Protección de datos personales de salud: actualización normativa
Por Franco Rizzo Jurado & Agustina Hanessian
Roche

Introducción

 

Tal como se ha sostenido en diversas oportunidades, la Ley N° 25.326 de protección de datos personales (“LPDP”) y su decreto reglamentario son normas de primera generación, las cuales se remontan a los años 2000 y 2001, respectivamente. Han pasado más de 20 años desde su entrada en vigencia, los cuales atestiguaron los cambios que se han producido en el modo de procesar y tratar datos.

 

En sentido amplio, es indiscutible la imperiosa necesidad estatal de proteger cabalmente el derecho a la privacidad y a la protección de los datos, acompañando el veloz ritmo de la innovación tecnológica y dotando a los sujetos de herramientas necesarias para su correcta tutela. 

 

Con el correr de los años, en mayor o menor medida, la normativa internacional de protección de datos personales ha ido actualizándose y alineándose con Reglamento General de Protección de Datos europeo (“RGPD”), el cual es el estándar internacional en la materia. A diferencia de lo que sucede en otros países, la normativa argentina no ha corrido la misma suerte. Sin perjuicio de esto, en diversas oportunidades se ha intentado actualizar integralmente la LPDP, no habiéndose logrado tal propósito hasta el momento. Dado que no ha sido posible lograr dicho cometido, la Agencia de Acceso a la Información Pública (“AAIP”), además de haber presentado un Proyecto de una nueva Ley de protección de datos personales (“Proyecto”), ha ido impulsando o ajustando la normativa por distintas vías.  

 

En lo referente a datos de salud, tal como ya se ha sostenido, la LPDP ni su decreto reglamentario los define expresamente. En consecuencia resulta de aplicación la definición general de datos personales prevista por el artículo 2 LPDP, encuadrándolos en la clasificación de “datos sensibles” siendo entonces merecedores de una tutela más tenaz [1] que para el resto de los datos.

 

Si bien al día de hoy el Proyecto no ha sido aprobado, si se han emitido algunas normas que tienen impacto sobre datos de salud y en algunos casos cubren, aunque sea parcialmente, los aspectos no incluidos expresamente en la LPDP actual.

 

Veamos a continuación cuáles son.

 

1. Protocolo modificatorio del Convenio para la Protección de las Personas con Respecto al Tratamiento Automatizado de Datos de Carácter Personal (el “Convenio 108+”)

 

El 17 de abril de 2023, la Directora de la AAIP, en representación de Argentina, depositó los documentos de ratificación del Convenio 108+, convirtiendo al país en el vigésimo tercer Estado en ratificar dicho convenio y convirtiéndose, desde ese momento, en derecho interno para el país.

 

El Convenio 108+ trae diversas novedades, dentro de las cuales se incluyen, entre otras, las siguientes: (i) se reconocen nuevos derechos para los titulares de datos, (ii) se actualizan los mecanismos de transferencias internacionales, (iii) se obliga a informar incidentes de seguridad, (iv) se incorporan requisitos más estrictos respecto a los principios generales sobre tratamiento de datos, como el principio de proporcionalidad, de minimización de datos y licitud (v) se incluyen condiciones especiales para el tratamiento de datos personales de niños y niñas; y (vi) se refuerza la exigencia de la destrucción o anonimización de datos personales.

 

Adicionalmente, desde la óptica que nos ocupa, es importante destacar que el Convenio 108+ incluye expresamente a los datos genéticos y a los datos biométricos dentro de las categorías especiales de datos. Recordemos que nuestra LPDP no define ninguno de los dos conceptos, pero, dicha inclusión claramente tiene implicancias desde la perspectiva de los datos de salud. No hay que olvidar que los datos genéticos tienen la facultad de demostrar la existencia de enfermedades pasadas o presentes, o predisposiciones a desarrollar determinadas patologías en el futuro, y en consecuencia son datos de salud. Por su parte, los datos biométricos denotan “características físicas, fisiológicas o conductuales de una persona física”[2] y consecuencia podrían señalar indirectamente determinadas patologías o afecciones, convirtiéndose en datos de salud.

 

El Convenio 108+ aclara que el tratamiento de datos genéticos y datos biométricos solo estará permitido cuando se establezcan salvaguardas adecuadas, las cuales deberán brindar “protección contra los riesgos que el tratamiento de datos sensible pueda generar para los intereses, derechos y libertades fundamentales del titular de los datos, especialmente el riesgo de discriminación."

 

2. Resolución 255/2022 de la AAIP

 

Como consecuencia de la adhesión al Convenio 108+, la AAIP aprobó la Resolución 255/2022, mediante la cual se definieron los datos genéticos como “aquellos datos relativos a las características genéticas heredadas o adquiridas de una persona humana que proporcione información sobre su fisiología o salud”, considerando a los mismos como datos personales de carácter sensible, siempre que identifiquen de manera unívoca a una persona física, y de ellos se pueda desprender o revelar información que sea relativa a la salud o a la fisiología. Adicionalmente, la norma exige la implementación de mayores niveles de seguridad, confidencialidad, restricciones de acceso, uso y circulación en su tratamiento conforme a lo establecido por el artículo 9° de la LPDP y la Resolución de la AAIP N° 47/2018. Por su parte, la Resolución en cuestión no definió a los datos biométricos, toda vez que la AAIP ya se había expedido oportunamente sobre los mismos[3], sosteniendo que son “aquellos datos personales obtenidos a partir de un tratamiento técnico específico, relativos a las características físicas, fisiológicas o conductuales de una persona humana, que permitan o confirmen su identificación única”.

 

3. Decreto 98/2023 sobre reglamentación de la Ley 27.553 (de recetas electrónicas, digitales y teleasistencia)

 

El 28 de febrero de 2023 se publicó el Decreto 98/2023, reglamentario de la Ley 27.553 la cual tiene por objeto permitir que la prescripción, dispensa de medicamentos, y toda otra indicación puedan ser elaboradas y firmadas por medios electrónicos o digitales, así como también para que puedan utilizarse plataformas de teleasistencia en salud. Indiscutiblemente dicha reglamentación tiene impacto desde la perspectiva de los datos de salud, toda vez que los datos identificatorios de pacientes, asociados a síntomas que puedan manifestar y/o a la especialidad del médico consultado y/o a la prescripción de determinados medicamentos, y/o a indicaciones determinadas, develan datos de salud.

 

La Ley 27.553 solamente hace dos escuetas menciones a la LPDP. Por un lado, en materia de plataformas de teleasistencia, indica que las mismas solo pueden establecerse de conformidad con las prescripciones de LPDP. Por otro, tanto para la fiscalización de éstas, como para los sistemas de recetas electrónicas o digitales, los organismos que determine el Poder Ejecutivo, deberán garantizar la custodia de las bases de datos de asistencia profesional virtual, prescripción, dispensación y archivo, siendo responsables de aprobar los criterios de autorización y control de acceso a dichas bases de datos, asegurando el estricto cumplimiento de la LPDP, Ley 26.529 de Derechos del Paciente y demás normativas vigentes en la materia.

 

A diferencia de lo que sucede con la Ley 27.553, su decreto reglamentario hace diversas menciones a la normativa de privacidad. En tal sentido, y de modo general, la norma, además de brindar definiciones de receta electrónica y digital, exige, entre otros requisitos, que las mismas cumplan con “estándares de seguridad, disponibilidad, inviolabilidad y protección de datos personales, conforme la normativa vigente”. Por su parte, también establece que el Ministerio de Salud, como autoridad de aplicación, deberá “definir expresamente los criterios de acceso al conjunto de datos provenientes de las diversas fuentes contenidas en la receta digital o electrónica, de acuerdo con la […] Ley N° 25.326 de Protección de los Datos Personales[4] y establecer “una política de seguridad de la información y protección de datos personales a observar y cumplimentar por los sistemas informáticos de teleasistencia, prescripción y dispensa de receta electrónica o digital”.

 

El Decreto también establece que “las plataformas por las que se realicen prescripciones, validen y/o despachen recetas electrónicas o digitales o bien gestionen teleasistencias”, deben: (i) registrarse como responsables del tratamiento, (ii) prever mecanismos para garantizar la seguridad, privacidad, finalidad, oportunidad, veracidad e inviolabilidad de los datos; (iii) cumplir lo estipulado por la LPDP y garantizar a los usuarios el acceso a sus datos registrados, así como su actualización, conforme la Ley N° 26.529 de Derechos del Paciente, (iv) adoptar las medidas que resulten necesarias para garantizar la seguridad, disponibilidad, inviolabilidad, inalterabilidad y la confidencialidad de los datos, disponiendo también de tecnología para asegurar la ciberseguridad de los mismos. Claramente todas estas exigencias están en línea con una tutela más rígida de los datos que surjan de la utilización de este tipo de plataformas, ya que, tal como hemos mencionado, se trata de datos de salud.

 

Adicionalmente, la norma aclara que los datos de salud comprenden a los registros médicos, pero también a los documentos que los complementen, debiendo las plataformas asegurar su integridad, autenticidad, inalterabilidad, y perdurabilidad, así como también su disponibilidad y mecanismos de recuperación de los datos de salud almacenados.

 

Finalmente, y en línea con lo dispuesto por la LPDP, el Decreto considera que el dato sanitario disociado no se considerará dato sensible y podrá ser utilizado para investigaciones científicas o con fines estadísticos, epidemiológicos o de políticas sanitarias.

 

4. Programa Federal Único de Informatización y Digitalización de las Historias Clínicas de la República Argentina

 

Se creó el 16 de marzo de 2023, por medio de la Ley 27.706 con el propósito de instaurar progresivamente el Sistema Único de Registro de Historias Clínicas (el “Sistema”), respetando los principios establecidos en la Ley 26.529 de Derechos del Paciente, así como también en la LPDP. Recordemos que la historia clínica es “el documento por excelencia que almacena datos de salud”[5], definiéndola la Ley 26.529 como “el documento obligatorio cronológico, foliado y completo en el que conste toda actuación realizada al paciente por profesionales y auxiliares de la salud”, sujetándola a obligaciones de confidencialidad y privacidad de conformidad con lo dispuesto por la LPDP.

 

De acuerdo a la reciente Ley 27.706, en el Sistema que oportunamente se desarrolle, se deberá dejar constancia de toda “intervención médico-sanitaria a cargo de profesionales y auxiliares de la salud”, debiendo incluir todos los datos clínicos de la persona o paciente, de forma clara y de fácil entendimiento, desde el nacimiento hasta su fallecimiento, aclarando la norma que la información suministrada no puede ser alterada, sin que quede registrada la modificación pertinente de acuerdo a la LPDP.

 

En línea con dichas previsiones, la ley establece que la información contenida en el Sistema, así como también su registro, actualización o modificación y consulta se deben efectuar en estrictas condiciones de seguridad, integridad, autenticidad, confiabilidad, exactitud, inteligibilidad, conservación, disponibilidad, acceso y trazabilidad, asegurando en todo momento la confidencialidad de los datos.   

 

Adicionalmente, la norma exige que se garanticen los mecanismos informáticos para la autenticación de las personas, agentes, profesionales y auxiliares de la salud que intervengan en el Sistema y también el libre acceso al Sistema y seguimiento por parte del paciente, a efectos de que éstos puedan conocer los datos allí consignados, toda vez que son los titulares de los mismos de acuerdo a las previsiones de la LPDP.

 

Desde una perspectiva operativa, el Poder Ejecutivo deberá definir qué órgano será la autoridad de aplicación de la Ley, debiendo éste, entre otras tareas, encargarse de elaborar un protocolo de carga de historias clínicas, así como diseñar e implementar un software de historia clínica ajustándose, entre otras, a lo dispuesto por la LPDP y su reglamentación.

 

5. Nuevo proyecto de Ley de Protección de datos Personales

 

Cómo ya hemos explicado en un trabajo previo[6], durante el 2022 la AAIP preparó un anteproyecto de una nueva Ley de protección de datos personales (“Anteproyecto”). El mismo fue sometido a opinión pública, habiendo la AAIP recibido 173 opiniones, aportes y comentarios presentados por 123 participantes de distintos sectores de la ciudadanía. Como consecuencia y basado en el resultado obtenido de la participación, el 24 de febrero de 2023 se elevó al Congreso de la Nación el nuevo proyecto de LPDP (el “Proyecto”).

 

En lo que se refiere a datos relativos a la salud, al igual que el Anteproyecto, el Proyecto contempla las definiciones de datos biométricos y genéticos, con la diferencia que, en el caso de esta última, se eliminó de la definición el requisito de que sean “[…] obtenidos en particular del análisis de una muestra biológica”, quedando alineada con la Resolución 255/2022 antes mencionada.

 

Conclusión

 

Si bien es indiscutible que nuestra LDPD debe ser actualizada a efectos de ajustarse a los estándares internacionales, las actualizaciones normativas aquí analizadas resultan auspiciosas y tienden, aunque sea parcialmente a una protección ajustada a los tiempos que corren.

 

 

Citas

[1]  Rizzo Jurado, Franco y Palazzi, Pablo. “Protección de datos de salud en las industrias farmacéutica y de dispositivos médicos”. Protección de Datos Personales: Doctrina y Jurisprudencia. Editorial CDTY. 2021. Tomo II.

[2] Rizzo Jurado, Franco y Palazzi, Pablo. “Protección de datos de salud en las industrias farmacéutica y de dispositivos médicos”. Protección de Datos Personales: Doctrina y Jurisprudencia. Editorial CDTY. 2021. Tomo II.

[3] Ver Resolución 4 del 13 de enero de 2019 de la AAIP, mediante la cual se aprobaron criterios orientadores e indicadores de mejores prácticas en la aplicación de la Ley Nº 25.326.

 

[4] Y también con Ley N° 26.529 de “Derechos del Paciente, Historia Clínica y Consentimiento Informado”, en su relación con los Profesionales e Instituciones de la Salud.

[5] Rizzo Jurado, Franco y Palazzi, Pablo. “Protección de datos de salud en las industrias farmacéutica y de dispositivos médicos”. Protección de Datos Personales: Doctrina y Jurisprudencia. Editorial CDTY. 2021. Tomo II.

[6] Ver Rizzo Jurado, Franco. “Datos de salud en el nuevo anteproyecto de ley de protección de datos personales”. Publicado el 29 de septiembre de 2022 en www.abogados.com.ar

Opinión

El nuevo art. 245 bis de la LCT y la reedición de viejos errores del pasado
Por Lucas J. Battiston
PASBBA
detrás del traje
Diego Palacio
De PALACIO & ASOCIADOS
Nos apoyan