Caso MINSAL: Chile no va a proteger los datos personales

Por Carlos Reusser Monsálvez

El que es el más potente centro de investigación del país, Ciper Chile, reveló hace pocos días que la negligencia con que el Ministerio de Salud (Minsal) trató los datos personales de los ciudadanos redundó en uno de los casos más notorios de vulneración de derechos que se tenga memoria en nuestra era tecnológica nacional: datos personales de miles de personas que incluían su nombre, número único de identificación (el RUN), domicilio, caso médico, medicamentos utilizados, etc. quedaron por meses expuestos al libre conocimiento por parte de los más de 100 mil empleados que tienen acceso a la red informática del Ministerio de Salud, con acceso incluso desde fuera de los centros de salud y a lo largo de todo el país.

Especialmente relevante es lo expuestas que quedaron las personas con datos sobre VIH, con antecedentes de cáncer, los que tienen problemas de salud mental o que sufrieron procedimientos de aborto.

¿Por qué?. Porque se trata de tipos de datos conocidos internacionalmente como “datos sensibles”, es decir aquellos cuyo mero conocimiento por terceros los pone en riesgo que a su respecto se tomen decisiones arbitrarias en base a prejuicios ocultos pero muy presentes en nuestras sociedades.

¿Contratarías a alguien profesionalmente competente que ha tenido cáncer?. Muchos optarán por negarse ante el riesgo de las licencias médicas o el que fallezca después de haber “invertido” en su formación. ¿Le arrendarías tu casa a un señor que necesita administrarse retrovirales para vivir?. Más de alguien dirá que no por las razones incorrectas, pero seguirá siendo un NO.

Y así, hay un largo cúmulo de efectos devastadores para las personas porque alguien sabe algo de ti (que no debería saber) y toma decisiones arbitrarias en base a ello, como dejarte sin trabajo, sin hogar, sin seguros de salud o restringiendo el círculo de personas con las que puedes tomar contacto o a las que tú o tus hijos pueden acceder.

Tengan muy presente que los datos sensibles no son solo los de salud, sino que todos aquellos cuyo conocimiento por terceros te deja en una posición vulnerable, como los de origen racial o étnico, opiniones políticas, convicciones religiosas, afiliación sindical, vida sexual o cualquier otro dato que, por su naturaleza o su contexto, pueda provocar algún trato discriminatorio en tu contra.

Como consecuencia de ello este tipo de datos debe tener un régimen especial de protección y los organismos públicos o privados que deben tratar datos de esta naturaleza, como el Ministerio de Salud, están obligados a tomar todos los resguardos jurídicos, organizativos y técnicos para que ellos solo puedan ser conocidos y utilizados en el ámbito en que su uso sea necesario y aceptable, pero con medidas de seguridad incluso superiores a otros tipos de datos personales.

En el fondo, y haciendo una analogía (que no sé si resultará tan afortunada), quien trata datos sensibles es como el proveedor de explosivos para la industria minera: solo puede entregarlos a personas determinadas para fines conocidos y necesarios y siempre con medidas de seguridad asociadas.

Y, por supuesto, debe garantizar que nadie pueda acceder al depósito de explosivos y llevárselos con otras intenciones, por lo que debe organizar todo para tener un férreo control de lo que ocurre con ellos en todo momento.

Lo mismo se aplica al Ministerio de Salud. ¿Que el Ministerio contrató la solución tecnológica con una tercera empresa?. Puede hacerlo, pero frente a los titulares de los datos ello es indiferente o irrelevante: el responsable frente a nosotros, los titulares de datos sensibles, es el Ministerio de Salud, pues él nos los pidió y los conservó diciendo que los custodiaría y usaría solo para fines determinados y que estarían adecuadamente resguardados. El cumplimiento o no de los contratos con sus proveedores no es asunto de los titulares de datos.

¡Ajá!, dirá usted, entonces es claro que el responsable en este caso es el Ministerio de Salud chileno.

Si y no. Es decir, efectivamente es el responsable, pero en la actual situación ello se traducirá en nada. Algunos de nosotros que se hayan visto afectados por esta vulneración y que puedan probar fehacientemente quién fue el que nos apuñaló por la espalda con la base de datos del Minsal en la mano podrían intentarlo judicialmente, pero es extraordinariamente difícil sobre todo si consideramos que la ley chilena de protección de la vida privada es muy antigua y solo útil para emparejar las patas cojas de las mesas.

Es decir, sufriremos las consecuencias, pero las deficiencias legislativas de Chile harán imposible determinar responsables o aplicar sanciones. Nuestros derechos en materia de protección de datos, en la práctica, carecen de valor desde hace mucho tiempo a pesar de los esfuerzos de la sociedad civil y las siempre renovadas promesas de la Presidenta Bachelet (en la campaña electoral del 2005 y nuevamente en la campaña del 2014).

El tema de fondo es otro: no todos los órganos del Estado tienen profesionales expertos en protección de datos y no deben porqué tenerlos, pues los países suelen contar con un organismo técnico-especializado de alto nivel, una autoridad de protección de datos, que es la que enseña, da las pautas y directrices, establece los estándares, fija sistemas de auditoría, fiscaliza y aplica sanciones a los responsables de exponer al riesgo a las personas.

Y eso en Chile no hay, a pesar de que nos comprometimos a ello con Europa en el 2002 y con la OCDE en el 2010; de hecho la OCDE nos pregunta periódicamente como avanzamos en esta materia, si ya tenemos autoridad de protección de datos y un sistema de sanciones, y siempre le contestamos que “estamos trabajando en ello”, pero es una mentira: la decisión política (o la falta de ella) no ha variado en los últimos 20 años.

Así que, tristes noticias amigos míos: en esta ocasión, y en las que vendrán, seremos sacrificados en nombre de la desidia de quienes periódicamente nos dicen lo mucho que les importamos: Chile no va a proteger nuestros datos personales.

La protección de la información no divulgada y la salud pública: aproximaciones

infosalud

Por Mayra Delgado Novoa

La protección de datos es, hoy por hoy, una necesidad para la defensa de la intimidad de las personas ante el flujo permanente de información en todos los ámbitos de la vida actual. Sin embargo, existen otras esferas tal vez menos inmediatas, pero no menos importantes de la actividad humana, donde la protección (o no) de datos resulta objeto de análisis y discusión en la interpretación de la base normativa, tanto internacional, regional o nacional que existe al respecto.

Pongamos el ejemplo de una importante empresa farmacéutica que ha producido un nuevo medicamento. Para lograrlo ha tenido que hacer una considerable inversión en investigación y desarrollo y ha realizado una gran cantidad de pruebas pre-clínicas, clínicas y toxicológicas, a fin de determinar su seguridad y eficacia. En consecuencia, exige una mayor protección de los datos resultantes de éstas, a fin de poder recuperar su inversión y, al mismo tiempo, evitar que sus competidores produzcan una copia idéntica del citado medicamento, y que eventualmente lo registren. La lógica de la industria habla de números y no es menos cierto que nadie invertiría en promover, organizar y financiar una investigación si los resultados de la misma no se protegieran contra terceros.

No obstante, ante estos criterios se esgrimen algunos argumentos interesantes:

  • La falta de divulgación de estos datos contradice el derecho de las personas a estar informados acerca de la eficacia y la toxicidad de los productos farmacéuticos derivados de la investigación.
  • Los organismos de regulación sanitaria no podrían estudiar las entidades químicas a profundidad, por lo que no existe garantía que el criterio de su producción no este influenciado por intereses comerciales.
  • Las compañías farmacéuticas podrian tener interés en que no se publiquen investigaciones desfavorables para sus productos.
  • Si el organismo de regulacion sanitaria no tiene la libertad de utilizar estos datos como base para realizar el examen de solicitudes presentadas para registrar productos similares, será necesario duplicar gran cantidad de exámenes clínicos y toxicológicos, lo cual seria un despilfarro de recursos, e incluso pudiera ser cuestionable éticamente si fuera necesario realizar pruebas con animales.
  • Las empresas de los países en vías de desarrollo, especialmente los fabricantes de genéricos, se verían obligados a repetir pruebas prolongadas y costosas, e incluso podrían carecer de recursos para realizarlas.
  • Se reduciría la libre competencia y el suministro de medicamentos, los que deberían ser accesibles al público, al menor precio posible.

En estos argumentos esgrimidos por ambas partes se contraponen dos posiciones aparentemente irreconciliables: por una parte la necesidad de estimular el desarrollo tecnológico, a través de la potenciación de la investigación y el desarrollo, y por otra parte la promoción de adecuadas prácticas competitivas que garanticen la transparencia de estos procesos y los precios accesibles de los medicamentos.

Según Carlos Correa*, el tema de la protección de datos puede ser especialmente relevante en el caso de los productos no patentados y en el de los productos, como los biológicos, que son frecuentemente difíciles de patentar. En aquellos casos en el que el producto está protegido por una patente, su titular puede, en principio, excluir cualquier tipo de competencia mientras tenga vigencia dicha patente. Por otra parte, los sistemas de protección de datos (en los casos en que otorgan exclusividad) podrían convertirse en un sustituto parcial de la protección vía patentes para muchos países en vías de desarrollo en los que se ha excluido de la protección mediante patentes a los productos farmacéuticos.

El Acuerdo de los Derechos de Propiedad Intelectual relacionados con el Comercio (Acuerdo sobre los ADPIC), firmado en 1994 y que forma parte de un anexo al Convenio por el cual se crea la Organización Mundial del Comercio (OMC), incluye en su texto la primera norma internacional sobre el tema. De hecho, el Articulo 39.3 establece: “Los Miembros, cuando exijan, como condición para aprobar la comercialización de productos farmacéuticos o de productos químicos agrícolas que utilizan nuevas entidades químicas, la presentación de datos de prueba u otros no divulgados cuya elaboración suponga un esfuerzo considerable, protegerán estos datos contra todo uso comercial desleal”. Esta disposición se basa en el Artículo 10 bis del Convenio de París que garantiza la protección contra la competencia desleal.

No obstante, esta norma no es de aplicación directa, sino que establece lineamientos generales que luego son elaborados convenientemente por los países miembros, a fin de incluirlos en sus respectivas legislaciones nacionales. Esta flexibilidad permite implementar las políticas públicas de acuerdo a las necesidades nacionales. Por su parte, la Declaración de Doha, de fecha 14 de noviembre de 2001, reafirmó el derecho de los países miembros a utilizar ésta para proteger la salud pública y promover el libre acceso a los medicamentos.

Actualmente es abundante la legislación en este sentido, tanto a nivel nacional como regional. Queda, no obstante, abierto el debate de la interpretación de estas normas, sobre todo para promover la competencia en el sector farmacéutico y facilitar el acceso a los medicamentos en los países menos desarrollados y en vías de desarrollo.

* Protección de los datos presentados para el registro de productos farmacéuticos. Implementación de las normas del Acuerdo TRIPS – Carlos María Correa, Universidad de Buenos Aires – Publicado por Centro del Sur en colaboración con la OMS, 2002.

Menores de edad, datos de salud y padres separados

pediatria

Por Javier Villegas Flores

Se trata de una duda bastante extendida y una consulta recurrente en los despachos profesionales especializados. En no pocas ocasiones se solicita a los facultativos información acerca de menores por parte de progenitores con los que no acudieron a la consulta o centro,  generando la duda de si estaríamos ante una cesión de datos de salud no autorizada, y por tanto susceptible de ser objeto de sanción por la Agencia Española de Protección de Datos.

Esto no plantea en principio ningún problema con padres no separados o divorciados, ya que según el artículo 13 del Reglamento LOPD, para el tratamiento de datos de menores de catorce años “se requerirá el consentimiento de los padres o tutores”. Ambos, como representantes legales del menor, pueden ejercer sin restricciones el derecho de acceso a los datos personales del mismo, como sería solicitar la historia clínica de un menor a un centro de salud.

Abundando en esta cuestión, la Ley 41/2002, de 14 de noviembre, de Autonomía del Paciente, señala, dentro del derecho de información del paciente, que éste “será informado, incluso en caso de incapacidad, de modo adecuado a sus posibilidades de comprensión, cumpliendo con el deber de informar también a su representante legal”.

El problema se plantea cuando los padres se encuentran separados o divorciados, y sólo uno de ellos tiene asignada la custodia del menor.

Cuando el médico informa al padre/madre no custodio de los datos de salud del menor, ¿estaríamos ante una cesión de datos no autorizada, o el mero ejercicio de un derecho de acceso a datos por parte del representante legal del paciente?

Hemos de acudir al Código Civil, donde se establece que ”la patria potestad de los hijos menores se ejercerá conjuntamente por ambos progenitores o por uno sólo con el consentimiento expreso o tácito del otro”  (art. 156). Por su parte, el art. 162 señala que “los padres que ostenten la patria potestad tienen la representación legal de sus hijos menores no emancipados”.

En conclusión, en tanto los padres no se encuentren privados de la patria potestad de sus hijos, podrán ejercer la representación legal de los mismos, luego tendrán el derecho a acceder a la información médica del menor, independientemente de que tengan la custodia o no.

En el Capítulo IX del Código Civil se establecen los efectos legales de la nulidad, separación y divorcio, los cuales “no eximen a los padres de sus obligaciones para con los hijos”. Cuando se produzca la separación o divorcio, será  el convenio regulador el que determine “el cuidado de los hijos sujetos a la patria potestad de ambos”.

Por tanto, la resolución judicial establece lo relativo a la patria potestad y a la guardia y custodia de los hijos, siendo normalmente compartida la primera, y asignada la segunda a uno de los progenitores.  Solo en casos excepcionalmente graves se priva a uno de los padres de la patria potestad.

La presentación del documento judicial que haga mención a la patria potestad y asignación de guarda y custodia deberá ser suficiente para acceder a la información asistencial de los menores.

Por tanto, salvo casos muy graves, los padres separados podrán tener acceso a los datos de salud del menor, y el médico tendrá la obligación de atender dicha petición, cuando se aporte sentencia o auto que apruebe el convenio regulador.

Si a alguno de los progenitores le fuera privada la patria potestad, se requerirá el consentimiento del cónyuge para el acceso a los datos.

En la práctica, cuando se produzca una situación de estas características, lo más recomendable para el médico es solicitar al padre o madre que en ejercicio de su patria potestad asista con el menor a la consulta o clínica, la firma de una autorización para la retirada del informe por parte del otro progenitor, a fin de obtener el consentimiento del representante legal del menor para la cesión o acceso a los datos del mismo.