Reglamento de la Ley Orgánica de Protección de Datos Personales. Su aplicación en la práctica profesional del médico y personal de salud

Consentimiento informado para el tratamiento de los datos personales

El responsable del tratamiento de datos personales (médico u hospital, según sea el caso) deberá obtener, para poder usarlos, el consentimiento inequívoco de su titular, suscribiendo previamente que accede al tipo de tratamiento que se ha implementado para la protección de sus datos. Entonces, el consentimiento informado del paciente deberá incluir una cláusula en la que se defina el trato que se dará a sus datos personales y quedará plasmado en un documento que demuestre, de forma indubitable, su aceptación. Cuando los datos pertenezcan a incapaces legales, valdrá el consentimiento que otorga su representante. Hay que tener en cuenta que no se presume el consentimiento del titular ante el silencio o inacción por parte del paciente o de sus representantes. Si el titular que otorgó el consentimiento para el tratamiento de sus datos personales, posteriormente lo revoca, se llegará a un convenio sobre su forma de eliminación. El correcto tratamiento de los datos personales debe cumplir con la misión de interés público del paciente o de un tercero.

Acciones a tomar por el responsable de los datos personales

Los plazos de conservación de los datos no deberán exceder los estrictamente necesarios para cumplir con las finalidades que justificaron el tratamiento de los mismos. El responsable tiene la obligación de establecer un procedimiento para la conservación, revisión periódica, bloqueo o eliminación de los datos personales. El fichero de registro contendrá el tiempo de conservación antes de proceder a la eliminación segura de los mismos. Mientras el fichero esté abierto, se garantizará las plataformas digitales para que los titulares puedan acceder a tales datos, previa una solicitud que debe contener requisitos específicos (Art.13)1. En cualquier momento el titular de los datos podrá presentar una queja, si considera que se han violado los derechos al acceso de los datos protegidos. Para que pueda ocurrir la transferencia o comunicación de datos personales a un tercero, se requiere el consentimiento actual del titular. El responsable de la custodia de los datos personales deberá comunicar a la autoridad competente cuando los datos contenidos en un registro estén en riesgo de una vulneración de seguridad, por ejemplo, cuando vayan a ser destruidos, cuando hayan sido alterados, cuando se ha perdido el control o acceso a los datos o cuando el tratamiento de datos sea ilegal.

El responsable de custodiar los datos personales debe evaluar el impacto del tratamiento de datos personales para identificar y mitigar los posibles riesgos. El informe de la evaluación de impacto debe limitarse a la estrictamente necesaria, sin incluir detalles potencialmente confidenciales.

Al responsable de los datos le corresponde aplicar medidas apropiadas para la observancia efectiva de los principios de protección de datos; al efecto, deberá evaluar el estado de la técnica escogiendo tratamientos de datos actualizados y modernos, evaluar los costos de aplicación sin que valga la excusa de la falta de capacidad económica del responsable para implementar un tratamiento adecuado de datos, demostrar que se han aplicado las medidas necesarias y, sobre todo, regular las reglas de solidaridad entre los responsables conjuntos de un determinado tratamiento de datos (médico tratante, interconsultas, director médico, director del hospital, entre otros).

Todo registro de actividades de tratamiento de datos deberá contener el mínimo de requisitos establecidos en el Art. 38 del Reglamento que analizamos y tendrá que ponerse a disposición de la autoridad competente cuando esta lo requiera1.

El encargado del tratamiento de datos personales debe garantizar que se cumplan las disposiciones legales; al efecto, tanto el responsable como el encargado deben suscribir un contrato por escrito (laboral o de servicios civiles), en el que se establezcan sus mutuas obligaciones.

Para asesorar, velar y supervisar, de manera independiente, el cumplimiento de las obligaciones legales imputables al responsable y al encargado del tratamiento de datos personales, deberá contratarse a un delegado de protección de datos que no ostente un cargo de administración y control del responsable y encargado, que no sea socio o accionista, que no sea cónyuge de los directores del responsable o encargado o sus parientes hasta el cuarto grado de consanguinidad o segundo de afinidad o que no tengan conflictos de interés con el responsable o encargado. El delegado de protección de datos deberá suscribir un acuerdo de confidencialidad respecto de los datos que maneja con ocasión de su función.

El responsable del tratamiento de los datos debe aplicar las medidas necesarias para revisarlas y actualizarlas cuando sea necesario, garantizando mediante ajustes por defecto, que permitan que los datos no puedan ser accesibles a un número indefinido de personas de forma automatizada, implementando mecanismos de autorregulación como los descritos en el Reglamento analizado, los cuales deberán estar debidamente certificados por la autoridad competente.

Cualquier persona natural o jurídica responsable de la protección de datos podrá elaborar códigos de conducta que determinen tanto las características del tratamiento de datos personales como los mecanismos de supervisión.

Papel de las autoridades en la vigilancia del cumplimiento del Reglamento

La autoridad competente para la protección de datos personales será el Superintendente de Protección de Datos Personales y tendrá sede en el Distrito Metropolitano de Quito, autoridad a la que el Reglamento le otorga atribuciones específicas para el ejercicio de dicha labor y estará a cargo del Registro Nacional de Protección de Datos Personales y del Registro Único de Responsables y Encargados de Datos Personales Incumplidos, en el que se incluirá los nombres de los infractores, la infracción cometida, la sanción impuesta y las reincidencias, con fines estadísticos, preventivos y de capacitación. Las capacitaciones técnicas y cursos de formación para el público en general, orientados a promover el ejercicio del derecho a la protección de datos personales y a la profesionalización de los delegados de protección de datos personales se implementará durante el año 2024.

Procedimiento a seguir de acuerdo al Ministerio de Salud Pública

El proceso de entrega de la información del Ministerio de Salud Pública, para fines de investigación, es decir, con fines académicos y científicos, debe estar sujeto a procedimientos específicos descritos por el ministerio del ramo, respecto de los datos consolidados, datos anonimizados y seudonimizados y datos sensibles relativos a la salud, tomando en cuenta que la entrega de esta información dependerá de la disponibilidad de la misma y de la autorización expresa que haya otorgado el titular o su representante en el asentimiento informado; colocamos el enlace pertinente en internet para su consulta3. Cabe aclarar que en caso de que los investigadores soliciten acceso a la “Historia Clínica”, esta no podrá salir del establecimiento de salud, por ningún motivo.

Normas internas para el tratamiento de los datos personales

La protección de datos desde su reglamentación ya no es un supuesto teórico, por ello, tanto los médicos en sus respectivos consultorios, como los hospitales, clínicas y más entidades adscritas al sistema nacional de salud, deben implementar normas internas claras que evidencien que están cumpliendo irrestrictamente con la normativa vigente, lo que evitará riesgos y sanciones innecesarias. La implementación de las mencionadas normas debe ocurrir en este año y debemos estar atentos a su socialización e implementación.