Conclusiones: 1. Para todo tratamiento de datos personales debe mediar consentimiento previo, informado, expreso e inequívoco de su titular, salvo ley autoritativa al respecto o el tratamiento se ampare en algunas de las excepciones al consentimiento reguladas por el artículo 14 de la LPDP, como la revisión de datos contenidos en fuentes accesibles para el público.
2. Los datos de los profesionales de la salud referentes a la programación de turnos asistenciales, nombres y apellidos del profesional de la salud, colegio profesional, número de colegiatura, especialidad, día y hora de la atención responden a la finalidad de información sobre la identificación del personal de salud y turno/programación asistencial a cuyo derecho de acceso tienen los pacientes y/o usuarios del servicio de salud, constituyendo datos necesarios y suficientes para ejercer las funciones propias del servicio frente a los usuarios.
3. La publicación del número de DNI de los médicos en el portal institucional de SUSALUD, con la finalidad de dar a conocer los turnos de atención no resulta necesaria, en tanto el número de colegiatura y el nombre del colegio profesional cumplen con suficiencia el propósito de identificación del médico como profesional de salud.
OPINIÓN CONSULTIVA N° 020-2023-DGTAIPD
ASUNTO: Consulta sobre tratamiento de datos personales de profesionales de la salud para información de los usuarios
REFERENCIA: Hoja de Trámite N°000158263-2023MSC
FECHA: 6 de junio de 2023
I. ANTECEDENTES
1. Mediante el documento de la referencia, la Superintendencia Adjunta de Regulación y Fiscalización de la Superintendencia Nacional de Salud (en adelante, “SUSALUD”) solicita a esta Dirección General emitir opinión consultiva respecto al tratamiento de datos personales de profesionales de la salud para información de los usuarios sobre la programación de turnos asistenciales, nombres y apellidos del profesional de la salud, el número de DNI, colegio profesional, número de colegiatura, especialidad, día y hora de la atención; específicamente, si la publicación de dicha información en el portal institucional de SUSALUD vulneraría o no la Ley de Protección de Datos Personales.
2. En específico, se consulta lo siguiente:
“(…), a fin de contar con información desagregada en beneficio de los usuarios a los servicios de salud, se ha formulado el proyecto de norma que modifica el Reglamento para la Recolección, Transferencia y Difusión de Información de las Prestaciones de Salud generadas por las Instituciones Prestadoras de Servicio de Salud (IPRESS) y por las Unidades de Gestión de IPRESS (UGIPRESS)”, a fin de que las IPRESS o UGIPRESS presenten información de la programación de los turnos asistenciales de los profesionales de la salud, así como una estructura de datos que utilicen para tal fin, incluyéndose en otros datos, nombres y apellidos del profesional de la salud, el número de DNI, colegio profesional, número de colegiatura, especialidad, día y hora de la atención. Es importante indicar que la información detallada de la programación asistencial del personal profesional de la salud será publicada en el portal institucional a fin de permitir a toda persona, estar debidamente informada de la programación asistencial de los profesionales de la salud que brindan las prestaciones de salud en sus diversas especialidades, ejerciendo así sus derechos de acceso a los servicios de salud con la información adecuada y oportuna para una mejor toma de decisiones. Información que coadyuvará a la supervisión a cargo de SUSALUD sobre las IPRESS y UGIPRESS, en el marco de la protección de derechos en salud, toda vez que debe estar disponible para la Autoridad de Salud y los usuarios de acuerdo al Artículo 38° del Reglamento de Establecimientos de Salud y Servicios Médicos de Apoyo aprobado por Decreto Supremo N° 013-2006-SA. En ese contexto, se consulta si la información que se requerirá detallar con la propuesta normativa y publicar, vulneraría la Ley, N° 29733, Ley de Protección de Datos Personales, teniendo en consideración que los datos solicitados son el desagregado de la información que a la fecha vienen reportando las IPRESS y UGIPRESS a través de la Tabla Agregada “J”. (El subrayado es nuestro)
II. MARCO NORMATIVO DE ACTUACIÓN
2. El artículo 32 de la Ley N° 29733, Ley de Protección de Datos Personales (en adelante, la “LPDP”), crea la Autoridad Nacional de Protección de Datos Personales (en adelante, la “ANPD”), que se rige por dicha ley, su reglamento y las normas pertinentes del Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos, aprobado mediante Decreto Supremo N° 013-2017-JUS (en adelante, “ROF del MINJUS”).
3. Entre las funciones de la ANPD, previstas en el artículo 33 de la LPDP, se encuentra la de absolver consultas sobre protección de datos personales y emitir opinión técnica respecto de los proyectos de normas que se refieran total o parcialmente a los datos personales, la cual es vinculante[1].
4. Por su parte, el ROF del MINJUS, establece en su artículo 70 que la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales (en adelante, la “DGTAIPD”) es el órgano de línea encargado de ejercer la ANPD, por lo que tiene entre sus funciones absolver consultas sobre protección de datos personales y emitir opinión técnica respecto de proyectos normativos que se refieran a los ámbitos de su competencia.[2]
5. En este sentido, esta Dirección General, en su calidad de órgano de línea del Ministerio de Justicia y Derechos Humanos sobre el que recae la ANPD, emite la presente Opinión Consultiva en el ámbito de la interpretación abstracta de las normas y no como mandato específico de conducta para un caso en concreto.
III. ANÁLISIS
6. La LPDP tiene como objeto garantizar el derecho fundamental a la protección de datos personales, previsto en el numeral 6 del artículo 2 de la Constitución Política del Perú, que señala que toda persona tiene derecho “a que los servicios informáticos, computarizados o no, públicos o privados, no suministren informaciones que afecten la intimidad personal y familiar.”
7. El numeral 4 del artículo 2 de la LPDP define a los datos personales como “toda información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados.”
8. El artículo 2, numeral 19 de la LPDP define al tratamiento de datos personales como “cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales.”
9. La LPDP señala los principios y disposiciones para el adecuado tratamiento de datos personales. En ese sentido, esta Dirección procederá a analizar si la publicación de datos personales como los nombres y apellidos del profesional de la salud, el número de DNI, colegio profesional, número de colegiatura, especialidad, día y hora de la atención resulta acorde con los preceptos de la LPDP.
10. Debemos partir de la premisa, de que, para todo tratamiento de datos personales debe mediar el consentimiento del titular del dato personal. El principio de consentimiento, regulado en el artículo 5 de la LPDP, establece que “para el tratamiento de los datos personales debe mediar el consentimiento de su titular, salvo ley autoritativa al respecto”. Asimismo, el numeral 5 del artículo 13 de la LPDP, señala que “los datos personales solo pueden ser objeto de tratamiento con consentimiento de su titular, salvo ley autoritativa al respecto. El consentimiento debe ser previo, informado, expreso e inequívoco.”
11. No obstante, el artículo 14 de la LPDP dispone una serie de excepciones que permite realizar tratamiento de datos sin obligación de obtención previa del consentimiento, entre ellas, cuando se trate de datos personales contenidos o destinados a ser contenidos en fuentes accesibles para el público.
12. Respecto a las fuentes accesibles al público, el artículo 2, numeral 11, de la LPDP, las define como “bancos de datos personales de administración pública o privada, que pueden ser consultados por cualquier persona, previo abono de la contraprestación correspondiente, de ser el caso. Las fuentes accesibles para el público son determinadas en el reglamento.”
13. El artículo 17 del Reglamento de la Ley de Protección de Datos Personales, aprobado a través del Decreto Supremo N° 003-2013-JUS (en adelante, el “Reglamento de la LPDP”) determina las fuentes accesibles al público, entre las que se encuentran las siguientes:
“Artículo 17.- Fuentes accesibles al público.
Para los efectos del artículo 2, inciso 9) de la Ley, se considerarán fuentes accesibles al público, con independencia de que el acceso requiera contraprestación, las siguientes:
(…)
5. Las listas de personas pertenecientes a grupos profesionales que contengan únicamente los datos de nombre, título, profesión, actividad, grado académico, dirección postal, número telefónico, número de fax, dirección de correo electrónico y aquellos que establezcan su pertenencia al grupo.
En el caso de colegios profesionales, podrán indicarse además los siguientes datos de sus miembros: número de colegiatura, fecha de incorporación y situación gremial en relación al ejercicio profesional.
(…)
7. Los Registros Públicos administrados por la Superintendencia Nacional de Registros Públicos – SUNARP, así como todo otro registro o banco de datos calificado como público conforme a ley.
8. Las entidades de la Administración Pública, en relación a la información que deba ser entregada en aplicación de la Ley Nº 27806, Ley de Transparencia y Acceso a la Información Pública.
Lo dispuesto en el numeral precedente no quiere decir que todo dato personal contenido en información administrada por las entidades sujetas a la Ley de Transparencia y Acceso a la Información Pública sea considerado información pública accesible. La evaluación del acceso a datos personales en posesión de entidades de administración pública se hará atendiendo a las circunstancias de cada caso concreto.
El tratamiento de los datos personales obtenidos a través de fuentes de acceso público deberá respetar los principios establecidos en la Ley y en el presente reglamento.”
14. Cabe mencionar que el tratamiento de los datos personales obtenidos a través de fuentes de acceso público deberá respetar los principios establecidos en la LPDP y su reglamento, como los principios de finalidad3 y proporcionalidad.[4]
15. En esta línea, se puede apreciar que la publicación de datos personales como los nombres y apellidos del profesional de la salud, colegio profesional, número de colegiatura y especialidad, son datos de acceso público siempre que el tratamiento responda a la finalidad de identificar a los profesionales de los grupos profesionales y colegios profesiones (en este caso de los servicios de salud).
16. Respecto a la información sobre el nombre y los horarios y/o programación de turnos (día y hora de la atención) correspondientes a los profesionales de la salud, la publicidad de los mismos resulta legítima en tanto responde a la finalidad de resguardar los derechos de los usuarios de los servicios de salud regulados por la Ley N° 26842, Ley General de Salud, en su artículo 15 modificado por el Artículo 1 de la Ley Nº 29414:
“Artículo 15.- Toda persona tiene derecho a lo siguiente:
15.1 Acceso a los servicios de salud
(…)
b) A elegir libremente al médico o el establecimiento de salud, según disponibilidad y estructura de éste, con excepción de los servicios de emergencia.
(…)
15.2 Acceso a la información
(…)
b) A conocer el nombre del médico responsable de su tratamiento, así como el de las personas a cargo de la realización de los procedimientos clínicos. En caso de que se encuentre disconforme con la atención, el usuario debe informar del hecho al superior jerárquico.
(…)
i) A conocer en forma veraz, completa y oportuna las características del servicio, los costos resultantes del cuidado médico, los horarios de consulta, los profesionales de la medicina y demás términos y condiciones del servicio.”
17. En este sentido, el artículo 38 del Reglamento de Establecimientos de Salud y Servicios Médicos de Apoyo, aprobado mediante Decreto Supremo N°013-2006-SA dispone que “El establecimiento debe contar con personal suficiente e idóneo para garantizar la calidad y continuidad de la atención, en los horarios establecidos. La programación del personal deberá estar disponible para su verificación por la Autoridad de Salud y los usuarios.”
18. De lo expuesto, se desprende que los datos de los profesionales de la salud referentes a la programación de turnos asistenciales, nombres y apellidos del profesional de la salud, colegio profesional, número de colegiatura, especialidad, día y hora de la atención responden a la finalidad de información sobre la identificación del personal de salud y turno/programación asistencial a cuyo derecho de acceso tienen los pacientes y/o usuarios del servicio de salud, constituyendo datos necesarios y suficientes para ejercer las funciones propias del servicio frente a los usuarios, cuya publicidad a través del portal de SUSALUD resulta a criterio de esta Dirección legitimada.
19. Finalmente, respecto al tratamiento del número de DNI de los médicos que atienden en centro profesionales de la salud esta Dirección General observa que la publicación del dicho dato no resulta necesaria, puesto que el número de colegiatura y el nombre del colegio profesional resultan idóneos y suficientes para identificar al médico en cuestión, así como para conocer si se encuentra habilitado para el ejercicio profesional.
IV. CONCLUSIONES
1. Para todo tratamiento de datos personales debe mediar consentimiento previo, informado, expreso e inequívoco de su titular, salvo ley autoritativa al respecto o el tratamiento se ampare en algunas de las excepciones al consentimiento reguladas por el artículo 14 de la LPDP, como la revisión de datos contenidos en fuentes accesibles para el público.
2. Los datos de los profesionales de la salud referentes a la programación de turnos asistenciales, nombres y apellidos del profesional de la salud, colegio profesional, número de colegiatura, especialidad, día y hora de la atención responden a la finalidad de información sobre la identificación del personal de salud y turno/programación asistencial a cuyo derecho de acceso tienen los pacientes y/o usuarios del servicio de salud, constituyendo datos necesarios y suficientes para ejercer las funciones propias del servicio frente a los usuarios.
3. La publicación del número de DNI de los médicos en el portal institucional de SUSALUD, con la finalidad de dar a conocer los turnos de atención no resulta necesaria, en tanto el número de colegiatura y el nombre del colegio profesional cumplen con suficiencia el propósito de identificación del médico como profesional de salud.
Descargue el documento completo aquí
[1] Ley N° 29733, Ley de Protección de Datos Personales
“Artículo 33. Funciones de la Autoridad Nacional de Protección de Datos Personales
La Autoridad Nacional de Protección de Datos Personales ejerce las funciones administrativas, orientadoras, normativas, resolutivas, fiscalizadoras y sancionadoras siguientes:
(…)
10. Absolver consultas sobre protección de datos personales y el sentido de las normas vigentes en la materia, particularmente sobre las que ella hubiera emitido.
11. Emitir opinión técnica respecto de los proyectos de normas que se refieran total o parcialmente a los datos personales, la que es vinculante.
(…)”
[2] Reglamento de Organización y Funciones del Ministerio de Justicia y Derechos Humanos
“Artículo 71.- Funciones de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales
Son funciones de la Dirección General de Transparencia, Acceso a la Información Pública y Protección de Datos Personales las siguientes:
(…)
d) Emitir opinión técnica respecto de los proyectos de normas que se refieran total o parcialmente a los ámbitos de su competencia. En materia de protección de datos personales la opinión técnica es vinculante.
e) Absolver las consultas que las entidades o las personas jurídicas o naturales le formulen respecto de la aplicación de normas de transparencia y acceso a información pública; así como sobre protección de datos personales.
(…)”
[3] LPDP
“Artículo 6. Principio de finalidad
Los datos personales deben ser recopilados para una finalidad determinada, explícita y lícita. El tratamiento de los datos personales no debe extenderse a otra finalidad que no haya sido la establecida de manera inequívoca como tal al momento de su recopilación, excluyendo los casos de actividades de valor histórico, estadístico o científico cuando se utilice un procedimiento de disociación o anonimización.”
[4] LPDP:
“Artículo 7. Principio de proporcionalidad
Todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para la que estos hubiesen sido recopilados.”