Introducción
En el año 2000 se sancionó la Ley 25.326 (“LPDP”), la cual establece los principios generales relativos a la protección de datos personales, mientras que, en el año 2001, fue el turno del Decreto 1558, el cual reglamentó la misma. Dichas normas fueron precursoras en Latino América, siendo Argentina uno de los primeros países de la región en legislar sobre la materia, pero, desde su sanción, ya han transcurridos más de 20 años. Durante ese tiempo, los avances en materia de tecnología y manejo de información han sido veloces y exponenciales, encontrándonos actualmente como sociedad ante escenarios que se caracterizan por grandes y constantes flujos de datos de diversa naturaleza. Como consecuencia de dicha circunstancia, las legislaciones del mundo y de la región han ido actualizándose, a efectos de ajustarse a las nuevas necesidades que surgen de los avances y la innovación. En este sentido, en la Unión Europea rige desde 2018[1] el Reglamento General de Protección de Datos Personales (“RGPD”) el cual es el estándar mundial actual en materia de protección de datos, mientras que, a nivel regional, Brasil y Ecuador han sancionado en los últimos años leyes relativas a data privacy, encontrándose Chile, Paraguay y Costa Rica en proceso de actualización de sus normas.
Con el propósito de actualizar la legislación argentina, en el año 2018 el Poder Ejecutivo Nacional presentó un proyecto de ley de protección de datos personales, el cual perdió estado parlamentario hace algún tiempo. Utilizando el mismo como base, el RGPD, las leyes de Brasil y Ecuador y otros cuerpos normativos como referencia, la Agencia de Acceso a la Información Pública (“AAIP”) preparó un anteproyecto de una nueva ley de protección de datos personales (“Anteproyecto”). De manera previa a la redacción final del Anteproyecto, la AAIP desarrolló mesas de diálogo internacionales con diferentes autoridades de organismos regionales e internacionales, convocó a la participación social y también mesas de diálogo nacionales con representantes de organizaciones de la sociedad civil, cámaras empresariales, autoridades, funcionarios del sector público, y referentes del ámbito académico, entre otros, para luego someterlo a consideración de la población en general. En tal sentido, el Anteproyecto se encuentra, desde el 12 de septiembre de 2022 y por un plazo de 15 días hábiles, bajo consulta pública de toda la ciudadanía, a efectos de que los interesados realicen comentarios, sugerencias, y propuestas respecto del mismo[2].
El objetivo del presente trabajo es revisar sucintamente cuál es el tratamiento legislativo que se le da a los datos de salud en el Anteproyecto. A tal fin, primero revisaremos algunas cuestiones generales del mismo, para luego abocarnos al tema objeto de análisis y finalmente brindar nuestras conclusiones.
El Anteproyecto
El Anteproyecto de divide en 11 capítulos y consta de 76 artículos, de los cuales muchos resultan novedosos y ajustados a las más modernas legislaciones. En este sentido, es destacable que el Anteproyecto: (i) Incluye definiciones sobre anonimización, autodeterminación informativa, consentimiento, seudonimización, elaboración de perfiles, responsables y encargados de tratamientos, representantes, terceros, y delegados, entre otros conceptos. Asimismo, dentro de las definiciones se amplía la categoría de datos sensibles[3], y se agrega las de datos biométricos y datos genéticos, las cuales veremos en el próximo apartado; (ii) Amplía el alcance territorial de ley en la medida en que se cumplan determinadas circunstancias; (iii) Agrega los principios de minimización de datos y de responsabilidad proactiva demostrada: (iv) En línea con el RGPD, amplía las bases legales para el tratamiento de datos, agregando el interés legítimo como una de ellas; (v) Incluye el principio de responsabilidad reforzada para el tratamiento de datos sensibles, el cual veremos en detalle más adelante; (vi) Permite, en determinadas circunstancias, el tratamiento de datos de niños y adolescentes que tengan más de 13 años; (vii) Impone la obligación de reportar a la AAIP los incidentes de seguridad dentro de un plazo de 48 horas de haber tomado el conocimiento, siempre que el riesgo constituya un riesgo para los derechos de los titulares de los datos; (viii) Obliga a los responsables y encargados del tratamiento a designar un Delegado de Protección de Datos (Data Protection Officer) para determinados casos, siendo optativos para otros; y (ix) Incrementa el valor de las multas a aplicar en caso de incumplimiento; entre tantos otros.
Pasemos ahora a ver las particularidades que presenta el Anteproyecto respecto del tema objeto del presente.
Datos de salud en el Anteproyecto
En materia de datos de salud, a diferencia de lo que sucede con el RGPD, el Anteproyecto no los define, pero –tal como anticipamos líneas arriba– si define los términos “datos biométricos” y “datos genéticos”.
Respecto de los primeros y en línea con el RGPD, el Anteproyecto establece que son “aquellos datos obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona humana, que permitan o confirmen su identificación única, tales como imágenes faciales o datos dactiloscópicos, entre otros”. En este punto es interesante detenerse, toda vez que –como ya hemos sostenido en un trabajo anterior– la LPDP no incluye esta definición, pero “si el dato biométrico denota características físicas, fisiológicas o conductuales de una persona física, entonces tal dato podría señalar indirectamente una enfermedad o una determinada situación pasajera de salud de una persona”[4], convirtiéndolo entonces en un dato relativo a la salud, y en consecuencia, en uno sensible. Ejemplos de esto sobran: personas con lesiones en la piel u ojos que denotan patologías como pueden ser cataratas, rosácea, acné o patologías cutáneas más severas, así como también trastornos en el habla o en los músculos faciales, entre otros.
En lo que se refiere a los datos genéticos, el Anteproyecto los define como “aquellos relativos a las características genéticas heredadas o adquiridas de una persona humana que proporcionen una información sobre su fisiología o salud, obtenidos en particular del análisis de una muestra biológica”[5]. Dicha definición es tomada literalmente del RGPD y tal como surge de la misma, incluye a los datos de salud porque los mismos tienen la facultad de demostrar la existencia de enfermedades pasadas o presentes, o predisposiciones a desarrollar determinadas patologías en el futuro.
La incorporación de ambas definiciones en el Anteproyecto es auspiciosa, aunque no resulta del todo claro por qué no se incluyó la definición de datos de salud, toda vez que existen datos de salud que no son biométricos o genéticos, y que tampoco quedan alcanzados por la Ley 26.529 de Derechos del Paciente en su Relación con los Profesionales e Instituciones de la Salud, por no estar tratados por éstos[6]. De todos modos, si bien la definición de datos de salud tal vez brindaría mayor claridad, la falta de la misma queda subsanada porque los mismos quedan comprendidos dentro de la categoría de datos sensibles, estableciendo el Anteproyecto previsiones específicas para el tratamiento de datos que tengan dicha naturaleza. En tal sentido –tal como adelantamos– el artículo 16 del Anteproyecto, establece la responsabilidad reforzada para el tratamiento de éstos, la cual implica la implementación de mayores niveles de seguridad, confidencialidad, restricciones de acceso, uso y circulación respecto de estos datos. La inclusión de la responsabilidad reforzada se encuentra alineada con el RGPD por la potencialidad discriminatoria que tienen dichos datos, y también para evitar filtraciones de datos como la sufrida por el Ministerio de Salud durante 2021, en la cual quedaron expuestos datos de salud de argentinos que se encontraban en las bases de datos de 40 hospitales nacionales y Ministerios de Salud de las 24 provincias[7]. Asimismo, el artículo 16 establece que se prohíbe el tratamiento de datos sensibles, salvo cuando se den determinadas excepciones. Desde la perspectiva de los datos de salud, las que resultan de relevancia son las que veremos seguidamente:
(i) Cuando el tratamiento “sea efectuado por establecimientos sanitarios públicos o privados o por profesionales vinculados a la ciencia de la salud con la finalidad de un tratamiento médico específico de acuerdo a lo establecido por la Ley Nº 26.529 de Derechos del Paciente, Historia Clínica y Consentimiento Informado y sus modificatorias. Se prohíbe a los operadores de planes privados de salud tratar datos de salud para la práctica de selección de riesgo en la contratación de cualquier modalidad y la exclusión de beneficiarios”. Conceptualmente, la presente excepción para el tratamiento de datos de salud se encuentra contenida en la actual LPDP, con la diferencia que: (i) En el Anteproyecto se hace expresa referencia a la Ley 25.529 de derechos del paciente, la cual a su vez establece que toda actividad médico-asistencial tendiente a obtener, clasificar, utilizar, administrar, custodiar y transmitir información y documentación clínica del paciente debe observar […] la confidencialidad de sus datos sensibles, sin perjuicio de las previsiones contenidas en la Ley Nº 25.326, y (ii) se prohíbe a los operadores de planes de salud privados tratar datos de salud para excluir beneficiarios, previsión sumamente acertada y que se encuentra alineada con lo dispuesto por el artículo 10 de la Ley 26.682 de medicina prepaga, la cual establece que “las enfermedades preexistentes solamente pueden establecerse a partir de la declaración jurada del usuario y no pueden ser criterio del rechazo de admisión de los usuarios”.
(ii) Cuando “el titular de los datos haya dado su consentimiento a dicho tratamiento, salvo en los casos en que por ley no sea requerido el otorgamiento de dicha autorización”. En el artículo 5 de la actual LPDP no se hace expresa referencia al consentimiento para tratar datos de salud, sin embargo, se entiende que en aquellos casos en que los datos de salud no sean tratados por sanatorios privados, hospitales públicos o profesionales de la salud, resulta aplicable el consentimiento previsto por el mencionado artículo, toda vez que los datos de salud referidos a una persona, son datos personales porque quedan comprendido dentro de la definición del artículo 2 de la LPDP. La expresa inclusión de la presente excepción en el Anteproyecto es positiva y aclaratoria, toda vez que permitiría de manera expresa que se traten datos de salud generados en otros ámbitos, como podría ser el tratamiento de datos de salud por parte de la industria farmacéutica o de productos médicos, siempre que se cuente con el consentimiento previo, libre, específico, informado e inequívoco que surge del artículo 13 del Anteproyecto. La frase “salvo en los casos en que por ley no sea requerido el otorgamiento de dicha autorización” es amplia y no refiere puntualmente a ningún caso específico en materia de salud, quedando entonces comprendida cualquier disposición que libere al responsable o al encargado de recolectar el consentimiento.
En relación a esta excepción, se presenta una interrogante particular: ¿qué sucede en aquellos casos donde es necesario tratar datos de salud como consecuencia de una relación de consumo de una especialidad medicinal o producto médico? Tal sería el caso en que el usuario –el cual se infiere que tiene una determinada patología por utilizar un dispositivo médico– se viera en la necesidad de ejercer el derecho de garantía que surge del artículo 11 de la Ley 24.240. En ese supuesto, en principio entendemos que no sería necesario su consentimiento, toda vez que también podrían aplicarse diversas bases legales que surgen del artículo 12 del Anteproyecto, si el tratamiento: (i) Es necesario para el cumplimiento de una obligación legal aplicable al responsable o encargado del tratamiento, como sería su obligación de brindar la garantía; (ii) Si es necesario “para la ejecución de un contrato en el que el titular de los datos sea parte […]” tal como sería un contrato de consumo; y (iii) Si es necesario para la satisfacción del interés legítimo del responsable del tratamiento, por ejemplo si el responsable debe comunicar actualizaciones vinculadas al producto o realizar avisos de seguridad, aunque, tal circunstancia también podría quedar contemplada en la base legal referida al cumplimiento de obligaciones legales. Sin perjuicio de lo expuesto –en la medida de lo posible– siempre sería recomendable que se recolecte su consentimiento expreso, amén de adoptar las medidas adicionales que surgen de la responsabilidad reforzada antes mencionada.
(iii) Cuando el tratamiento “tenga una finalidad histórica, de archivo de interés público, estadística o científica. En estos casos y en la medida de lo posible, debe adoptarse, teniendo en cuenta la finalidad, un procedimiento de anonimización”. Como podemos observar, esta excepción incluye el tratamiento de datos de salud cuando se tengan finalidades científicas, como por ejemplo la investigación clínica, la cual se encuentra autorizada por el artículo 58 del Código Civil y Comercial de la Nación, el cual permite que la que se realice mediante intervenciones, tales como tratamientos, métodos de prevención, pruebas diagnósticas o predictivas, cuya eficacia o seguridad no están comprobadas científicamente, sólo pueda ser realizada si se cumple con una serie de requisitos, “los cuales incluyen —con relación al tema que nos ocupa— que se cuente con el consentimiento previo, libre, escrito, informado y específico de la persona que participa en la investigación y que se resguarde la intimidad de la persona y la confidencialidad de su información personal”[8]. Dicha excepción no se encuentra expresamente incluida hoy en nuestra LPDP, pero si podemos encontrarla en el considerando 159 y en el apartado 1 del artículo 89 del RGPD, el cual establece que el tratamiento de datos con fines de investigación debe estar sujeto a las “garantías adecuadas”, las cuales implican la adopción de medidas técnicas y organizativas para asegurar el principio de minimización de datos y la seudonimización.
(iv) Cuando el tratamiento “sea necesario en ejercicio de las funciones de los poderes del Estado en el cumplimiento estricto de sus competencias”. Tal sería el caso del tratamiento de datos de salud en el marco de pandemias como la surgida en 2020 por el virus SARS-CoV-2, el cual implicaría que el “Ministerio de Salud de la Nación y los ministerios provinciales se encuentran facultados a requerir, recolectar, cederse entre sí o procesar de cualquier otro modo información de salud sin consentimiento de los pacientes, conforme a las competencias explícitas e implícitas que les hayan sido conferidas por ley”[9]. Dicha excepción para el tratamiento de datos sensibles se encuentra actualmente contenida en nuestra LPDP, con leves diferencias en su redacción.
En materia de tratamiento de datos de salud en el marco de una pandemia, el RGPD prevé una excepción que conceptualmente puede resultar similar, pero es mucho más específica que la contenida en el Anteproyecto, al establecer en su artículo Artículo 9.1.i. que no se requiere el consentimiento cuando “el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios”.
(v) Cuando “se realice en el marco de asistencia humanitaria”. Se define a la misma como la que se brinda a la población víctima de un desplazamiento para garantizar el acceso a servicios básicos como alimentación, atención médica, agua o refugio. De acuerdo al Anteproyecto, en caso de que tuviesen que tratarse datos de salud de refugiados o desplazados, entonces no sería necesario contar con el consentimiento de los mismos. En línea con esta excepción, el RGPD en su considerando 43 establece que el tratamiento “también debe considerarse lícito cuando sea necesario para proteger un interés esencial para la vida del interesado o la de otra persona física como […] por ejemplo cuando el tratamiento es necesario para fines humanitarios”, estableciendo el artículo 9.2.c que no es necesario el consentimiento en tales circunstancias.
Tal como ya indicamos, en el Anteproyecto existen otras excepciones adicionales para el tratamiento de datos sensibles, pero las mismas no tienen vinculación directa al tratamiento de datos de salud, y por lo tanto no las referiremos.
Adicionalmente a lo ya expuesto, el Anteproyecto trae una novedad en relación a la elaboración de perfiles, definiéndolos como “toda forma de tratamiento automatizado y parcialmente automatizado de datos personales consistente en utilizarlos para evaluar determinados aspectos de una persona humana, en particular para analizar o predecir cuestiones relativas a [la] salud […], agregando el artículo 30 que “el responsable del tratamiento no podrá llevar a cabo tratamientos automatizados o semiautomatizados de datos personales que tengan como efecto la discriminación en detrimento de los titulares de los datos, particularmente si se encuentran basados en alguna de las categorías de datos contenidas en la definición de datos sensibles del artículo 2” como son los datos biométricos, genéticos y de salud en general. Dicha previsión resulta sumamente acertada y alineada con las disposiciones del RGPD, el cual establece que los titulares de los datos tienen derecho a no ser objeto de decisiones basadas únicamente en el tratamiento automatizado, incluida la elaboración de perfiles, en tanto las mismas los afecten significativamente, como sería el caso de discriminación.
Conclusiones
Es innegable que nuestra LPDP requiere una actualización, y –al igual que anteriores anteproyectos– el nuevo se encuentra alineado con las legislaciones más modernas, condición que permitirá equipararnos con los estándares previstos en ellas. En materia de datos de salud, el Anteproyecto parece encontrarse a la altura de las circunstancias, siendo prometedoras las incorporaciones de las definiciones de datos genéticos y biométricos, la imposición de responsabilidad reforzada, las excepciones incluidas para tratar datos de salud y la prohibición de los tratamientos automatizados o semiautomatizados de datos sensibles, con los alcances ya vistos.
Una vez que finalice el proceso de consulta pública, en caso de corresponder la AAIP ajustará el Anteproyecto en función de los comentarios recibidos, para posteriormente presentarlo ante el Congreso Nacional. Esperamos que nuestros legisladores se comprometan, y libren un debate sensato, para que finalmente Argentina vuelva a tener una ley ajustada a los estándares mundiales, y, por sobre todo, a los tiempos que corren.
Citas
[1] El RGPD entró en vigor el 24 de mayo de 2016, pero se aplica desde el 25 de mayo de 2018.
[2] Ver Resolución 119/2022 del 12 de septiembre de 2022 de la Agencia de Acceso a la Información Pública.
[3] Sosteniéndose que los datos que se mencionan son a título enunciativo.
[4] Rizzo Jurado, Franco y Palazzi, Pablo. “Protección de datos de salud en las industrias farmacéutica y de dispositivos médicos”. Protección de Datos Personales: Doctrina y Jurisprudencia. Editorial CDTY. 2021. Tomo II, p. 152.
[5] Ver artículo 2 del Anteproyecto.
[6] Por ejemplo, datos de salud tratados por empresas que comercializan productos médicos de uso directo por pacientes al momento de brindar servicios de asistencia técnica post venta.
[7]Ver https://www.cronista.com/economia-politica/el-ministerio-de-salud-denuncio-la-filtracion-de-informacion-que-involucra-a-mas-de-964-millones-de-datos/#:~:text=El%20Ministerio%20de%20Salud%20present%C3%B3,unos%2050.000%20usuarios%20del%20sistema.
[8] Rizzo Jurado, Franco y Palazzi, Pablo. Ob. Cit. p. 179.
[9] Ver https://www.argentina.gob.ar/noticias/tratamiento-de-datos-personales-ante-el-coronavirus
Opinión
Barreiro
opinión
ver todosPASBBA
NORDELTA S.A.
Alfaro Abogados
Berton Moreno IP Law