Documentos de Académico
Documentos de Profesional
Documentos de Cultura
L O S D AT O S P E R S O N A L E S
EN LOS EXPEDIENTES CLÍNICOS
DE LAS INSTITUCIONES DE SALUD PÚBLICA
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
Directorio
2
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
Contenido
DIRECTORIO................................................................................................................................................................................................................................. 2
GLOSARIO...................................................................................................................................................................................................................................... 5
INTRODUCCIÓN....................................................................................................................................................................................................................... 4
CAPÍTULO 1................................................................................................................................................................................................................................12
PROPÓSITOS Y POBLACIÓN OBJETIVO.............................................................................................................................................................12
a) Propósitos.................................................................................................................................................................................................................12
b) Población Objetivo.............................................................................................................................................................................................12
CAPÍTULO 2................................................................................................................................................................................................................................13
EL EXPEDIENTE CLÍNICO................................................................................................................................................................................................13
Titulares del Expediente Clínico...................................................................................................................................................................15
Elementos principales..........................................................................................................................................................................................15
Requisitos del Expediente Clínico...............................................................................................................................................................16
Usos del Expediente Clínico............................................................................................................................................................................17
CLASIFICACIÓN DE LOS EXPEDIENTES CLÍNICOS...................................................................................................................................18
Expediente físico.......................................................................................................................................................................................................18
Expediente Clínico electrónico......................................................................................................................................................................18
CAPÍTULO 3................................................................................................................................................................................................................................21
TRANSFERENCIAS DE LOS EXPEDIENTES CLÍNICOS............................................................................................................................21
Transferencias Internacionales..................................................................................................................................................................... 23
CAPÍTULO 4............................................................................................................................................................................................................................... 24
PORTABILIDAD DE LOS EXPEDIENTES CLÍNICOS.................................................................................................................................... 24
CAPÍTULO 5...............................................................................................................................................................................................................................29
RESPONSABLES EN EL MANEJO DEL EXPEDIENTE CLÍNICO....................................................................................................... 29
CAPÍTULO 6...............................................................................................................................................................................................................................30
OBLIGACIONES PARA LOS RESPONSABLES EN LA PROTECCIÓN DE DATOS PERSONALES EN
3
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
GLOSARIO
ARCO: Derechos de Acceso, Rectificación, para la atención médica, ya sea público, social
Cancelación y Oposición. o privado, el cual, consta de documentos
escritos, gráficos, imagenológicos, electrónicos,
Atención médica: Al conjunto de servicios que magnéticos, electromagnéticos, ópticos,
se proporcionan al individuo, con el fin de pro- magneto-ópticos y de cualquier otra índole, en
mover, proteger y restaurar su salud.1 los cuales, el personal de salud deberá hacer los
registros, anotaciones, en su caso, constancias y
CONAMED: Comisión Nacional de Arbitraje certificaciones correspondientes a su intervención
Médico. en la atención médica del paciente, con apego a
las disposiciones jurídicas aplicables.5
Constitución o Carta Magna: Constitución Polí-
tica de los Estados Unidos Mexicanos. Expediente clínico electrónico: Es el conjunto
de información almacenada en medios electró-
Datos Personales: Cualquier información con- nicos centrada en el paciente que documenta
cerniente a una persona física identificada o la atención médica prestada por profesionales
identificable. 2 de la salud con arreglo a las disposiciones sa-
nitarias, dentro de un establecimiento de salud.6
Datos personales sensibles: Los que se refie-
ren a la esfera más íntima de su titular, o cuya INAI o Instituto: Instituto Nacional de Transpa-
utilización indebida pueda dar origen a discri- rencia, Acceso a la Información y Protección de
minación o conlleva un riesgo grave para éste.3 Datos Personales.
DOF: Diario Oficial de la Federación. IMSS: Instituto Mexicano del Seguro Social.
Encargado: Es la persona física o jurídica, pú- ISSSTE: Instituto de Seguridad y Servicios So-
blica o privada, ajena a la organización del res- ciales de los Trabajadores del Estado.
ponsable del tratamiento, que trata los datos
personales a nombre y por cuenta del respon-
sable4 . A diferencia de este último, el encarga-
do no decide sobre el tratamiento de los datos
personales, sino que lo realiza siguiendo las
instrucciones del responsable.
1
Norma Oficial Mexicana NOM-024-SSA3-2012, Sistemas de Información de registro electrónico para la salud, intercambio de información
en salud, publicada en el Diario Oficial de la Federación el 30 de noviembre del 2012.
2
Artículo 3, fracción IX de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.
3
Artículo 3, fracción X de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.
4
Artículo 3, fracción XV de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados.
5
Norma Oficial Mexicana NOM-004-SSA3-2012, Del expediente clínico, publicada en el Diario Oficial de la Federación el 15 de octubre
del 2012.
6
Norma Oficial Mexicana NOM-024-SSA3-2012, Sistemas de Información de registro electrónico para la salud, intercambio de información
en salud, publicada en el Diario Oficial de la Federación el 30 de noviembre de 2012.
4
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
Responsable: Cualquier autoridad, entidad, Usuario: A toda aquella persona, que requiera
órgano y organismo de los Poderes Ejecutivo, y obtenga la prestación de servicios de aten-
Legislativo y Judicial, órganos autónomos, par- ción médica.15
tidos políticos, fideicomisos y fondos públicos.9
8
Norma Oficial Mexicana NOM-024-SSA3-2012, Sistemas de Información de registro electrónico para la salud, intercambio de información
en salud, publicada en el Diario Oficial de la Federación el 30 de noviembre de 2012.
9
Artículo 1, quinto párrafo de la LGPDPPSO.
10
Norma Oficial Mexicana NOM-024-SSA3-2012, Sistemas de Información de registro electrónico para la salud, intercambio de
información en salud, publicada en el Diario Oficial de la Federación el 30 de noviembre de 2012.
11
Artículo 3, fracción XXXI de la LGPDPPSO.
12
Artículo 3, fracción XXXII de la LGPDPPSO.
13
Artículo 3, fracción XXXIII de la LGPDPPSO.
14
Norma Oficial Mexicana NOM-004-SSA3-2012, del expediente clínico, publicada en el Diario Oficial de la Federación de fecha 15 de
octubre de 2012.
15
Norma Oficial Mexicana NOM-004-SSA3-2012, del expediente clínico, publicada en el Diario Oficial de la Federación de fecha 15 de
octubre de 2012.
5
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
70000000
60000000 70343357
MILLONES DE
50000000
51900000
40000000
30000000
20000000
10000000 13500000
0
Diciembre 2019
6
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
20000
15000
10000
5000 3,390
2,517
1,241 1,081 970
0 IMSS ISSSTE INFONAVIT Hospital Fiscalía Instituto
Regional General Nacional de
de Alta de la Cardiología
Especialidad República ignacio
de Ixtapaluca (antes PGR) Chávez
FUENTE: INAI, Secretaría de Acceso a la Información, Dirección General de Evaluación, con datos del SISAI de la PNT e
información proporcionada por los sujetos obligados del ámbito federal.
16
Disponible para su consulta en: http://www.imss.gob.mx/sites/all/statics/pdf/informes/20192020/21-InformeCompleto.pdf
17
Disponible para su consulta en: http://www.transparencia.seguro-popular.gob.mx/contenidos/archivos/transparencia/
planesprogramaseinformes/informes/2019/Informe_Resultados_SPSS_2019.pdf
18
Disponible para su consulta en: http://www.issste.gob.mx/images/downloads/instituto/quienes-somos/IFA_2020.pdf
19
Disponible para su consulta en: http://inicio.inai.org.mx/Informes%202019/Informe_2019.pdf
21
Artículo 3, fracción VIII de la LGPDPPSO.
7
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
Para las instituciones de salud pública, los • Concretas: cuando el tratamiento de los
derechos y obligaciones relacionados con datos personales atiende a la consecución
el tratamiento de los datos personales en los de fines específicos o determinados, sin que
expedientes clínicos están contenidos en admitan errores, distintas interpretaciones o
la Ley General, en la LGS y principalmente provoquen incertidumbre, dudas o confu-
en las Normas Oficiales Mexicanas, como sión en el titular;
la NOM -004-SSA3-2012, del expediente • Explícitas: cuando las finalidades se expre-
clínico y la NOM-024-SSA3-2012, Sistemas san y dan a conocer de manera clara en el
de Información de registro electrónico para la aviso de privacidad;
salud, intercambio de información en salud. • Licitas: cuando las finalidades que justifi-
can el tratamiento de los datos personales
Derivado de que los expedientes clínicos son acordes con las atribuciones o faculta-
contienen una serie de datos personales des del responsable, conforme a lo previsto
para que el personal responsable de en la legislación mexicana y el derecho in-
su uso pueda monitorear la salud de ternacional que le resulte aplicable;
los pacientes, registrarlos, guardarlos o • Legítimas: cuando las finalidades que motivan
transferirlos; el procesamiento de los datos el tratamiento de los datos personales se
personales contenidos en estos archivos es encuentran habilitadas por el consentimiento
responsabilidad del personal de la salud. Por del titular, salvo que se actualice alguna
tanto, el tratamiento de datos personales en de las causales de excepción previstas en el
las historias clínicas de las instituciones de artículo 22 de la Ley General.
salud pública debe cumplir con los siguientes
principios establecidos en la Ley General:20 • Lealtad: Con este principio se busca evitar el
tratamiento desleal, deshonesto y no ético al titular
• Licitud: Este principio les exige que el trata- sobre su información. El responsable no deberá
miento de los datos personales lo realicen ob- obtener y tratar datos personales, a través de
servando estrictamente lo que ordena la ley, medios engañosos o fraudulentos, privilegiando
de manera objetiva y respetando el Estado de la protección de los intereses del titular y la
derecho, lo anterior, con la finalidad de evitar expectativa razonable de privacidad, prohibiéndole
arbitrariedades en el tratamiento de los datos al responsable defraudar esa confianza y recurrir a
personales. mecanismos oscuros, ilegales o poco transparentes
para recolectar y tratar los datos.
• Finalidad: Este principio busca evitar que
se recolecten datos para hacer con ellos lo • Consentimiento: Este principio reconoce
que sea y delimita los usos que pueda darle que la persona es el titular del dato y, por
el responsable. Asimismo, busca que el ende, ella es quien, en un inicio, tiene control
tratamiento tenga como objetivo la realización sobre su información y algunos aspectos
de finalidades concretas, lícitas, explícitas y de su vida relacionados con su información.
legítimas, relacionadas con las atribuciones Para tal efecto, la Ley General define el
que la normatividad aplicable les confiera. Se consentimiento como la manifestación de
entenderá que las finalidades son: la voluntad libre, específica e informada
:
20
Artículo 16 de la LGPDPPSO.
8
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
del titular de los datos mediante la cual se datos personales en su posesión. Los mecanismos
efectúa el tratamiento de los mismos. 21 podrán ser lo siguientes, según corresponda:
Adicionalmente, la _Ley General señala que el 4 Destinar recursos autorizados para tal fin
consentimiento puede ser: para la instrumentación de programas y po-
líticas de protección de datos personales;
• Expreso 4 Elaborar políticas y programas de protec-
• Tácito ción de datos personales, obligatorios y
exigibles al interior de la organización del
• Calidad: La Ley General exige que los datos responsable;
personales sean veraces, exactos, completos, 4 Poner en práctica un programa de capaci-
correctos y actualizados. La información tación y actualización del personal sobre las
de calidad es una condición para el debido obligaciones y demás deberes en materia
tratamiento de los datos y de ella dependen de protección de datos personales;
algunos derechos de las personas como su buen 4 Revisar periódicamente las políticas y pro-
nombre o que las decisiones que se adopten gramas de seguridad de datos personales
con fundamento en los datos personales sean para determinar las modificaciones que se
correctas, pertinentes o apropiadas; por lo tanto, requieran;
le corresponde al responsable adoptar medidas 4 Establecer un sistema de supervisión y vigi-
para que ello sea así. lancia interna y/o externa, incluyendo audito-
rías, para comprobar el cumplimiento de las
• Proporcionalidad: El tratamiento de datos políticas de protección de datos personales;
personales sólo deberá circunscribirse a los 4 Establecer procedimientos para recibir y
que resulten adecuados, relevantes y no exce- responder dudas y quejas de los titulares;
sivos en relación con la finalidad del tratamien- 4 Diseñar, desarrollar e implementar sus políticas
to. Por lo tanto, no está permitido recolectar o públicas, programas, servicios, sistemas
usar datos que no guarden estrecha relación o plataformas informáticas, aplicaciones
con la finalidad del tratamiento. electrónicas o cualquier otra tecnología que
implique el tratamiento de datos personales,
• Información: Con este principio se busca que de conformidad con las disposiciones previstas
el titular tenga conocimiento de los principales en la Ley General y las demás que resulten
aspectos que regirán el tratamiento de sus datos aplicables en la materia; y
personales. La Ley General ordena al responsable 4 Garantizar que sus políticas públicas, pro-
informar al titular, a través del aviso de privacidad, gramas, servicios, sistemas o plataformas
la existencia y características principales del informáticas, aplicaciones electrónicas o
tratamiento al que serán sometidos sus datos cualquier otra tecnología que implique el
personales, a fin de que pueda tomar decisiones tratamiento de datos personales, cumplan
informadas al respecto. por defecto con las obligaciones previstas
en la Ley General y las demás que resulten
• Responsabilidad: Consiste en que el responsable aplicables en la materia.
deberá adoptar políticas e implementar mecanis-
mos para asegurar y acreditar el cumplimiento de Tal como se advierte de lo anterior, los princi-
los principios, deberes y obligaciones establecidos pios son las reglas fundamentales de aplica-
en la Ley General y rendir cuentas al titular, Instituto ción obligatoria para garantizar el respeto de
u organismos garantes, sobre el tratamiento de los las personas cuando sus datos recolectados,
9
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
almacenados, usados o circulados han sido personal del sitio de acuerdo con los principios
objeto de cualquier actividad por parte de res- científicos y éticos que guían la práctica médica.
ponsables o encargados del tratamiento, por lo Por ejemplo, las disposiciones estipuladas en
que, éstos cumplen varios objetivos, entre los la Ley General, la LGS y las Normas Oficiales
que se encuentran: Mexicanas NOM -004-SSA3-2012 y NOM-024-
SSA3-2012.
• Son un instrumento para garantizar el de-
bido tratamiento de los datos personales y, En tal consideración, con independencia del
por ende, el respeto de los derechos de los tipo de sistema en el que se encuentren los
titulares de los datos; datos personales o el tipo de tratamiento
• Representan un límite al tratamiento de que se efectúe, el responsable de la salud
los datos personales, pues no pueden ha- deberá establecer y mantener las medidas
cerse de cualquier manera sino de forma de seguridad de carácter administrativo, físico
respetuosa; y técnico para la protección de los datos
• Constituyen una herramienta de interpre- personales, que permitan protegerlos contra
tación de la ley y de aplicación correcta de daño, pérdida, alteración, destrucción o su uso,
la misma, así como el factor determinante acceso o tratamiento no autorizado, así como
de la solución de casos concretos que se garantizar su confidencialidad, integridad y
sometan a consideración de las autorida- disponibilidad.
des o los jueces.
Las medidas de seguridad adoptadas de-
Asimismo, los responsables de la salud en las berán considerar al menos lo siguiente:23
instituciones del sector público deben cumplir
con lo establecido en la Ley General y demás • El riesgo inherente a los datos personales
normativa vigente aplicable sobre expedientes tratados;
clínicos, y los pacientes, como proveedores de • La sensibilidad de los datos personales tra-
información son los beneficiarios de los datos tados;
que proporciona al personal del área de la sa- • El desarrollo tecnológico;
lud (aspecto fundamental que se reconoce en • Las posibles consecuencias de una vulne-
la NOM -004-SSA3-2012). ración para los titulares;
• Las transferencias de datos personales
En ese sentido, se han considerado aquellos que se realicen;
datos que se refieren a su identidad • El número de titulares;
personal y los que proporciona en relación • Las vulneraciones previas ocurridas en los
con su padecimiento; a todos ellos, se sistemas de tratamiento;
les considera información confidencial22 • El riesgo por el valor potencial cuantitativo
y gozan de la propiedad de la información para o cualitativo que pudieran tener los datos
proteger su salud y la confidencialidad de sus personales tratados para una tercera per-
datos. Estos datos personales proporcionados sona no autorizada para su posesión.
por pacientes o terceros al personal de salud
e incluidos en los documentos clínicos deben Asimismo, con la finalidad de que el responsa-
ser tratados según corresponda por todo el ble de la salud establezca y mantenga las me-
22
Norma Oficial Mexicana NOM-004-SSA3-2012, del expediente clínico, publicada en el Diario Oficial de la Federación de fecha 15 de
octubre de 2012.
23
Artículo 32 de la LGPDPPSO.
10
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
24
Artículo 33 de la LGPDPPSO.
25
Artículo 3, fracción XIV de la LGPDPPSO.
11
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
12
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
26
Información del Expediente Clínico. Disponible para su consulta en: http://inprf.gob.mx/transparencia/archivos/pdfs/como_solicitar_
expediente.pdf
13
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
27
Norma Oficial Mexicana NOM-024-SSA3-2012, Del expediente clínico. Publicada en el Diario Oficial de la Federación el 30 de
noviembre de 2012.
28
Manual del Expediente Clínico Electrónico. Secretaría de Salud, Pag. 11 disponible para su consulta en: https://www.who.int/goe/
policies/countries/mex_ehealth.pdf
29
Información del Expediente Clínico. Disponible para su consulta en: https://www.gob.mx/salud/hraepy/acciones-y-programas/
informacion-del-expediente-clinico
14
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
ELEMENTOS PRINCIPALES
15
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
En tal consideración, el expediente clínico se vez, la historia clínica deberá contar con los si-
integrará atendiendo a los servicios genéricos guientes apartados:
de consulta general, de especialidad, urgencias
y hospitalización, y además de los requisitos a) Interrogatorio: Deberá tener como mínimo:
mínimos señalados en esta norma, así como ficha de identificación, en su caso, grupo
también se debe observar a los establecidos en étnico, antecedentes heredo-familiares,
las demás Normas Oficiales Mexicanas, respecto antecedentes personales patológicos
a los siguientes temas: (incluido uso y dependencia del tabaco, del
alcohol y de otras sustancias psicoactivas) y
a) Servicios de planificación familiar. no patológicos;
b) Para la prevención y control de la tubercu- b) Exploración física: Deberá tener como
losis en la atención primaria a la salud. mínimo: habitus exterior, signos vitales
c) Atención de la mujer durante el embarazo, (temperatura, tensión arterial, frecuencia
parto y puerperio y del recién nacido. cardiaca y respiratoria), peso y talla, así
d) Para la prevención y control de enfermeda- como, datos de la cabeza, cuello, tórax, ab-
des bucales. domen, miembros y genitales o específica-
e) Para la prevención, detección, diagnóstico, mente la información que corresponda a la
tratamiento, control y vigilancia epidemioló- materia del odontólogo, psicólogo, nutriólo-
gica del cáncer cérvico uterino. go y otros profesionales de la salud;
f) Para la prevención, tratamiento y control de c) Resultados previos y actuales de estudios
la diabetes mellitus en la atención primaria. de laboratorio, gabinete y otros;
g) Para la prestación de servicios de salud en d) Diagnósticos o problemas clínicos;
unidades de atención integral hospitalaria e) Pronóstico;
médico-psiquiátrica. f) Indicación terapéutica.
h) Para la atención a la salud del niño.
i) En materia de información en salud. NOTA DE EVOLUCIÓN.
j) Violencia familiar, sexual y contra las muje-
res. Criterios para la prevención y atención. Esta documental deberá elaborarla el médico,
k) Regulación de los servicios de salud. Que cada vez que proporciona atención al paciente
establece los criterios de funcionamiento ambulatorio, de acuerdo con el estado clínico
y atención en los servicios de urgencias de del paciente. Describirá lo siguiente:
los establecimientos de atención médica.
a) Evolución y actualización del cuadro clíni-
REQUISITOS DEL EXPEDIENTE CLÍNICO co (en su caso, incluir abuso y dependencia
del tabaco, del alcohol y de otras sustancias
En términos de lo que establece la NOM-004- psicoactivas);
SSA3-2012, los expedientes clínicos de consul- b) Signos vitales, según se considere necesario;
ta general y de especialidad deberán contar c) Resultados relevantes de los estudios
con los siguientes requisitos: de los servicios auxiliares de diagnóstico
y tratamiento que hayan sido solicitados
HISTORIA CLÍNICA. previamente;
d) Diagnósticos o problemas clínicos;
Deberá elaborarla el personal médico y otros e) Pronóstico; y
profesionales del área de la salud, de acuerdo f) Tratamiento e indicaciones médicas; en el caso
con las necesidades específicas de informa- de medicamentos, señalando como mínimo la
ción de cada uno de ellos en particular, a su dosis, vía de administración y periodicidad.
16
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
30
Manual del Expediente Clínico Electrónico. Secretaría de Salud. Disponible para su consulta en: https://www.who.int/goe/policies/
countries/mex_ehealth.pdf
31
Norma Oficial Mexicana NOM-004-SSA3-2012, Del expediente clínico, publicada en el Diario Oficial de la Federación de fecha 15 de
octubre de 2012.
17
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
En el numeral 5 y subsecuentes de la Norma Por ello, conviene referir que la Norma Oficial
en comento, se establecen las reglas tendien- Mexicana NOM-024-SSA3-2012, define al
tes a estandarizar el contenido y manejo de los expedienteclínicoelectrónicocomoelconjuntode
expedientes clínicos, de manera que, indepen- información almacenada en medios electrónicos
dientemente del hospital, centro de salud o centrada en el paciente que documenta la
consultorio en el que se atienda a un paciente, atención médica prestada por profesionales de
se deberá cumplir con una serie de principios la salud con arreglo a las disposiciones sanitarias,
mínimos que lo hagan funcional. dentro de un establecimiento de salud.33
33
Disponible para su consulta en: http://www.dgis.salud.gob.mx/descargas/pdf/NOM-024-SSA3-2012.pdf.
18
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
La SSa define al expediente clínico electrónico servicios de salud, tanto del sector privado
como el conjunto de información ordenada como del sector público; por lo que, los datos
y detallada que recopila cronológicamente personales contenidos en el expediente
todos los aspectos relativos a la salud de un clínico electrónico requieren de una visión
paciente y a la de su familia en un periodo multidisciplinaria, al conjugar los esfuerzos y
determinado de su vida; representa una talentos médicos, radiólogos, laboratoristas
base para conocer las condiciones de y personal administrativos entre otros, para
salud, los actos médicos y los diferentes la adecuada integración de la información
procedimientos ejecutados por el equipo respectiva, debiendo respetar en todo momento
médico a lo largo de un proceso asistencial.34 el derecho a la privacidad y la obligación de
asumir todas las medidas necesarias para
Tal como se advierte de lo anterior, el expediente salvaguardar la información contenida en ellos.36
clínico electrónico es una fuente de información
que amplía el dictamen médico de un experto, • Tipos de sistemas de Expediente Clínico
conformándose por una descripción de la Electrónico37
propedéutica médica aunado a documentos,
imágenes, procedimientos, pruebas diversas, Los tipos de Sistemas de Expediente Clínico
análisis e información de estudios practicados Electrónico que estarán sujetos a la NOM 024-
al paciente. Mediante el expediente clínico SSA3-2010, serán aquellos destinados a los si-
electrónico se puede brindar información más guientes usos en el ámbito de la provisión de
completa a los médicos y personal de salud, servicios de salud:
así como, habilitar la comunicación al instante
entre las diferentes unidades médicas. • Consulta Externa.
• Hospitalización.
El expediente clínico electrónico además • Urgencias.
utiliza mensajería conforme a los estándares • Farmacia.
internacionales para interactuar con sistemas • Laboratorio.
como el de laboratorio, banco de sangre, • Imagenología.
imagenología y hemodiálisis entre otros. • Quirófano.
Asimismo, permite intercambiar de forma
segura información con otras instituciones En el caso de que un sólo sistema cubra más
bajo estándares de interoperabilidad35 . de uno de los puntos anteriores deberá aten-
der todas las funcionalidades requeridas para
En México, existe diversidad de ordenamientos todos los tipos de sistema que debe satisfacer.
legales aplicables al uso de los medios
electrónicos, tanto en materia administrativa, • Ventajas de contar con un Expediente
fiscal, financiera y comercial, que podrían Clínico Electrónico Universal38
presentar riesgos vinculados con el derecho
a la privacidad respecto a la información Algunos de los impactos más sobresalientes
generada en formato electrónico para los de esta revolución tecnológica sobre la aten-
expedientes clínicos de los usuarios de los ción de los usuarios serían los siguientes:
34
Manual del Expediente Clínico Electrónico. Secretaría de Salud, Pag.11, Disponible para su consulta en: https://www.who.int/goe/
policies/countries/mex_ehealth.pdf
35
Manual del Expediente Clínico Electrónico. Secretaría de Salud, Pag.11, Disponible para su consulta en: https://www.who.int/goe/
policies/countries/mex_ehealth.pdf
36
TENORIO. Guillermo, “Los datos personales en México”, Ed Porrúa, p. 217, México, 2012.
37
Disponible para su consulta en: http://www.dgis.salud.gob.mx/descargas/pdf/NOM-024-SSA3-2010_SistemasECE.pdf
38
Boletín CONAMED, Volumen 3, No. 18, 2018.
19
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
39
Manual del Expediente Clínico Electrónico. Secretaría de Salud, Pag.22, Disponible para su consulta en:
https://www.who.int/goe/policies/countries/mex_ehealth.pdf
20
•
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
CAPÍTULO 3
la prestación de asistencia sanitaria,
TRANSFERENCIAS DE LOS EXPEDIENTES tratamiento médico o la gestión de servicios
CLÍNICOS sanitarios, siempre y cuando dichos fines
sean acreditados;
El concepto de transferencia es definido por la
Ley General 40, en su fracción XXXII del artículo 3, • Cuando la transferencia sea precisa para el
como toda comunicación de datos personales mantenimiento o cumplimiento de una rela-
dentro o fuera del territorio mexicano realizada ción jurídica entre el responsable y el titular;
a persona distinta del titular, del responsable o
del encargado. • Cuando la transferencia sea necesaria por
virtud de un contrato celebrado o por cele-
Toda transferencia de datos personales sea brar en interés del titular, por el responsable
ésta nacional o internacional, se encuentra su- y un tercero;
jeta al consentimiento de su titular, salvo algu-
nas excepciones, como lo son:41 • Cuando se trate de los casos en los
que el responsable no esté obligado a
• Cuando la transferencia esté prevista en la recabar el consentimiento del titular para
Ley General u otras leyes, convenios o Trata- el tratamiento y transmisión de sus datos
dos Internacionales suscritos y ratificados por personales, conforme a lo dispuesto en el
México; artículo 22 de la presente Ley, o
• Cuando la transferencia sea precisa para el 4 Cuando una ley así lo disponga, debiendo
reconocimiento, ejercicio o defensa de un dichos supuestos ser acordes con las bases,
derecho ante autoridad competente, siem- principios y disposiciones establecidos en di-
pre y cuando medie el requerimiento de cha Ley, en ningún caso, podrán contravenirla;
esta última;
4 Cuando las transferencias que se realicen
• Cuando la transferencia sea necesaria para entre responsables sean sobre datos per-
la prevención o el diagnóstico médico, sonales que se utilicen para el ejercicio de
40
Disponible para su consulta en: http://www.diputados.gob.mx/LeyesBiblio/pdf/LGPDPPSO.pdf
41
Artículo 65 de la LG PDPP SO, disponible para su consulta en: http://www.diputados.gob.mx/LeyesBiblio/pdf/LGPDPPSO.pdf
42
Artículo 22 de la LGPDPPSO.
21
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
43
Artículo 66 de la LGPDPPSO, disponible para su consulta en: http://www.diputados.gob.mx/LeyesBiblio/pdf/LGPDPPSO.pdf
22
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
comunicar al receptor de los datos personales catálogos estandarizados que unifiquen los
el aviso de privacidad conforme al cual se tratan datos empleados en distintas instituciones de
los datos personales frente al titular. Asimismo, salud públicas o privadas.
el responsable podrá realizar transferencias de
datos personales sin necesidad de requerir el TRANSFERENCIAS INTERNACIONALES
consentimiento del titular, de conformidad con
los supuestos señalados con antelación. En la mayoría de los casos, la globalización
conlleva la necesidad de procesar datos
El responsable deberá adoptar políticas e personales, dando lugar a la Transferencia
implementar mecanismos para asegurar y Internacional de Datos (TID) entre diferentes
acreditar el cumplimiento de los principios, países. Estos tratamientos han de cumplir
deberes y demás obligaciones establecidas en con las disposiciones legales establecidas
la Ley General y los Lineamientos Generales; en los distintos ordenamientos jurídicos en
así como establecer aquellos mecanismos juego, que tienen por objeto garantizar a la
necesarios para evidenciar dicho cumplimiento persona, cuyos datos se tratan, su derecho
ante los titulares y el Instituto. fundamental a la protección de datos, y así,
facilitar la realización de las transacciones.
Lo anterior, también resultará aplicable cuando los internacional, comercial y no comercial. 44
datos personales sean tratados por parte de un
encargado a solicitud del responsable; así como al La normativa mexicana establece que el
momento de realizar transferencias, nacionales o responsable sólo podrá transferir datos
internacionales, de datos personales. El responsable personales fuera del territorio nacional,
deberá considerar, de manera enunciativa más no cuando el receptor o destinatario se obligue
limitativa, el desarrollo tecnológico y las técnicas a proteger los datos personales conforme a
existentes; la naturaleza, contexto, alcance y los principios, deberes y demás obligaciones
finalidades del tratamiento de los datos personales; similares o equiparables a las previstas en la
las atribuciones y facultades del responsable y Ley General y demás normatividad mexicana
demás cuestiones que considere convenientes. en la materia, asi como a los términos
Para el cumplimiento de la presente obligación, el previstos en el aviso de privacidad que le será
responsable podrá valerse de estándares, mejores comunicado por el responsable transferente.45
prácticas nacionales o internacionales, esquemas
de mejores prácticas, o cualquier otro mecanismo En caso de considerarlo necesario, el responsable
que determine adecuado para tales fines. podrá solicitar la opinión del Instituto respecto
aquellas transferencias internacionales de datos
La falta de uniformidad en los registros médi- personales que pretenda efectuar en cumplimiento
cos y la necesidad de compartirlos entre dife- de lo dispuesto en la Ley General y los Lineamientos
rentes sistemas se ha agudizado en los últimos generales de acuerdo con lo siguiente:
años con el apogeo de muchos proveedores
de este tipo de sistema. Es por esto por lo que 4 El responsable deberá presentar su solici-
se hace necesario el uso de estándares que tud directamente en el domicilio del Institu-
permitan el intercambio correcto y seguro de to, o bien, a través de cualquier otro medio
información médica, así como, la utilización de que se habilite para tal efecto;
44
Instituto Federal de Acceso a la Información Pública. “Protección de datos personales: compendio de lecturas y legislación”.
México. Ed. Tiro corto editores, 2010. Pp 98
45
Artículo 116 de los Lineamientos Generales.
23
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
4 La solicitud deberá describir las generalidades 4 tiene el Instituto para emitir su opinión téc-
y particularidades de la transferencia nica, por lo que comenzará a computarse a
internacional de datos personales que se partir del día siguiente a su desahogo;
pretende efectuar, con especial énfasis en
las finalidades que motivan la transferencia; El Instituto deberá emitir la opinión técnica
el o los destinatarios de los datos personales que corresponda en un plazo que no podrá
que, en su caso, se pretenda transferir; el 4 exceder de quince días, contados a partir
fundamento legal que, en su caso, obligue al del día siguiente a la recepción de la con-
responsable a transferir los datos personales; sulta, el cual no podrá ampliarse, y
los datos personales que se pretendan
transferir; las categorías de titulares Si el Instituto no emite su opinión técnica
involucrados; la tecnologia o medios utilizados en el plazo señalado en la fracción anterior
para, en su caso, efectuar la transferencia; 4 del presente articulo, se entenderá que su
las medidas de seguridad aplicables; las opinión no es favorable respecto a la trans-
cláusulas contractuales, convenios de ferencia internacional de datos personales
colaboración o cualquier otro instrumento que se pretende efectuar.
juridico que se suscribiria con el destinatario
o receptor, en caso de que resulte exigible,
así como cualquier otra información relevante CAPÍTULO 4
para el caso concreto;
PORTABILIDAD DE LOS EXPEDIENTES
4 La solicitud podrá ir acompañada de aque- CLÍNICOS
llos documentos que el responsable consi-
dere conveniente hacer del conocimiento La portabilidad de los expedientes clínicos
del Instituto; electrónicos se refiere a la posibilidad de que
el expediente clínico de un paciente, registrado
Si el Instituto considera que no cuenta con la en medios electrónicos, pueda ser accesible
suficiente información para emitir su opinión mediante algún mecanismo tecnológico por
técnica, deberá requerir al responsable, por alguna unidad médica distinta a la que lo generó.
una sola ocasión y en un plazo que no podrá Es importante recordar que, el expediente clínico
exceder de cinco días contados a partír del día electrónico en México tiene la misión de crear
siguiente de la presentación de la solicitud, condiciones necesarias para que, en un mediano
la informacíón adicional que considere plazo, se utilice con estándares y mecanismos
pertinente; innovadores y que cada uno de los mexicanos
pueda contar con uno.
4 El responsable contará con un plazo máxi-
mo de diez dias, contados a partir del dia Respecto a la portabilidad de datos personales,
siguiente de la recepción del requerimiento la Ley General dispone, en su artículo 57,
de información adicional, para proporcionar que cuando se traten datos personales por
mayores elementos al Instituto con el aper- vía electrónica en un formato estructurado y
cibimiento de que en caso de no cumplir se comúnmente utilizado, el titular tendrá derecho
tendrá por no presentada su consulta; a obtener del responsable una copia de los datos
objeto de tratamiento en un formato electrónico
4 El requerimiento de información adicional estructurado y comúnmente utilizado que
tendrá el efecto de interrumpir el plazo que le permita seguir utilizándolos. Cuando el
24
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
titular haya facilitado los datos personales y el reproducción, de tal forma que, éstos puedan
tratamiento se base en el consentimiento o en identificar, reconocer, extraer, explotar o realizar
un contrato, tendrá derecho a transmitir dichos cualquier otra operación con datos personales
datos personales y cualquier otra información específicos; también, cuando el formato permita
que haya facilitado y que se conserve en un la reutilización y/o aprovechamiento de los
sistema de tratamiento automatizado a otro datos personales y, cuando el formato sea
sistema en un formato electrónico comúnmente interoperable con otros sistemas informáticos,
utilizado, sin impedimentos por parte del es decir, cuando el responsable transmisor47
responsable del tratamiento de quien se retiren y el responsable receptor48 tengan la capacidad
los datos personales. para compartir infraestructura y datos personales
a través de la conexión de sus respectivos
Asimismo, el artículo 2, fracción V de los sistemas o plataformas tecnológicas.
Lineamientos que establecen los pará-
metros, modalidades y procedimientos En tal consideración, la portabilidad de los da-
para la portabilidad de datos personales46 tos personales tiene por objeto lo siguiente:
(en adelante Lineamientos de portabilidad),
disponen en la parte conducente lo siguiente: I. Que el titular solicite una copia de sus
datos personales que hubiere facilitado
Artículo 2. Además de las definiciones previstas en directamente al responsable, en un
el artículo 3 de la Ley General de Protección de Da- formato estructurado y comúnmente
tos Personales en Posesión de Sujetos Obligados, utilizado, que le permita seguir utili-
para los efectos de los presentes Lineamientos se zándolos y, en su caso, entregarlos
entenderá por: a otro responsable para su reutilización y
… aprovechamiento en un nuevo tratamiento,
V. Portabilidad de datos personales: Prerroga- sin que lo impida el responsable al que
tiva del titular a que se refiere el artículo 57 de la el titular hubiere facilitado los datos
Ley General o los que correspondan en las legisla- personales, y
ciones estatales en la materia;
Que el titular solicite la transmisión de
De lo anterior, surge la cuestión ¿Qué es un II. sus datos personales a un responsable
formato estructurado?, de conformidad con lo receptor, siempre y cuando sea téc-
dispuesto en los Lineamientos de portabilidad nicamente posible, el titular hubiere
se entenderá que un formato adquiere facilitado directamente sus datos per-
esta calidad cuando se trate de un formato sonales al responsable transmisor y
electrónico accesible y legible por medios el tratamiento de éstos se base en su
automatizados, con independencia del sistema consentimiento o en la suscripción de
informático utilizado para su generación y un contrato.
46
Disponible para su consulta en: http://dof.gob.mx/nota_detalle.php?codigo=5512847&fecha=12/02/2018
47
Los Lineamientos de portabilidad en la fracción VII del artículo 2, definen al Responsable transmisor como:
Cualquier autoridad, dependencia, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos,
tribunales administrativos, fideicomisos y fondos públicos y partidos políticos, del orden federal, estatal o municipal, que comunica
los datos personales, en un formato estructurado y comúnmente utilizado, a un responsable receptor a petición del titular.
48
Los Lineamientos de portabilidad en la fracción VI del artículo 2, definen al Responsable receptor como:
Cualquier autoridad, dependencia, entidad, órgano y organismo de los Poderes Ejecutivo, Legislativo y Judicial, órganos autónomos,
tribunales administrativos, fideicomisos y fondos públicos y partidos políticos, del orden federal, estatal o municipal, que recibe
directamente del responsable transmisor los datos personales, en un formato estructurado y comúnmente utilizado, a petición del titular.
25
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
Además de las condiciones señaladas con an- • Normas técnicas; como la imple-
telación, cuando se trate de transmisiones de mentación de mecanismos, medios y
datos personales a un responsable receptor, procedimientos idóneos que permitan
(siempre y cuando sea técnicamente posible, al titular obtener sus datos personales,
el titular hubiere facilitado directamente sus ya sea de manera personal, por vía
datos personales al responsable transmisor y electrónica, a través de opciones de
el tratamiento de éstos se base en su consen- descarga establecidas en sus páginas
timiento o en la suscripción de un contrato), la oficiales de Internet, o por cualquier otra
portabilidad de los datos personales será pro- tecnología que considere pertinente.
cedente cuando exista una relación jurídica
entre el responsable receptor y el titular; se dé • Informar al titular sobre el o los tipos de
cumplimiento a una disposición legal, o bien, el formatos estructurados y comúnmente
titular pretenda ejercer algún derecho. utilizados disponibles, a través de los
cuales podrá entregar o transmitir
Cabe señalar que, no será objeto de la los datos personales al responsable
portabilidad de datos personales aquella receptor, en función de la naturaleza de
inferida, derivada, creada, generada u obtenida a los datos personales y la viabilidad para
partir del análisis o el tratamiento efectuado por ser objeto de portabilidad conforme
26
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
a los requisitos establecidos en los pago del costo del medio de almacenamiento
Lineamientos de portabilidad o en que en su caso corresponda, o cuando el titular
caso de que sea técnicamente posible, o su representante, hubiere sido notificado que
el titular tendrá la opción de elegir el el responsable transmisor ante el cual ejerció
formato en el que desea se le entreguen la portabilidad de sus datos personales trans-
los datos personales o sean transmitidos mitió éstos al responsable receptor conforme a
al responsable receptor. sus instrucciones.
27
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
49
Opinión realizada por la Dra. Patricia Kurczyn Villalobos en la Revista de la Facultad de Derecho de México, UNAM. “Contenido e
importancia del expediente clínico. Acceso y confidencialidad”. Tomo LXIX, Número 273. enero-abril 2019.
28
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
29
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
49
Disponible para su consulta en: https://dof.gob.mx/nota_detalle_popup.php?codigo=5272787
30
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
utilizado con fines de docencia o investigación, • Observar las medidas de seguridad que
en el que los datos personales que posibiliten se establezcan para los sistemas de da-
la identificación del paciente deberán ser tos personales en los que se almacenen
omitidos para no ser divulgados, a menos los datos de salud
que exista autorización escrita del paciente; • Informar a los beneficiaros para que pue-
dispone también que no se dará información dan decidir libremente sobre su atención
del expediente clínico a terceros, a menos que • Informar a los beneficiarios acerca de los
hubiera una solicitud por escrito del paciente, riesgos y alternativas de los procedimientos
tutor, representante legal o médico debidamente terapéuticos y quirúrgicos que se le indiquen
autorizado por el paciente. o apliquen, así como, de los procedimientos
de consultas o quejas
Como se advierte de lo anterior, tanto los mé- • Solicitar el consentimiento de los bene-
dicos y profesionales, como aquéllas otras per- ficiarios cuando se les informe acerca de
sonas que laboren o tengan acceso a la infor- los riesgos y alternativas de los procedi-
mación y documentación clínica del paciente, mientos terapéuticos y quirúrgicos
deben guardar la reserva debida. En este sen- • Cumplir con el resto de las obligaciones
tido, la Recomendación nº R (97) 5, de 13 de fe- que puedan ser exigibles como conse-
brero de 1997, del Comité de Ministros del Con- cuencia del tratamiento o el acceso a
sejo de Europa a los Estados miembros sobre datos personales, bien sean estableci-
Protección de Datos Médicos, en su capítulo 3,51 das por la normativa sobre el expediente
establece lo siguiente: clínico o por la normativa que regula la
protección de datos personales.
“3.2… Los individuos u órganos que trabajen en
representación de profesionales sanitarios recogiendo En México, la Norma Oficial Mexicana NOM-
y procesando datos médicos deben estar sujetos a las 024-SSA3-201052 establece también que la
mismas normas de confidencialidad que pesan sobre los información contenida en los sistemas de
profesionales sanitarios o a normas de confidencialidad los expedientes clínicos electrónicos será
comparables. manejada con discreción y confidencialidad,
de acuerdo a la normatividad aplicable, y a los
Los administradores de archivos que no son profesionales principios científicos y éticos que orientan la
sanitarios sólo deben recoger y procesar datos médicos práctica médica, dicha información podrá ser
cuando estén sujetos a normas de confidencialidad dada a conocer al paciente, o a quien tenga
comparables a las que pesan sobre el profesional facultad legal para decidir por él, y en su caso a
sanitario o a medidas de seguridad igualmente eficaces terceros mediante orden de la autoridad judicial,
proporcionadas por la Ley nacional”. o administrativa competente, a la Comisión
Nacional de Arbitraje Médico, o a las Comisiones
Además de las ya señaladas, otras de las obli- Estatales de Arbitraje Médico correspondientes.
gaciones de los médicos, profesionales sani-
tarios y de aquellas personas que elaboren o Cabe señalar que, la doctrina de manera general
tengan acceso a la información y documenta- acepta las siguientes excepciones al deber de
ción clínica serán las siguientes: confidencialidad por parte de los responsables:53
51
Disponible para su consulta en: https://www.bioeticaweb.com/recomendaciasn-nao-r-97-5-de-13-de-febrero-de-1997-del-comitac-
de-ministros-del-consejo-de-europa-a-los-estados-miembros-sobre-protecciasn-de-datos-macdicos/
52
Disponible para su consulta en: http://www.dgis.salud.gob.mx/descargas/pdf/NOM-024-SSA3-2010_SistemasECE.pdf
53
MUREDU. Mariana, “La Regulación Jurídica del Expediente Clínico Electrónico”, pp 118, México, 2017.
31
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
• Destinar recursos autorizados para tal Al respecto, se señalan las obligaciones del per-
fin para la instrumentación de progra- sonal responsable de llevar el expediente clí-
mas y políticas de protección de datos nico establecidas en la NOM-004-SSA3-2012,54
personales; mismas que se traducen en lo siguiente:
• Elaborar políticas y programas de pro-
tección de datos personales, obligato- 1. Integrar expedientes clínicos por cada
rios y exigibles al interior de la organiza- paciente.
ción del responsable; 2. Integrarlos cumpliendo con los requi-
• Poner en práctica un programa de capa- sitos que establece la propia NOM-004-
citación y actualización del personal sobre SSA3-2012.
54
Disponible para su consulta en: http://dof.gob.mx/nota_detalle_popup.php?codigo=5272787
32
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
55
Disponible para su consulta en: http://dof.gob.mx/nota_detalle_popup.php?codigo=5272787
56
MUREDU. Mariana, “La Regulación Jurídica del Expediente Clínico Electrónico”, pp 146, México, 2017.
33
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
En general, todo profesional que asista en el ám- • Ajeno a la organización del responsable,
bito sanitario a pacientes o usuarios estará obli- es decir, los trabajadores que forman
gado, además de a prestar correctamente sus parte de la estructura del responsable
técnicas como profesional sanitario, a respetar no son encargados;
las decisiones que libre y voluntariamente adop- • Puede tratar los datos solo o de manera
te el paciente y cumplir con los deberes de in- conjunta con otras personas;
formación y de documentación clínica. Estos úl-
timos, inciden directamente en el tratamiento de Así, el encargado es un prestador de servicios
datos personales, lo que determina la necesidad que realiza actividades de tratamiento de
de garantizar la aplicación de la normativa sobre datos personales a nombre y por cuenta
protección de datos. del responsable, como consecuencia de la
existencia de una relación jurídica que le vincula
CAPÍTULO 7 con el mismo y delimita el ámbito de su actuación
para la prestación de un servicio. El responsable
EL TRATAMIENTO DE LOS DATOS PERSONALES será corresponsable por las vulneraciones de
POR PARTE DE LOS ENCARGADOS EN LOS seguridad ocurridas en el tratamiento de datos
EXPEDIENTES CLÍNICOS personales que efectúe el encargado a nombre
y por cuenta de éste.
La Ley General en la fracción XV del artículo 3,57
define al encargado como la persona física o El encargado deberá realizar las actividades
jurídica, pública o privada, ajena a la organización de tratamiento de los datos personales sin
del responsable, que sola o conjuntamente con ostentar poder alguno de decisión sobre el
otras trate datos personales a nombre y por cuenta alcance y contenido del mismo, así como limitar
del responsable. Si bien el responsable deberá sus actuaciones a los términos fijados por el
adoptar políticas e implementar mecanismos responsable y la relación entre éstos deberá
para asegurar y acreditar el cumplimiento de estar formalizada mediante un instrumento
los principios, deberes y demás obligaciones jurídico que decida el responsable, que
establecidas por la normatividad aplicable, permita acreditar la existencia de la relación
así como, establecer aquellos mecanismos jurídica, su alcance y contenido, como por
necesarios para evidenciar dicho cumplimiento ejemplo un contrato, cláusulas contractuales,
ante los titulares y el Instituto; no se debe olvidar que acuerdos, convenios u otros de conformidad
lo anterior también le resultará aplicable cuando con la normativa que le resulte aplicable.
los datos personales sean tratados por parte de un En todo caso, los acuerdos que se alcancen
encargado a solicitud del propio responsable o al entre el responsable y el encargado deberán
momento de realizar transferencias, nacionales o ser acordes con lo previsto en el aviso de
internacionales de datos personales. privacidad que definió las condiciones del
tratamiento de los datos personales y no
En tal consideración, el encargado tendrá las deberá contravenir lo estipulado en la Ley
siguientes características: General y demás disposiciones aplicables.
• Puede ser una persona física o jurídica; En el contrato o instrumento jurídico que deci-
• Del ámbito público o privado; da el responsable se deberán prever, al menos,
57
Disponible para su consulta en: http://www.diputados.gob.mx/LeyesBiblio/pdf/LGPDPPSO.pdf
34
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
58
Artículo 61 de la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados, disponible para su consulta en:
http://www.diputados.gob.mx/LeyesBiblio/pdf/LGPDPPSO.pdf
35
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
36
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
37
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
59
Numeral 5.4 de la Norma Oficial Mexicana NOM-004-SSA3-2012, disponible para su consulta en:
https://dof.gob.mx/nota_detalle_popup.php?codigo=5272787
38
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
39
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
en su caso, los organismos garantes, para re- y permanencia del Estado mexicano,
solver la solicitud de ejercicio de los derechos o
ARCO. • Cuando los datos personales sean parte
de la información que las entidades
Las solicitudes para el ejercicio de los dere- sujetas a la regulación y supervisión
chos ARCO deberán presentarse ante la Uni- financiera del sujeto obligado hayan
dad de Transparencia del responsable, en este proporcionado a éste, en cumplimiento
caso en concreto, de la institución de salud a requerimientos de dicha información
pública que atienda al paciente o que el titular sobre sus operaciones, organización y
considere competente, a través de escrito libre, actividades.
formatos, medios electrónicos o cualquier otro
medio que al efecto establezca el Instituto y En todos los casos anteriores, el responsable
los Organismos garantes, en el ámbito de sus deberá informar al titular el motivo de su
respectivas competencias. determinación, en el plazo de hasta veinte
días y podrá ser ampliado por una sóla vez
Las únicas causas en las que el ejercicio de los hasta por diez días cuando así lo justifiquen
derechos ARCO no será procedente son: las circunstancias, siempre y cuando se
le notifique al titular dentro del plazo de
• Cuando el titular o su representante no es- respuesta. En caso de resultar procedente
tén debidamente acreditados para ello; el ejercicio de los derechos ARCO, el
• Cuando los datos personales no se en- responsable deberá hacerlo efectivo en
cuentren en posesión del responsable; un plazo que no podrá exceder de quince
Cuando exista un impedimento legal; días contados a partir del día siguiente
• Cuando se lesionen los derechos de un en que se haya notificado la respuesta al
tercero; titular por el mismo medio en que se llevó
• Cuando se obstaculicen actuaciones ju- a cabo la solicitud.
diciales o administrativas;
• Cuando exista una resolución de autori- Contra la negativa de dar trámite a toda
dad competente que restrinja el acceso solicitud para el ejercicio de los derechos
a los datos personales o no permita la ARCO o por falta de respuesta del respon-
rectificación, cancelación u oposición de sable, procederá la interposición del recur-
los mismos; so de revisión ante el Instituto Nacional de
• Cuando la cancelación u oposición haya Transparencia, Acceso a la Información y
sido previamente realizada; Protección de Datos Personales (INAI).
Cuando el responsable no sea com-
petente;
• Cuando sean necesarios para proteger
intereses jurídicamente tutelados del
titular;
• Cuando sean necesarios para dar cum-
plimiento a obligaciones legalmente ad-
quiridas por el titular;
• Cuando en función de sus atribuciones
legales el uso cotidiano, resguardo y
manejo sean necesarios y proporcionales
para mantener la integridad, estabilidad
40
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
60
Disponible para su consulta en: http://www.diputados.gob.mx/LeyesBiblio/pdf/LGPDPPSO.pdf
61
Disponible para su consulta en: http://www.diputados.gob.mx/LeyesBiblio/ref/lgs.htm
62
Disponible para su consulta en: https://dof.gob.mx/nota_detalle_popup.php?codigo=5272787
41
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
De tal manera, que los responsables de la salud de la manera en la que ha quedado explicada en
en las instituciones del sector público deberán el cuerpo del presente documento.
observar las disposiciones que en la materia estén
vigentes respecto a los expedientes clínicos y Al respecto, los criterios establecidos en la
el paciente como aportante de la información y Norma antes referida, inciden en la calidad de
beneficiario de la atención médica, tiene derechos los registros médicos, de los servicios y de sus
de titularidad sobre la información para la resultados, esta Norma ratifica la importancia
protección de su salud, así como para la protección de que la autoridad sanitaria garantice la libre
de la confidencialidad de sus datos. Estos datos manifestación de la voluntad del paciente de
personales proporcionados por el paciente o por ser o no atendido a través de procedimientos
terceros al personal de salud y que se encuentran clínicos o quirúrgicos, para lo cual, el personal
contenidos en el expediente clínico, deberán ser de salud debe recabar su consentimiento, pre-
manejados con discreción por todo el personal via información y explicación de los riesgos
del lugar, atendiendo a los principios científicos y posibles y beneficios esperados.
éticos que orientan la práctica médica, así como,
las disposiciones establecidas en la Ley General y Una vez referido lo anterior, es preciso indicar
las Normas Oficiales Mexicanas. que el estado de salud refiere a las condiciones
médicas (salud física y mental), sus experiencias
Los datos personales contenidos en el expediente en cuanto a reclamaciones, obtención de
clínico que posibiliten la identificación del paciente, cuidados de salud, historia clínica, información
en términos de los principios científicos y éticos genética, elegibilidad e incapacidad de un
que orientan la práctica médica, no deberán ser titular de los datos; por tanto, se trata de un
divulgados o dados a conocer. Tratándose de dato personal que es confidencial, conforme al
publicación o divulgación de datos personales para artículo 3, fracción X de la Ley General, se trata
efectos de literatura médica, docencia, investigación de un dato personal sensible.
o fotografías, que posibiliten la identificación
del paciente, se requerirá la autorización escrita del En todo caso, los datos personales sensibles
mismo y se adoptarán las medidas necesarias para forman parte de un determinado grupo
que éste no pueda ser identificado. Los datos de informaciones susceptibles de una
personales podrán ser proporcionados a terceros reconsideración respecto a una categoría
cuando medie la solicitud escrita del paciente, general y homogénea por sus especiales
el tutor, representante legal o de un médico peculiaridades y características, que los
debidamente autorizado por el paciente, el tutor o constituye en una categoría especial de datos,
representante legal. protegidos bajo reglas específicas. Por ello,
en la práctica, se busca restringir aún más la
Asimismo, los profesionales de la salud posibilidad legal de su tratamiento. De un lado,
se encuentran obligados a proporcionar mediante herramientas normativas, como la
información verbal al paciente, a quién ejerza imposibilidad de crear bases de datos con
la patria potestad, la tutela, representante el exclusivo fin de tratar estos datos, y con
legal, familiares o autoridades competentes la exigencia en nuestra normatividad de un
y cuando se requiera un resumen clínico u consentimiento reforzado para su tratamiento,
otras constancias del expediente el titular o su así como el establecimiento de medidas de
representante legal deberá solicitarlo por escrito seguridad reforzadas.63
63
Isabel Davara Fernández de Marcos, Gregorio Barco Vega y Alexis Cervantes Padilla. En la definición de Dato personal sensible del
Diccionario de Protección de Datos Personales. Conceptos Fundamentales, disponible para su consulta en:
https://home.inai.org.mx/wp-content/documentos/Publicaciones/Documentos/DICCIONARIO_PDP_digital.pdf
42
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
De tal suerte que, conforme al numeral 7 de la consentimiento será expreso cuando la voluntad
citada Ley General, por regla general no po- del titular se manifieste de forma verbal, por
drán tratarse datos personales sensibles, sal- escrito, por medios electrónicos, ópticos, signos
vo que se cuente con el consentimiento ex- inequívocos o por cualquier otra tecnología.
preso de su titular o en su defecto, se trate de
los casos establecidos de la ley. Para la obtención del consentimiento expre-
so, el responsable deberá facilitar al titular un
En el sistema jurídico mexicano, en la LGPDP- medio sencillo y gratuito a través del cual pue-
SO, se establece en el artículo 3, fracción VIII, da manifestar su voluntad, el cual le permita
que el consentimiento es la manifestación de acreditar de manera indubitable y, en su caso,
la voluntad libre, específica e informada del ti- documentar que el titular otorgó su consen-
tular de los datos mediante la cual se efectúa timiento ya sea a través de una declaración o
el tratamiento de los mismos. una acción afirmativa clara.
64
Estudio titulado. Consentimiento en el tratamiento de datos personales, elaborado por la Dirección General de Normatividad y
Consulta de la Secretaría de Protección de Datos Personales del Instituto Nacional de Transparencia, Acceso a la Información y
Protección de Datos Personales.
65
Disponible para su consulta en: http://inicio.inai.org.mx/AcuerdosDelPleno/ACT-PUB-19-12-2017.10.pdf
43
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
Por otra parte, el consentimiento expreso • Los responsables deberán en todo mo-
en forma escrita, se actualiza cuando los mento observar lo dispuesto en las
titulares de los datos personales exteriorizan disposiciones normativas vigentes, así
su voluntad a través de un documento físico o como los principios Internacionales.
electrónico (en el entorno digital) en el que se
haga constar lo siguiente: • Las medidas implementadas ante cual-
quier epidemia, pandemia o contingen-
• Declaración en sentido afirmativo cia que implique el tratamiento de datos
• Firma autógrafa personales relacionados con la salud,
• Huella dactilar deben ser necesarias y proporcionales,
• Firma electrónica atendiendo las instrucciones de la SSa y
• Cualquier otro mecanismo autorizado autoridades competentes.
• por la normatividad aplicable
• Se debe informar con claridad quién,
Por ello, se recomienda que los sujetos para qué y cómo se tratarán los datos
obligados, que tratan datos personales personales obtenidos. El titular debe co-
sensibles relativos a su estado de salud, deben nocer en todo momento las finalidades
contar con el consentimiento expreso de su para las cuáles serán recabados y trata-
titular o, en su caso, representante legal. dos sus datos personales.
Cabe señalar que, las instancias de salud deben • El responsable previo al tratamiento deberá
extremar precauciones en el tratamiento de los poner a disposición del titular el Aviso de
datos personales de pacientes y de aquéllos Privacidad correspondiente, mismo que
relacionados con el estado de salud actual o deberá contener los mecanismos, medios
futuro de una persona, toda vez que éstos son y procedimientos disponibles para ejercer
considerados de carácter sensible, por lo que los derechos ARCO.
revelarlos puede poner en riesgo su privacidad y
ser motivo de discriminación. • Se deben recabar solamente los datos
personales mínimos necesarios para
En razón de lo anterior, se debe contar con es- lograr el propósito por el cual fueron
trictas medidas de seguridad administrativas, implementadas, como lo es prevenir o
físicas y técnicas para evitar cualquier pérdida, contener la propagación de algún virus y,
destrucción, robo o uso indebido de los mis- en su caso, brindar la atención, diagnóstico
mos, y cumplir así, con los principios, deberes y y tratamiento médico correspondiente.
obligaciones establecidas en las leyes de pro-
tección de datos personales vigentes. • Los datos personales recabados por
el responsable con el fin de prevenir
a) MEDIDAS Y RECOMENDACIONES o contener la propagación de alguna
enfermedad o virus no deben utilizarse
Con la finalidad de prevenir riesgos que pu- para propósitos distintos.
dieran vulnerar la seguridad, confidencialidad
y disponibildad y respetar la privacidad de los • Se debe solicitar al paciente su consenti-
pacientes, a continuación, se proporcionan al- miento expreso y por escrito para el tra-
gunas medidas o recomendaciones para el tamiento de datos personales de salud,
tratamiento adecuado de los datos personales: salvo que se actualice alguna de las cau-
44
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
sales de excepción, como cuando sean con la autorización expresa y por escrito
indispensables para la atención médica, del paciente y de un médico autorizado,
mientras el titular no esté en condiciones salvo los casos en los que por disposi-
de otorgar el consentimiento. ción normativa o por cumplimiento de
obligaciones se requiera comunicar la
• Los datos personales no deben ser obteni- información.
dos por medios fraudulentos ni engañosos.
• El responsable debe requerir la autori-
• Los datos deben ser tratados lícitamen- zación expresa y por escrito del titular
te y de conformidad con la normativa de los datos personales cuando se trate
aplicable por el profesional de la salud de una divulgación para fines vinculados
o establecimiento de atención médica, con la literatura médica, docencia o in-
independientemente de que éste tenga vestigación, en donde sea posible iden-
naturaleza pública, privada o social. tificar al paciente.
45
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
• Los responsables deben definir los pla- de garantizar el ejercicio del derecho a la pro-
zos de conservación de los datos per- tección de datos personales en posesión de
sonales, que no deberán ser menor a un sujetos obligados, les corresponde:
período de 5 años, a partir de la fecha
del último acto médico. • Vigilar que se de el adecuado tratamiento;
46
Recomendaciones para orientar el debido tratamiento de datos personales en los expedientes clínicos de las instituciones de salud pública
47