Sumario: 1. Introducción, 2. Los datos de salud como datos sensibles, 3. Alcances acerca del consentimiento, 4. La excepción al requisito de obtención del consentimiento, específica para el tratamiento de datos de salud, 5. Conclusiones.
1. Introducción
En las últimas semanas el país ha entrado en alerta por la proliferación del dengue y del Covid-19, situación que influye también en el manejo de información personal por parte de las entidades de salud privadas y públicas y, en (afortunadamente) menos casos, por parte de medios de prensa y hasta usuarios de redes sociales, de forma poco responsable.
El presente artículo comenzará por definir la naturaleza de los datos de salud de las personas como datos personales sensibles, de acuerdo con la Ley N° 29733, Ley de Protección de Datos Personales (LPDP) y su reglamento, aprobado por Decreto Supremo N° 003-2013-JUS (Reglamento de la LPDP), presentando algunas de las restricciones y garantías para su tratamiento, así como la vigencia de tales disposiciones ante situaciones de riesgo para la salud pública.
2. Los datos de salud como datos sensibles
En el numeral 5 de su artículo 2[1], la LPDP da la calidad de “datos sensibles” a una clase de datos personales relacionados con la esfera más íntima de las personas y cuyo tratamiento ilícito o inadecuado implica un mayor riesgo para sus derechos y eventualmente, un daño más grave, como posibles actos de estigmatización, hechos discriminatorios ilegales[2], contra su libertad personal o que afecten el desenvolvimiento de sus actividades en el momento o posteriormente.
El alcance de dicha definición, como se ve en el texto legal, abarca lo concerniente a los datos de salud de las personas, el mismo que se complementa con lo establecido en el numeral 6 del artículo 2 del Reglamento de la LPDP[3], al mencionar este la esfera de datos sensibles la información sobre la salud física y mental de las personas.
Siguiendo la vocación protectora de los derechos y libertades de la persona, el carácter sensible de estos datos personales no se queda solo en información sobre los actos y diagnósticos médicos, sino que se extiende a los exámenes e informaciones preliminares (síntomas, historias clínicas), e incluso a los relativos al estado de salud extraídos por medio de dispositivos electrónicos (elementos del internet de las cosas, como relojes o prendas de vestir con sensores y conexión a la red)[4].
En la misma línea y en virtud de la mencionada mayor gravedad de los daños a la persona generados por el tratamiento ilícito o inadecuado de datos sensibles, es que la normativa contempla mayores garantías para su corrección (de acuerdo con lo indicado en el artículo 3 de la LPDP[5]), como las disposiciones referidas al consentimiento que debe obtenerse del titular de los datos personales, para que un tercero pueda efectuar tal tratamiento.
3. Alcances acerca del consentimiento
En principio, como señalamos en anteriores publicaciones, el derecho fundamental a la protección de datos personales (denominado en el ámbito constitucional como “autodeterminación informativa”), otorga a la persona el dominio total sobre los datos que lo identifican o que informan sobre ella incluso sobre lo que haga o pueda hacer un tercero que dicha información (tratamiento), a través del conocimiento de los pormenores de tal tratamiento, y prerrogativas para permitir dicho tratamiento, el consentimiento, e impedirlo, al denegar este consentimiento o revocarlo cuando anteriormente
En tal sentido, la LPDP y su reglamento tienen como principal presupuesto de legitimidad del tratamiento de datos personales a dicho consentimiento, el mismo que se incluye como uno de sus principios rectores, en el artículo 5 de la LPDP, señalando que “el tratamiento de los datos personales debe mediar el consentimiento de su titular”. El desarrollo de este principio se encuentra básicamente en el inciso 13.5 del artículo 13 de la LPDP y en el artículo 12 del reglamento de dicha ley, que establecen los requisitos de validez del consentimiento en la generalidad de los casos (debe ser libre, expreso e inequívoco, previo al tratamiento, e informando previamente acerca de pormenores de tal tratamiento).
En el caso de los datos sensibles, el inciso 13.6 del mencionado artículo de la LPDP[6] establece un requisito de validez que se suma a los mencionados: El consentimiento debe ser brindado por escrito por el titular de los datos personales, lo cual obedece a la necesidad de asegurar la correcta e indiscutible manifestación de voluntad del titular y de tener evidencia d tal declaración. Los alcances de dicho carácter escrito se amplían también al ámbito digital, de acuerdo con el artículo 14 del Reglamento de la LPDP.
A su vez, el mismo numeral del artículo 13 de la LPDP establece una condición que permite el tratamiento de los datos personales sensibles aún sin el consentimiento: La autorización por ley, siempre que concurra con alguna situación de interés público, situaciones que son establecidas como excepciones al requisito del consentimiento, en el artículo 14 de la LPDP, que se estudiarán a continuación.
4. La excepción al requisito de obtención del consentimiento, específica para el tratamiento de datos de salud
El artículo 14 de la LPDP tiene un listado de situaciones que podrían entenderse como legitimadoras por sí mismas del tratamiento, prescindiendo del consentimiento, lo cual implica la limitación del derecho fundamental que puede surgir de alguna de las siguientes situaciones generales:
- La voluntad de consentir el tratamiento manifestada a través de otro acto que, para su concreción, requiere de tal tratamiento, como el establecimiento de una relación contractual por parte del titular o un acto en beneficio de los intereses del mismo, que no se puede realizar sin una determinada información de la persona; o,
- El cumplimiento de una norma legal, que representa los intereses o necesidades de la nación, o la priorización de un interés público relevante, calificado como tal por el Poder Ejecutivo, como es sucede con la salud pública en una situación en la que el derecho individual debe ceder ante el bien común, siempre a través de procedimientos proporcionales, lo menos invasivos o gravitantes para la persona.
Al respecto, conviene tener en cuenta que pese a la especial protección que la normativa brinda a los datos sensibles, por dichas situaciones generales hacen extensiva la excepción del consentimiento hasta los supuestos de tratamiento de dicha información personal, puesto que el artículo 14 mencionado no hace distinción entre las clases de datos personales objeto de tratamiento; situación que no significa reducir otras garantías, como se verá más adelante[7].
El numeral 6 del artículo 14 de la LPDP[8], dirigido específicamente para casos de tratamiento de datos de salud, contiene tres supuestos de hecho en los que no es obligatorio obtener el consentimiento del titular, diferenciables por su elemento objetivo, mencionados a continuación:
- La necesidad para la prevención, diagnóstico, tratamiento médico o quirúrgico del titular o en circunstancia de riesgo, realizándose en un establecimiento de salud o por un profesional de la salud; escenario donde prevalece la vida y la salud del individuo por sobre su voluntad, respecto del tratamiento de sus datos de salud.
- Razones de interés público previstas en una ley y declaradas como tales por el Poder Ejecutivo en las que prevalece el bien público establecido por norma con rango de ley sobre la voluntad del individuo, lo cual se hace mucho más evidente en casos de salud pública ante amenazas transfronterizas graves[9].
- Análisis epidemiológicos, debiendo procederse con la disociación de los datos personales.
En casos como el dengue o el Covid-19, se declaró la Emergencia Sanitaria por medio de sendos Decretos Supremos refrendados por el Presidente de la República y por la Ministra de Salud, buscando proteger un bien de interés público como es la protección de la salud de acuerdo con los numerales II y IV del título preliminar de la Ley N° 26842, Ley General de Salud[10]. En consecuencia, se configuran los elementos del segundo supuesto de los planteados, permitiéndose el tratamiento de datos personales que satisfaga dicho interés público, como con la identificación y ubicación de posibles infectados, aplicación de tratamientos, determinación de círculos de contagio, entre otros ejemplos que podrían significar el tratamiento de datos personales de varios sujetos.
De otro lado, es claramente aplicable la exención de la obligación de obtener el consentimiento en los casos del primer supuesto, considerando que este se efectuará en el marco del diagnóstico y tratamiento debidamente efectuado en un establecimiento de salud, a cargo de un profesional.
Debe tomarse en cuenta al respecto que, más allá del interés público o de la protección de la vida y salud de la persona que superan su voluntad, aquel derecho fundamental no se extingue, sino que continúan siendo exigible a los responsables del tratamiento (establecimientos de salud, profesionales y/o entidades públicas competentes) las demás disposiciones de la normativa, como la aplicación de medidas de seguridad necesarias para preservar la integridad, disponibilidad y confidencialidad de los datos personales, la obligación de dar tratamiento solo a los datos estrictamente necesarios para la finalidad pública (principios de finalidad y proporcionalidad), entre otros.
Ahora bien, en cuanto al factor subjetivo, es preciso tener en cuenta el ámbito limitado de quienes son los responsables de tratamiento para estos casos, partiendo por los establecimientos de salud públicos o privados, profesionales, entidades involucradas con la protección de la salud pública, de acuerdo con la disposición legal y la declaratoria de estado de excepción antes señalada. En tal sentido, esta excepción de obtención del consentimiento no se extiende a personas que no cumplan ninguna función al respecto, como puede suceder con entidades públicas, particulares o medios de comunicación, lo cual impide casi totalmente la posibilidad de dichos tratamientos y, en el caso remoto de que se concreten, habilita su sanción como una infracción grave, como informa la Autoridad Nacional de Protección de Datos Personales.
5. Conclusiones
Al pertenecer a la esfera más íntima de la persona y la consiguiente mayor gravedad de los daños derivados de su tratamiento inadecuado, los datos de salud son considerados como datos sensibles, de acuerdo con la definición de la LPDP, siendo sujetos de medidas de mayor protección, como más requisitos para la validez de su consentimiento.
No obstante, pese a que el consentimiento válido simboliza el protegido dominio de la persona sobre su información personal, este valor debe ponderarse y ceder en ciertas situaciones, como aquellas en las que predomina la protección de otro derecho de su titularidad (vida y salud) o intereses públicos legalmente protegidos en un estado de excepción declarado (protección de la salud pública). Es así que surgen excepciones a la obligación de los responsables del tratamiento de obtener tal consentimiento, previstas en el artículo 14 de la LPDP, siendo una de ellas la referida a los datos de salud en estados de emergencia sanitaria declarados por el Poder Ejecutivo, con motivo de los brotes de dengue y Covid-19.
Dicha excepción solo abarca el tema del consentimiento, no siendo aplicable al cumplimiento de otras obligaciones contempladas en la LPDP y su reglamento, cuya exigibilidad no depende de la manifestación de voluntad del titular de los datos personales y sirve para garantizar el tratamiento proporcionado y seguro de su información.
[1] Ley 29733, Ley de Protección de Datos Personales
“Artículo 2. Definiciones
Para todos los efectos de la presente ley, se entiende por:
(…)
- Datos sensibles. Datos personales constituidos por los datos biométricos que por sí mismos pueden identificar al titular; datos referidos al origen racial y étnico; ingresos económicos; opiniones o convicciones políticas, religiosas, filosóficas o morales; afiliación sindical; e información relacionada a la salud o a la vida sexual.”
[2] REMOLINA ANGARITA, Nelson. Tratamiento de Datos Personales. Aproximación Internacional y Comentarios a la Ley 1581 de 2012, Legis Editores S.A., Bogotá, Colombia, 2013. P. 149.
[3] Reglamento de la Ley N° 29733, Ley de Protección de Datos Personales
“Artículo 2. Definiciones
Para los efectos de la aplicación del presente reglamento, sin perjuicio de las definiciones contenidas en la Ley, complementariamente, se entiende las siguientes definiciones:
(…)
- Datos sensibles: Es aquella información relativa a datos personales referidos a las características físicas, morales o emocionales, hechos o circunstancias de su vida afectiva o familiar, los hábitos personales que corresponden a la esfera más íntima, la información relativa a la salud física o mental u otras análogas que afecten su intimidad.”
[4] ÁLVAREZ RIGAUDIAS, Cecilia. Tratamiento de datos de salud. En Reglamento General de Protección de Datos. Hacia un nuevo modelo europeo de privacidad, dirigido por PIÑAR MAÑAS, José Luis y coordinado por ÁLVAREZ CARO, María y RECIO GAYO, Miguel. Madrid, Editorial Reus, S.A., 2016. P. 174.
[5] Ley 29733, Ley de Protección de Datos Personales
“Artículo 3. Ámbito de aplicación
La presente Ley es de aplicación a los datos personales contenidos o destinados a ser contenidos en bancos de datos personales de administración pública y de administración privada, cuyo tratamiento se realiza en el territorio nacional. Son objeto de especial protección los datos sensibles.
(…)”
[6] Ley 29733, Ley de Protección de Datos Personales
“Artículo 13. Alcances sobre el tratamiento de datos personales
Para todos los efectos de la presente ley, se entiende por:
13.5 Los datos personales solo pueden ser objeto de tratamiento con consentimiento de su titular, salvo ley autoritativa al respecto. El consentimiento debe ser previo, informado, expreso e inequívoco.
13.6 En el caso de datos sensibles, el consentimiento para efectos de su tratamiento, además, debe efectuarse por escrito. Aun cuando no mediara el consentimiento del titular, el tratamiento de datos sensibles puede efectuarse cuando la ley lo autorice, siempre que ello atienda a motivos importantes de interés público.”
[7] Al respecto, resulta útil revisar diversas absoluciones de consultas a cargo de la Autoridad Nacional de Protección de Datos Personales, emitidas en los años 2013, 2014 y 2015
[8] Ley 29733, Ley de Protección de Datos Personales
“Artículo 14. Limitaciones al consentimiento para el tratamiento de datos personales
No se requiere el consentimiento del titular de datos personales, para los efectos de su tratamiento, en los siguientes casos:
(…)
- Cuando se trate de datos personales relativos a la salud y sea necesario, en circunstancia de riesgo, para la prevención, diagnóstico y tratamiento médico o quirúrgico del titular, siempre que dicho tratamiento sea realizado en establecimientos de salud o por profesionales en ciencias de la salud, observando el secreto profesional; o cuando medien razones de interés público previstas por ley o cuando deban tratarse por razones de salud pública, ambas razones deben ser calificadas como tales por el Ministerio de Salud; o para la realización de estudios epidemiológicos o análogos, en tanto se apliquen procedimientos de disociación adecuados.”
[9] TRUJILLO CABRERA, Carlos. Las bases de legitimación del tratamiento de datos personales. En especial, el consentimiento. En Protección de Datos, Responsabilidad Activa y Técnicas de Garantía, dirigido por MURGA FERNÁNDEZ, Juan Pablo, FERNÁNDEZ SCAGLIUSI, María de los Ángeles y ESPEJO LERDO DE TEJADA, Manuel. Madrid, Editorial Reus, S.A., 2018. P. 67.
[10] Ley 26842, Ley General de Salud
“TÍTULO PRELIMINAR
(…)
II. La protección de la salud es de interés público. Por tanto, es responsabilidad del Estado regularla, vigilarla y promoverla.
(…)
IV. La salud pública es responsabilidad primaria del Estado. La responsabilidad en materia de salud individual es compartida por el individuo, la sociedad y el Estado.”
