/ (562) 2787 60 00
Noticias

/ Alessandri en DataGuidance: Panorama de la privacidad en el sector de la salud y consideraciones COVID-19 en Chile

7 de Julio, 2022

El objetivo de este artículo de Insight es ofrecer una visión general de la normativa chilena que regula la privacidad y protección de datos en el sector de la salud. Al respecto, cabe mencionar que comprende a cualquier tipo de prestador de salud (sea público o privado), así como a los profesionales y trabajadores de la salud que intervienen en la prestación de servicios de salud.

Jaime Urzúa
Asociado

Felipe Von Unger
Asociado
Alessandri Abogados

Fuente: DataGuidance.

Con la pandemia del COVID-19, la privacidad y la protección de datos sanitarios se convirtieron en temas cruciales entre los profesionales de la privacidad debido al número de consultas y servicios de salud prestados mediante telemedicina, el tratamiento de datos sanitarios con diferentes fines, así como las restricciones en la movilidad, la capacidad de las instalaciones y el ejercicio de los derechos que protegen el acceso a la asistencia de salud y a los datos relacionados. Jaime Urzúa y Felipe Von Unger, de Alessandri Abogados, analizan las normas generales y más específicas que regulan la protección de datos, su aplicación, y el Boletín Nº11144-07 que Regula el Tratamiento y Protección de Datos Personales y Crea la Autoridad de Protección de Datos Personales (“el Proyecto de Ley”), que se encuentra actualmente en discusión en el Congreso Nacional de Chile.

Constitución y leyes

El Artículo 19 Nº4 de la Constitución Política de la República de Chile garantiza a todas las personas la protección de sus datos personales y establece que el tratamiento y la protección de los datos deberán efectuarse en las condiciones que determine la ley.

Asimismo, la Ley Nº19.628 sobre Protección de la Vida Privada de 1999 (“la Ley”) constituye el actual y principal marco normativo en materia de privacidad de datos. La Ley establece normas generales para el tratamiento de datos y se refiere específicamente a los datos relacionados con la salud, incluyendo la definición de “datos sensibles”, que comprende los datos relativos a las características físicas o morales de las personas o en relación con hechos o circunstancias de su vida privada o intimidad, tales como las condiciones de salud física o psíquica y la vida sexual. La relevancia de esta definición radica, entre otras cosas, en que los datos sensibles no pueden ser objeto de tratamiento, salvo:

  • Cuando lo autorice la ley;
  • Con el consentimiento explícito del titular de los datos; o
  • Cuando sea necesario para la determinación y/o concesión de prestaciones de salud para los titulares de los datos.

Por otra parte, la Ley Nº20.584 que Regula los Derechos y Deberes que Tienen las Personas en Relación con Acciones Vinculadas a su Atención de Salud (“Ley de Derechos en Materia de Salud”) regula los derechos de los pacientes y las obligaciones conexas. Más allá de los derechos y obligaciones allí otorgados y regulados, la correlación clave con la privacidad radica en los registros médicos. Según la Ley de Derechos en Materia de Salud, la ficha clínica se define como un instrumento obligatorio en el que se registran los antecedentes relacionados con la salud de una persona. Su finalidad es integrar toda la información médica relevante para la correcta asistencia de cada paciente. Puede estar en formato electrónico, papel o cualquier otro, siempre y cuando el expediente esté completo y se asegure su correcto acceso, almacenamiento y confidencialidad, así como la autenticidad de su contenido y la opción de modificaciones conforme a la ley y a las solicitudes del titular de los datos. En particular, toda la información que surja de la ficha clínica, estudios, laboratorios y demás documentos en los que consten los procedimientos y tratamientos del paciente deben ser considerados como datos sensibles conforme a la Ley.

La Ley de Derechos en Materia de Salud señala que los prestadores son responsables de la confidencialidad de la ficha clínica y deben guardarla por un plazo de 15 años, estableciendo además que sólo podrán tener acceso a su ficha clínica quienes estén directamente involucrados con la atención médica del paciente. De esta forma, terceras personas que no estén directamente relacionadas con la atención de salud del paciente no deben tener acceso a la información contenida en la ficha clínica, ni siquiera el personal de la salud y administrativo del prestador no implicado en la atención directa del paciente.

No obstante lo anterior, podrán acceder a una ficha clínica:

  • Su titular, su representante legal o sus herederos;
  • Terceros debidamente autorizados por el titular de los datos o mediante poder otorgado ante notario;
  • los tribunales de justicia, siempre que la información contenida en la ficha clínica esté relacionada con el caso que estén conociendo en ese momento;
  • Fiscales del Ministerio Público y abogados, previa autorización del juez competente, cuando la información esté directamente relacionada con las investigaciones o defensas que supervisan; y
  • El Instituto de Salud Pública en el ejercicio de sus atribuciones.

Por último, la Ley de Derechos en Materia de Salud obliga a las personas e instituciones que intervienen en los servicios de salud a adoptar todas las precauciones necesarias para asegurar la confidencialidad y privacidad del paciente, sus datos médicos, genéticos u otros datos sensibles, y que toda esa información se utilice exclusivamente para los fines para los que fue recogida y tratada.

Normativa sectorial promulgada tras la aparición de COVID-19

Además de los requisitos mencionados, existen algunas normas sectoriales que imponen obligaciones de protección de datos en referencia a la Ley y a la Ley de Derechos en Materia de Salud, todas ellas publicadas como respuesta a la pandemia:

  • Resolución Exenta Nº24, que facilita la adquisición de medicamentos en el contexto de la alerta sanitaria, que establece que las recetas médicas y su contenido, incluidas las imágenes digitalizadas, son datos reservados y sensibles, sujetos a la Ley, a la Ley de Derechos en Materia de Salud y a las demás leyes y reglamentos aplicables.
  • Resolución Exenta Nº141, que regula la coordinación de red público-privada, que establece que la información proporcionada respecto de pacientes diagnosticados con COVID-19 debe ser resguardada como dato sensible, según lo establecido en el Artículo 12 de la Ley de Derechos en Materia de Salud y los Artículos 2 letra g) y 10 de la Ley.
  • Decreto Nº466 del Ministerio de Salud, que permite a las farmacias dispensar medicamentos por medios electrónicos. Dichas farmacias deben resguardar la seguridad y confidencialidad de los datos personales y sensibles a los que tienen acceso.
  • Circular Nº45 y Oficio Nº7 de la Intendencia de Prestadores de Salud, que reconocen la validez de los documentos digitales relativos a los datos de salud del paciente. Específicamente, los prestadores podrán proceder a la digitalización de los documentos, incorporándose como imagen en la ficha clínica electrónica. Para garantizar la salvaguarda del contenido y el acceso a la ficha clínica electrónica, basta con que se elimine el almacenamiento digital, es decir, la información en formato papel, de acuerdo con la normativa vigente.

Aplicabilidad

Aunque en Chile no existe una autoridad de protección de datos, hay algunos actores relevantes que pueden hacer cumplir la Ley y la Ley de Derechos en Materia de Salud. Considerando las normas sectoriales descritas anteriormente, la Superintendencia de Salud y la Secretaría Regional Ministerial de Salud tienen la facultad de fiscalizar a todos los prestadores de salud públicos y privados en estas materias en virtud de la Ley de Derechos en Materia de Salud.

Recientemente, se promulgó la Ley Nº21.398, que modificó la Ley Nº19.496 que Establece Normas sobre Protección de los Derechos de los Consumidores (“Ley de Protección al Consumidor”), y que otorga facultades fiscalizadoras al Servicio Nacional del Consumidor (“SERNAC”) en el ámbito de las relaciones de consumo. En consecuencia, siempre que se traten datos de salud en el ámbito de una relación de consumo, el SERNAC podrá hacer cumplir la Ley como una de sus capacidades fiscalizadoras.

Principales disposiciones y modificaciones del Proyecto de Ley Nº11144-07

En 2017 se ingresó al Congreso Nacional el proyecto de ley que tiene por objeto modificar la Ley y crear una autoridad de privacidad de datos. Así, el proyecto de ley busca establecer un estándar más alto para el procesamiento y la protección de datos en Chile.

En particular, el proyecto de ley modifica la definición de datos sensibles, incluyendo nuevas categorías de datos, como los datos relacionados con la salud y los datos biométricos. Como se ha mencionado, la nueva definición más amplia de datos sensibles propuesta se refiere a los datos personales que revelen el origen racial o étnico, la afiliación política, sindical o gremial, los hábitos personales, las convicciones ideológicas o filosóficas, las creencias religiosas, los datos relativos a la salud, el perfil biológico humano, los datos biométricos y la información relativa a la vida sexual, la orientación sexual y la identidad de género de una persona física.

Asimismo, según el texto actual del proyecto de ley, los datos relativos a la salud incluirían el perfil biológico, los datos genéticos, proteómicos o metabólicos. Asimismo, los datos biométricos quedarían incluidos en el ámbito de aplicación de la norma, definiéndolos como los datos obtenidos a partir de un tratamiento técnico específico, relativos a características físicas, fisiológicas o de comportamiento de una persona que permitan o confirmen su identificación, como la huella dactilar, el iris, los rasgos faciales o de la mano y la voz.

En cuanto a los datos genómicos, proteómicos o metabólicos, el proyecto de ley estipula que sólo podrán tratarse con los siguientes fines:

  • Para realizar diagnósticos o tratamientos médicos, y cuando sea necesario para la correcta administración de las prestaciones de salud y del seguro de enfermedad;
  • Para garantizar y mejorar la calidad y eficacia de dichas prestaciones y para la realización de actividades relacionadas con la gestión de la salud de la población;
  • Proporcionar tratamiento médico o sanitario en caso de urgencia;
  • Para calificar el grado de dependencia o discapacidad de una persona; y
  • Cuando sea indispensable para la ejecución o cumplimiento de un contrato cuyo objeto o finalidad requiera el tratamiento de datos de salud.

Otras modificaciones que se incluyen en el proyecto de ley hacen referencia a la salud de las personas como causa para impedir el ejercicio de los derechos de acceso, cancelación, oposición y revocación. Además, el proyecto de ley considera lícito el tratamiento de datos sensibles sin el consentimiento del titular en las siguientes situaciones:

  • Cuando sea indispensable para salvaguardar la vida o la integridad física o psíquica del titular de los datos o de otra persona, o cuando el interesado esté física o jurídicamente impedido para dar su consentimiento. Una vez que cese el impedimento, el responsable del tratamiento deberá informar detalladamente al interesado los datos que fueron objeto de tratamiento y las operaciones específicas de tratamiento que se llevaron a cabo;
  • En casos de emergencia sanitaria legalmente decretada;
  • con fines históricos, estadísticos o científicos, para estudios o investigaciones de interés público o en beneficio de la salud humana, o para el desarrollo de productos o suministros médicos que no podrían desarrollarse de otro modo. Los resultados de los estudios e investigaciones científicas que utilicen datos personales relativos a la salud o al perfil biológico podrán publicarse o difundirse libremente, previa anonimización de los datos;
  • Cuando el tratamiento de los datos sea necesario para la formulación, el ejercicio o la defensa de un derecho ante los tribunales de justicia o una entidad administrativa;
  • Cuando el tratamiento de los datos sea necesario para fines de medicina preventiva o del trabajo, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento sanitario o social, o gestión de sistemas y servicios sanitarios y de asistencia social; o
  • Cuando la ley lo permita e indique expresamente la finalidad de dicho tratamiento.

Por último, el proyecto de ley añade una disposición que prohíbe el tratamiento y la cesión de datos relativos al perfil sanitario y biológico y de muestras biológicas asociados a una persona identificada o identificable, incluido el almacenamiento de material biológico, cuando los datos o las muestras hayan sido recogidos en el ámbito laboral, educativo, deportivo, social, de seguros, de seguridad o de identificación, salvo que la ley autorice expresamente su tratamiento en supuestos cualificados y se refiera a alguno de los supuestos anteriormente mencionados.

/ Artículos relacionados

Boletín 11.144 sobre protección de datos: se reinicia su tramitación ante la comisión del Senado

Cláusulas abusivas en datos personales: Sernac convoca consulta pública

Alessandri Talks 5: Tendencias digitales en Chile

Protección de datos, plataformas digitales y neuroderechos

/ Áreas relacionadas

Cumplimiento
Tecnología, ciberseguridad y protección de datos