Escrito por Bruno Mejía, gerente de Competencia y Mercados, EY Law
Los datos personales, según lo establecido por la Ley de Protección de Datos Personales y su Reglamento, se encuentran constituidos por información numérica, alfabética, gráfica, fotográfica, acústica o hábitos personales sobre una persona natural que lo identifica o lo hace identificable a través de medios que pueden ser razonablemente utilizados.[1]
El marco normativo peruano reconoce también un tipo de datos personales a los cuales se les debe brindar un mayor nivel de protección ―exigiendo que el consentimiento sea, además, por escrito― denominados “datos personales sensibles” y, dentro de estos, aquellos relacionados con la salud, sea esta pasada, presente o pronosticada, física o mental, de una persona, incluyendo el grado de discapacidad y su información genética.[2]
Un apunte relevante es que a inicios de la pandemia del COVID-19, los datos personales relacionados a la salud cobraron mayor relevancia, debido a que las empresas comenzaron a recopilar, de manera urgente, este tipo de información de carácter personal principalmente sobre sus trabajadores, a fin de identificar quiénes de estos podrían estar contagiados con el virus o, al menos, eran sospechosos de haberse contagiado.
Esta información sensible, qué duda cabe, ha sido, es y sigue siendo considerada de mucha utilidad desde todas las ópticas existentes. Así, siguiendo con el ejemplo del COVID-19, desde el punto de vista del trabajador, esta información ha permitido que se pueda conocer si en efecto está contagiado o tiene sospechas de contagio para luego poder recibir atención médica. Desde el punto de vista de la empresa, ha permitido que los empresarios puedan diseñar protocolos dictados a propósito de la emergencia sanitaria y tomar decisiones relativas a la futura organización y funcionamiento del negocio analizando el impacto que la ausencia del personal generará en los ingresos y las ventas. Desde el punto de vista del Estado, ha permitido que puedan aplicarse políticas públicas de apoyo y promoción para aquellos sectores que se han visto más afectados por la pandemia.
Precisamente, desde el ámbito estatal, el pasado 2 de setiembre se publicó la Resolución Ministerial 688-2020-MINSA, que aprobó la Directiva Administrativa que establece el Tratamiento de los Datos Personales relacionados con la Salud o Datos Personales en Salud (en adelante, la “Directiva”)[3].
La finalidad de la norma es principalmente contribuir con el respeto al derecho de la protección de los datos personales relacionados a la salud. Su aplicación no solo es para el sector público ―MINSA, EsSalud, Direcciones de Salud de PNP, Ejército, Marina de Guerra y FF.AA.― sino también para el sector privado conformado por compañías aseguradoras, EPS, clínicas y centros médicos de apoyo. Y si bien la Directiva regula dos aspectos: (i) información en salud ―conjunto de datos estadísticos que no identifican ni hacen identificable a una persona determinada―; y, (ii) datos personales en salud (en adelante, “DPS”); para efectos del presente artículo nos enfocaremos solo en este segundo aspecto.
Según la Directiva, los DPS están referidos al estado de salud de una persona, identificándola o haciéndola identificable y, al de ser naturaleza “sensible”, para su tratamiento debe obtenerse el consentimiento por escrito.[4] Tal como lo señala la Ley de Protección de Datos Personales, este consentimiento no será necesario requerirlo en circunstancias de riesgo del titular[5].
No obstante, algo que debe llamarnos poderosamente la atención de la Directiva es lo que establece su numeral 5.4, pues prohíbe la construcción de listados nominales que contengan datos personales, ya sean de pacientes o enfermos, que reciban tratamiento del Estado o no, ni siquiera para ser utilizados en programas sociales. Ello bajo la premisa de que ello vulneraría los derechos fundamentales de la persona. Indica, además, que los DPS estarán disponibles sola y debidamente resguardados en el establecimiento de salud donde se atendió cada paciente.
Consideramos que esta restricción resulta carente de razonabilidad, pues se ha regulado tomando en cuenta los potenciales perjuicios de que determinados DPS se compartan, pero ignorando los potenciales beneficios. Se está restringiendo beneficiar a los mismos titulares de los DPS.
En efecto, podría darse el caso de aplicaciones o plataformas digitales que, no perteneciendo al sector salud pero haciendo uso de la tecnología, brindan actualmente soluciones integrales a entidades públicas y privadas de dicho sector, por ejemplo, en la gestión de las atenciones médicas de los pacientes contenidas en sus historias clínicas o en el seguimiento del estado de salud o de la condición médica (v.gr. si existe sospecha de estar contagiado con COVID-19 o si efectivamente lo está) de los colaboradores de una empresa determinada. Si estos DPS se comparten, con el consentimiento de los titulares, ¿por qué no aprovechar estos beneficios?
Estos son solo dos ejemplos claros de cómo algunas disposiciones de la Directiva podrían impactar negativamente en las iniciativas de empresas que si bien son ajenas al sector salud sí brindan a estas algunas herramientas para mejorar el servicio que ofrecen a los consumidores. Resulta importante destacar que las soluciones brindadas por este tipo de empresas con innovación tecnológica no necesariamente son ofrecidas por las propias empresas que pertenecen al sector salud.
Un aspecto adicional no menos relevante que el mencionado anteriormente es el vinculado a un posible conflicto competencial que podría generar lo establecido en el numeral 8.1 de la Directiva al imponer la obligación a directores, jefes, funcionarios y servidores de entidades públicas y privadas del sector, de denunciar en caso adviertan la transmisión o modificación sin autorización de los DPS, ante la Oficina de Transparencia de Anticorrupción del Ministerio de Salud (OTRANS), la PNP o el Ministerio Público.
En este punto, vale la pena mencionar que la OTRANS tiene entre sus principales funciones la de administrar el Portal de Transparencia del MINSA, implementar lineamientos para el acceso a la información pública y limitarse a consolidar la data de denuncias interpuestas por actos de corrupción; funciones que difícilmente pueden ser compatibles con la finalidad que se busca con la Directiva, esta es, la protección de los DPS.
Aquí surge la interrogante de si en efecto la OTRANS es el órgano con competencia para supervisar y, de ser el caso, sancionar a aquellas entidades públicas y privadas que no cumplan con las disposiciones y obligaciones referidas a los DPS de los pacientes y consumidores.
Sobre el particular, debe tomarse en cuenta que las funciones de inspección, supervisión y sancionatoria pertenecen, de acuerdo con lo dispuesto por la Ley de Protección de Datos Personales, a la Autoridad Nacional de Protección de Datos Personales (ANPDP), órgano adscrito al Ministerio de Justicia y Derechos Humanos.
La ANPDP, en el marco de las competencias ya reconocidas por el ordenamiento jurídico vigente, podría conocer los hechos denunciados por incumplimiento de la Directiva y realizar labores de inspección y supervisión, así como evaluar el inicio de procedimientos administrativos sancionadores contra entidades públicas y privadas, tal cual lo viene haciendo actualmente por las infracciones previstas en la normativa de alcance general que regula la materia.
A manera de conclusión, podemos indicar que al emitirse disposiciones legales como la Directiva es necesario conocer previamente el marco normativo general que regula la materia, evaluar el impacto regulatorio de la medida, efectuar una análisis costo-beneficio de la norma y conocer las competencias de las distintas entidades del Sector Público, a efectos de evitar que el “remedio” ―prohibición y regulación innecesarias― llegue a ser peor que la enfermedad ―falta de protección de los DPS―.
[1] Numeral 4 del artículo 2 de la Ley 29733, Ley de Protección de Datos Personales y de su Reglamento, aprobado por Decreto Supremo 003-2013-JUS.
[2] Numeral 5 del artículo 2 de la Ley 29733, Ley de Protección de Datos Personales y de su Reglamento, aprobado por Decreto Supremo 003-2013-JUS.
[3] Norma vigente a partir del 3 de setiembre de 2020.
[4] Numeral 5.4.5 de la Directiva.
[5] Numeral 5.4.13 de la Directiva.
