Un médico y propietario de un laboratorio de análisis clínicos me consulta acerca de las implicancias legales y de seguridad de una futura aplicación Web para que los pacientes puedan descargar los resultados de sus estudios. En Argentina rige la Ley 25.326 de Protección de Datos Personales (sancionada en octubre del año 2000), la cual trata los principios generales relativos a la protección de datos; derechos de los titulares de datos; usuarios y responsables de archivos, registros y bancos de dato; organismos de control; sanciones y acción de protección de los datos personales.

Este artículo resume aquellos artículos pertinentes al mantenimiento de datos personales en una aplicación Web de carácter médico.



La ley 25.326 tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43, párrafo tercero de la Constitución Nacional.

ARTICULO 3° — (Archivos de datos – Licitud). La formación de archivos de datos será lícita cuando se encuentren debidamente inscriptos, observando en su operación los principios que establece la presente ley y las reglamentaciones que se dicten en su consecuencia.

ARTICULO 5° — (Consentimiento). El referido consentimiento prestado con otras declaraciones, deberá figurar en forma expresa y destacada, previa notificación al requerido de datos, de la información descrita en el artículo 6° de la presente ley. 2. No será necesario el consentimiento cuando: d) Deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento;

Del artículo 5 se deduce que no es necesario el consentimiento explícito del titular de los datos para recopilarlos y almacenarlos si derivan de una relación contractual, científica o profesional.

ARTICULO 8° — (Datos relativos a la salud). Los establecimientos sanitarios públicos o privados y los profesionales vinculados a las ciencias de la salud pueden recolectar y tratar los datos personales relativos a la salud física o mental de los pacientes que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquéllos, respetando los principios del secreto profesional.

Luego en el artículo 8 menciona explícitamente los establecimientos médicos públicos y privados y profesionales de la salud. Se permite recolectar datos de pacientes tratados respetando el secreto profesional.

ARTICULO 9° — (Seguridad de los datos). 1. El responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado. 2. Queda prohibido registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad.

El artículo 9 trata sobre la seguridad. El responsable o usuario del archivo debe garantizar la seguridad, integridad y confidencialidad de los datos. Esto significa que en caso de una brecha de seguridad, el responsable de los datos puede llegar a ser pasible de una sanción si se produce un daño o perjuicio.

ARTICULO 12. — (Transferencia internacional). 1. Es prohibida la transferencia de datos personales de cualquier tipo con países u organismos internacionales o supranacionales, que no proporcionen niveles de protección adecuados.

El artículo 12 trata sobre la transferencia de datos al extranjero. Si pensamos en una aplicación Web en la nube, muy probablemente estará alojada en u servidor en el extranjero. Aquí es posible optar por un proveedor de soluciones IaaS en la Argentina y con infraestructura en Argentina (hay muchos), u optar por uno que proporcione un "nivel de protección adecuado" (vaya definición más ambigua).

ARTICULO 21. — (Registro de archivos de datos. Inscripción). 1. Todo archivo, registro, base o banco de datos público, y privado destinado a proporcionar informes debe inscribirse en el Registro que al efecto habilite el organismo de control. ARTICULO 24. — (Archivos, registros o bancos de datos privados). Los particulares que formen archivos, registros o bancos de datos que no sean para un uso exclusivamente personal deberán registrarse conforme lo previsto en el artículo 21.

Los artículos 21 y 24 determinan qué archivos están obligados a darse de alta en el Registro Nacional de Bases de Datos Personales. Se mencionan sitios destinados a dar informes y sitios cuyo uso no sea personal, respectivamente. Nuevamente un párrafo muy ambiguo, habría que consultar con algún abogado especialista a qué se refiere la ley con "dar informes".

ARTICULO 31. — (Sanciones administrativas). 1. Sin perjuicio de las responsabilidades administrativas que correspondan en los casos de responsables o usuarios de bancos de datos públicos; de la responsabilidad por daños y perjuicios derivados de la inobservancia de la presente ley, y de las sanciones penales que correspondan, el organismo de control podrá aplicar las sanciones de apercibimiento, suspensión, multa de mil pesos ($ 1.000.-) a cien mil pesos ($ 100.000.-), clausura o cancelación del archivo, registro o banco de datos.

El artículo 31 define las sanciones, las cuales pueden corresponder con multas de hasta cien mil pesos.

En conclusión, para el caso de una aplicación Web que almacena datos personales de carácter médico, no es necesario solicitar el consentimiento de los pacientes, aunque es necesario garantizar la seguridad y confidencialidad de los datos mediante niveles de protección adecuados.

Respecto a la necesidad de darse de alta en el Registro Nacional de Bases de Datos Personales, este punto es un tanto ambiguo ya que los artículos 21 y 24 hablan de sitios destinados a dar informes y sitios cuyo uso no sea personal, respectivamente. Es necesario determinar si una aplicación Web que permita la descarga de resultados es considerada como destinada a dar informes o de uso no personal.

Respecto a los titulares de datos personales (artículos 13 al 20 inclusive), estos tienen el derecho a la información, acceso y contenido, además del derecho a rectificación, actualización o supresión. Esto es importante para tener en cuenta al momento de desarrollar la aplicación que mantenga los datos personales (software).

En caso de duda, consulte con su abogado de confianza. Para más información, la ley completa se encuentra en las referencias.

En caso de duda, consulte con su abogado de confianza.

Referencias


Tal vez pueda interesarte


Compartí este artículo