MARCO NORMATIVO PARA LA

PROTECCIÓN DE DATOS EN EL
SECTOR SALUD
Implicaciones para la práctica médica

María Marván Laborde

Comisionada
Instituto Federal de Acceso a la
Información y Protección de Datos
14 de abril de 2011
Contenido de la exposición

 Definición
 Antecedentes

 Normatividad en México
 Protección de Datos Personales
 Normatividad Sector Sanitario

 Principios y Derechos
 LFTAIPG y LFPDPPP
 Retos del sector sanitario
 Expediente clínico electrónico
 ¿Qué son los datos personales?

Toda información concerniente o relativa

a una persona física identificada o
identificable.
Ejemplos
 Identificación
 Nombre, edad, domicilio, sexo, RFC, CURP...
 Patrimoniales
 Cuentas bancarias, saldos, propiedades...
 Salud
 Estados de salud físicos y mentales...
 Biométricos
 Huellas dactilares, iris, voz, firma autógrafa...
 Otros
 Ideología, afiliación política, religión, origen
étnico, preferencia sexual...
Derecho a la Privacidad o a la Protección
de datos personales

 En derecho comparado se ha configurado un

auténtico derecho fundamental a la
protección de datos personales, distinto al de
la vida privada o a la intimidad.
 Este derecho tiene sus propios mecanismos de
protección.
 En México, este derecho ya es constitucional.
Derecho a la Privacidad o a la Protección
de datos personales
 Los avances en las TI y sus implicaciones para la vida de
las personas dieron origen a un derecho distinto,
relacionado con la protección de los datos personales (PDP).
 Antecedentes Jurídicos
 1967 - Consejo de Europa: “Comisión Consultiva para
estudiar las tecnologías de información y su potencial
agresividad a los derechos de la persona”.

 1968 - Resolución 509 de CE: “Derechos Humanos y

nuevos logros científicos y técnicos.

 1981 – Convenio 108 de CE: Protección de las personas

con respecto al tratamiento automatizado de los datos
de carácter personal.

 1995 - Directiva 95/46/CE sobre protección de personas

físicas en lo que respecta al tratamiento de datos
personales y a la libre circulación de esos datos.
 Antecedentes Constitucionales

 Constitución Española 1978, art. 18.4: “La Ley

limitará el uso de la informática para garantizar el
honor y la intimidad personal y familiar de los
ciudadanos y el pleno ejercicio de sus derechos”.

 Constitución Perú art. 2.6: “Toda persona tiene

derecho a que los servicios informáticos,
computarizados o no, públicos o privados, no
suministren informaciones que afecten la intimidad”.

 Constitución Venezuela, art. 60: “…La ley limitará el

uso de la informática”.
Normatividad
en México
Protección de Datos
Personales
 A nivel constitucional

Artículo 6 (DOF 20 de julio de 2007).

Artículo 16 (DOF 1º de junio de 2009).

Artículo 73 (DOF 30 de abril de

2009).
 A nivel federal la LFTAIPG
 Esteinstrumento reconoce por primera vez en
México la protección de los datos personales.

 Selimita a las bases de datos del sector público a

nivel federal.

 La LFTAIPG es, a la vez, una ley de acceso a la

información y una ley de protección de datos
personales (limitada en su ámbito de aplicación).

 Actuación del IFAI como autoridad garante:

 Expedición de disposiciones administrativas.
 Expedición de recomendaciones concretas a los sistemas
de datos personales.
 A nivel estatal
 Los estados de Colima, Jalisco y Tlaxcala
cuentan con leyes de protección de datos para el
sector público y privado.

 Losestados de Guanajuato, Coahuila, Oaxaca y

el Distrito Federal sólo regulan la protección de
datos personales en posesión del sector público.

 La mayoría de las legislaciones estatales

contienen un capítulo de protección de datos
personales.
 Normatividad
en el
Sector Sanitario
 Convenio para la Protección de los Derechos
Humanos y la dignidad del ser humano con respecto
a las aplicaciones de la Biología y la Medicina
(Consejo de Europa 2007)
Artículo 10. Vida Privada y derecho a la Información.

1. Toda persona tendrá el derecho a que se respete su vida

privada cuando se trate de informaciones relativas a la
salud.

2. Toda persona tendrá derecho a conocer toda información

obtenida respecto a su salud- No obstante, deberá
respetarse la voluntad de una persona a no ser
informada.

3. De modo excepcional, la ley podrá establecer

restricciones, en interés del paciente, con respecto al
ejercicio de los derechos mencionado en el apartado 2.
 Normatividad en el Sector Sanitario

 Ley General de Salud (1984)

 Reglamento LGS en materia de Prestación de

Servicios Médicos (1986)

 Reglamento de la LGS en Materia de Investigación

para la Salud (1987) (Título II, cinco capítulos)
….sólo como muestra de normas que contienen
disposiciones en materia de privacidad…
 Dos regulaciones: un mismo objetivo

 Defienden la dignidad
del ser humano
 LEYES DEL SECTOR
SANITARIO  Reconocen
a la persona
como titular de los
derechos
 Derecho a la Salud
 Derecho a la protección
 LEYES DE de datos personales
PROTECCIÓN DE
DATOS  Equilibrio entre el
PERSONALES interés público y el
interés del paciente
Principios y derechos

LFTAIPG
y
LFPDPPP
 Principios

Licitud

Consentimiento Finalidad

Tratamiento

Información Proporcionalidad

Calidad
 Principio de Licitud
El tratamiento de los datos personales
deberá llevarse a cabo de forma leal y
lícita; es decir, con pleno cumplimiento de
la legalidad y respeto de la buena fe y los
derechos del individuo cuya información es
sometida a tratamiento.
 Principio de Finalidad
El tratamiento únicamente será llevado a
cabo en el ámbito de finalidades
determinadas, explícitas y legítimas
relacionadas con las actividades del
responsable.
 Principio de
Proporcionalidad
 Sólo se deberán recabar los datos
adecuados o necesarios para la finalidad
que justifica el tratamiento.

 El tratamiento obedecerá a tratar la

mínima cantidad de información necesaria
para conseguir la finalidad perseguida.
 Principio de Calidad

La calidad del dato ha de entenderse

específicamente vinculada a su veracidad
y exactitud, de forma que aquél refleje
fielmente la realidad de la información
tratada.
 Principio de Información
-Aviso de privacidad-

Dar a conocer efectivamente a los titulares

la existencia misma del tratamiento y las
características esenciales de éste, en
términos que le resulten fácilmente
comprensibles y previo a la obtención de
los datos.
 Principio del Consentimiento

 Manifestación de la voluntad como causa

principal legitimadora del tratamiento de
los datos personales.

 Esta manifestación deberá ser libre,

específica, inequívoca e informada.
 Derechos (ARCO)

Acceso.
Rectificación.
Cancelación.
Oposición.
 Derecho de Acceso

Derecho del titular a obtener información

sobre sí y a conocer sí está siendo objeto de
tratamiento, así como el alcance de dicho
tratamiento.
Derecho de Rectificación

Derecho del titular a que se

modifiquen los datos que resulten
ser inexactos o incompletos.
 Derecho de Cancelación

Derecho del titular que da lugar a

que se supriman los datos que
resulten ser inadecuados o
excesivos.
 Derecho de Oposición

Prerrogativa que consiste en

oponerse al uso de datos
personales para una determinada
finalidad.
 Retos específicos
del sector sanitario

Ejercicio Derechos ARCO

 Todos los Datos de Salud son
“Sensibles”

 Artículo 3.

 VI. Datos personales sensibles: Aquellos datos

personales que afecten a la esfera más íntima de su
titular, o cuya utilización indebida pueda dar
origen a discriminación o conlleve un riesgo grave
para éste. En particular, se consideran sensibles
aquellos que puedan revelar aspectos como origen
racial o étnico, estado de salud presente y futuro,
información genética, creencias religiosas,
filosóficas y morales, afiliación sindical, opiniones
políticas, preferencia sexual;
 Muestra biológica /Datos genómicos

 Contiene datos personales

 Por definición son datos sensibles (especial

protección)

 Cuando en una base de datos, éstos se

desligan del nombre, pierden el carácter de
datos personales
Protocolos de Investigación en el sector
salud

 Dato anónimo:
 Sin nexo a una persona identificada o identificable

 Dato anonimizado o irreversiblemente disociado:

 Imposibilidad de volver a asociar el nombre con el
dato

 Dato codificado o reversiblemente disociado:

 Posibilidad de hacer la operación inversa en
beneficio de la persona sujeto de la investigación
Otras definiciones
Consentimiento
 Acceso a Expedientes Clínicos

 Desde 2003 los pacientes han utilizado la ley para

obtener copia íntegra de sus expedientes clínicos
 Gran resistencia del sector salud

 Dos temores:
 Incentivar la medicina litigiosa en el país
 Deficientes archivos de expedientes clínicos
 Expedientes Clínicos
 Normatividad vigente (NOM 168-SSA1-1998) hasta
2003 solo garantizaba el acceso a un resumen y no a
la historia clínica completa

 Cuestionamientos sobre la titularidad del expediente:

 Hospital público
 Médico tratante (propiedad intelectual)
 Paciente

 Posibilidad de una sobrecarga de trabajo al sector

salud
Solicitudes de Acceso a Expediente
Médico
Solicitudes de Acceso a Expediente
Médico
Sujetos Obligados con el mayor número de solicitudes
Recursos de Revisión presentados al
IFAI
 Recursos de Revisión
Sujetos Obligados con mayor número de recursos de
revisión
 Criterios de Resolución:

 Paciente tiene derecho a una copia de su

expediente clínico íntegro

 Hospital público conserva expedientes

“originales”

 Notas evolutivas se reservan

 Expedientes psiquiátricos: paciente tiene

acceso a través de un profesional de la salud
 REGISTROS
ELECTRÓNICOS DE
SALUD
Expediente Clínico
Electrónico
 Registros Electrónicos de Salud

 Objetivo del gobierno federal (2006-2012) mejorar la

atención a los pacientes y mejorar las estadísticas del
sector Salud a través de la creación de Registros
Electrónicos de Salud:

Expedientes Clínicos Electrónicos

 Registros Electrónicos de Salud

 Comunicación e interoperatividad de los

diversos sistemas electrónicos entre las
instituciones públicas
 Confidencialidad de los pacientes y atención
fuera de su localidad en casos de emergencia
 Seguridadde la información de cada uno de los
expedientes y del sistema público de salud
 Alimentación de bases de datos para elaborar
estadísticas de calidad con el fin de mejorar las
políticas públicas de salud
 Expediente Clínico Electrónico

 NOM 168-SSA1-1998 establece los

criterios científicos, tecnológicos y
administrativos obligatorios en la
elaboración, integración, uso y archivo
del expediente clínico

 A partir de dichos criterios se establecen

nuevas normas específicas para el
Expediente Clínico Electrónico (ECE)
 Protección de Datos Personales

 Garantizar la confidencialidad de la
identidad de los pacientes

 Integridad y confiabilidad de la
información clínica

 Medidas de seguridad para evitar el uso

ilegal de la información

 Atender a criterios éticos y científicos que

orientan la práctica médica
 Protección de Datos Personales
 Accesopor parte del paciente a TODA la
información del ECE
 Accesopor parte del personal médico a la
información necesaria para atender al paciente
 Mediante orden judicial o administrativa a la
Comisión Nacional de Arbitraje Médico (en su
caso, a las estatales)
 Revelarinformación de manera ilegal, será
sancionado, inclusive de manera penal
Medidas de seguridad
 Autoridades Reguladoras
 En materia de expedientes clínicos el trabajo
con la Secretaría de Salud establecerá normas
para el manejo de los datos de salud que
garanticen la privacidad de los individuos.
 La Secretarías en colaboración con el IFAI
deberán emitir regulación secundaria
 IFAI- Secretaría de Salud

 Desde que se dio a conocer el proyecto de NOM del

ECE el IFAI se integró al grupo de discusión que
debería elaborarla

 Exigió la elaboración de una Evaluación de Impacto a

la privacidad por un experto extranjero (Primera PIA
que se elaboró en México)

 El Pleno del IFAI emitió una serie de recomendaciones

a ser tomadas en cuenta en la elaboración de dicha
NOM
 Objetivo de las Recomendaciones
( 21 de octubre de 2009)

 Minimizar los riesgos que pudieran

vulnerar la confidencialidad y seguridad
de los datos personales
 Observancia de los principios
internacionales
 Medidas de seguridad en las
transmisiones entre instituciones de salud
 Posibilidad de ejercicio de los derechos
ARCO
 ¡Gracias!
www.ifai.org.mx
http://www.infomex.org.mx/gobiernofederal/home.action

01800 TEL IFAI

01800 835 4324

atencion@ifai.org.mx

TEL. 50 04 24 00