¿Cómo proteger los datos personales de tus pacientes?
Es normal que los profesionales de la salud conviven diariamente con información privada de sus pacientes. Conocen sus nombres completos, edad y estado físico. Tienen acceso a su dirección y teléfono particulares. Y, obviamente, manejan sus historiales clínicos y conocen qué medicamentos toman.
Estos datos son solicitados con la finalidad de que el profesional de la salud pueda elaborar una historia clínica completa del paciente, realizar notas médicas, evaluar riesgos respecto de alguna cirugía y, en general, para prestar un mejor servicio.
Como es bien sabido, todos estos datos de tus pacientes son confidenciales y están protegidos por ley.
La Ley Federal de Protección de Datos Personales en posesión de Particulares, publicada el 05 de julio de 2010, es de orden público y observancia general en toda la República. Su objeto es la protección de los datos personales en posesión de particulares para regular su tratamiento legítimo, informado y controlado y así garantizar la privacidad y el derecho a las personas a controlar su propia información.
Algunos de los datos que protege la Ley Federal de Protección de Datos Personales en Posesión de Particulares son:
- Nombre completo
- Domicilio
- Número telefónico (celular, casa, oficina)
- Ocupación
- Datos familiares (padres, hijos, tíos, primos, amigos)
- Ingresos y egresos
- Padecimientos crónicos
Los datos relativos a la salud se encuentran dentro de la categoría especial de datos sensibles de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares, pues conforman información que afecta a la esfera más íntima de la persona y, si se usan de forma indebida, pueden dar origen a problemas como la discriminación laboral o el robo de identidad. Esto quiere decir que de usar o publicar datos del estado de salud de tu paciente sin su consentimiento estarías incurriendo en una falta ya que esto puede perjudicar cualquier ámbito de su vida.
Estos detalles deben estar especificados en el Aviso de Privacidad que los profesionales de la salud deben tener en su consultorio, en versión completa y como un extracto que debe estar visible para cada paciente que acuda a su consultorio.
Para evitar ser acreedor a sanciones por parte del Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) y cumplir con las disposiciones de la Ley de Protección de Datos Personales, es importante implementar las medidas de seguridad administrativas, físicas y tecnológicas necesarias para manejar estos datos, ya sea de manera física o digital, con la finalidad de evitar que se vulnere su seguridad, por ejemplo:
- Utilizar software legal que encripte los datos para evitar su robo.
- Eliminar la información confidencial de manera segura:
- Borrar discos duros o aparatos telefónicos que se vayan a desechar.
- Destruir archivos en papel con una trituradora en lugar de simplemente tirarlos a la basura.
- Si los datos se almacenan de manera física, asegurar que los archiveros cuentan con llave o candado y controlar quién tiene acceso a esta información.
Así mismo, los profesionales de la salud deben poner a disposición de sus pacientes sus derechos ARCO (acceso, rectificación, cancelación u oposición). Esto es asegurar que, si un paciente desea modificar sus datos total o parcialmente, o incluso solicitar a quién posee sus datos que le sean devueltos o que sean eliminados, sea posible hacerlo de manera fácil y se le dé respuesta en tiempo y forma.
El incumplimiento de lo requerido por la Ley Federal de Protección de Datos Personales en Posesión de Particulares se sanciona en los artículos 63 y 64 se la siguiente manera
Apercibimiento:
No cumplir con la solicitud del titular para el acceso, rectificación, cancelación u oposición al tratamiento de sus datos personales, sin razón fundada.
De $8,962 a $14,339,200 pesos:
- Actuar con negligencia o dolo en la tramitación de solicitudes de acceso, rectificación, cancelación u oposición de datos personales.
- Declarar dolosamente la inexistencia de datos personales, cuando exista total o parcialmente en sus bases de datos.
- Usar los datos personales de forma contraria a los principios establecidos en la LFPDPPP.
- Omitir en el aviso de privacidad.
De $17,924 a $28,678,400 pesos:
- Incumplir el deber de confidencialidad.
- Cambiar sustancialmente la finalidad originaria del tratamiento de los datos, sin obtener nuevamente el consentimiento del titular.
- Vulnerar la seguridad de bases de datos, locales, programas o equipos, cuando resulte imputable al responsable.
- Recabar o transferir datos personales sin el consentimiento expreso del titular, en los casos en que este sea exigible.
- Obstruir los actos de verificación de la autoridad.
- Recabar datos en forma engañosa y fraudulenta.
- Continuar con el uso ilegítimo de los datos personales cuando se ha solicitado el cese de este por el instituto o los titulares.
- Tratar los datos personales de manera que se afecte o impida el ejercicio de los derechos ARCO.
- Crear bases de datos personales sensibles sin que se justifique su finalidad.
Es importante que los profesionales de la salud conozcan estas disposiciones legales pues una premisa principal del derecho es que el desconocimiento de la ley no exime de su cumplimiento. Por tanto, el desconocimiento es una cuestión que no se puede alegar en un tribunal para defensa.
Los profesionales de la salud se deben asesorar a este respecto y conocer cómo deben actuar para evitar alguna situación futura que bien pudo preverse.
