en el artículo 63, entre las que destacamos:“II. Actuar con negligencia, dolo o mala fe en la sustanciación de las solicitudes de acceso a la información o en la difusión de la información a que están obligados conforme a la Ley;VI. Entregar intencionadamente de manera incompleta información requerida en una solicitud de acceso”

La responsabilidad por el incumplimiento de alguna de las obligaciones establecidas en la LAI será exigida conforme a la Ley Federal de Responsabilidades Administrativas de los Servidores Públicos.

69

RÉGIMEN SANCIONADOR (LAI)

Responsabilidades y sanciones de carácter administrativo.Acciones u omisiones que consistan en (artículo 63 de la LAI):

Exigencia conforme a Ley Federal de Responsabilidades Administrativas de los Servidores Públicos. I. Usar, sustraer, destruir, ocultar, inutilizar, divulgar o alterar, total o parcialmente y de manera indebida información que se encuentre bajo su custodia, a la cual tengan acceso o conocimiento con motivo de su empleo, cargo o comisión;II. Actuar con negligencia, dolo o mala fe en la sustanciación de las solicitudes de acceso a la información o en la difusión de la información a que están obligados conforme a la Ley;III. Denegar intencionadamente información no clasificada como reservada o no considerada confidencial conforme a la Ley;IV. Clasificar como reservada, con dolo, información que no cumple con las características señaladas en la Ley. La sanción sólo procederá cuando exista una resolución previa respecto del criterio de clasificación de este tipo de información del Comité, el Instituto, o las instancias equivalentes previstas en el artículo 61;V. Entregar información considerada como reservada o confidencial conforme a lo dispuesto por la Ley;VI. Entregar intencionadamente de manera incompleta información requerida en una solicitud de acceso, yVII. No proporcionar la información cuya entrega haya sido ordenada por los órganos a que se refiere la fracción IV anterior o el Poder Judicial de la Federación.

Exigencia conforme a Ley Federal de Responsabilidades Administrativas de los Servidores Públicos.

70

OTRAS CUESTIONES A CONSIDERAR

• Tarjeta sanitaria individual.

• Receta electrónica.

• Práctica de ensayos clínicos.

• Investigación biomédica.

• Tratamiento de datos de salud en el entorno laboral.

• Tratamiento de para luchar contra el dopaje (doping).

71

OTRAS ÁREAS DEL DERECHO DE LAS TIC

• Firma electrónica: o Autenticidad, integridad y confidencialidad.o Aplicación al expediente clínico electrónico y la receta electrónica, entre otros.

• Seguridad de la información: interoperatividad, confidencialidad, conservación y disponibilidad.

• Propiedad intelectual e industrial.

• Cuestiones de competencia (antitrust).

72

EN CONCLUSIÓN

• Uso de las TIC en el ámbito sanitario.

• Necesidad de proteger al titular de los datos.

• Necesidad de garantizar el derecho a la información en materia sanitaria.

• Búsqueda del equilibrio entre derechos.

• Garantías para el paciente/usuario en el tratamiento de sus datos de carácter personal.