Señor …:
Tengo el agrado de dirigirme a Ud. con relación a su nota de fecha 3 de mayo ppdo., en la que solicita que este Órgano de Control se expida con relación a la violación de la Ley Nº 25.326 en que incurren los financiadores del sistema de salud (Prepagas, Obras Sociales, las Cámaras que las representan, etc.), al solicitar copias de los informes de los análisis clínicos de sus afiliados. A fin de analizar la cuestión planteada, cabe ubicarnos en el contexto legal aplicable. La Ley Nº 25.326, de Protección de Datos Personales tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos u otros medios técnicos de tratamiento de datos, sean estos públicos o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el art. 43, 3º párr., CN (art. 1). En su art. 2º define a los “datos sensibles” como aquellos datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual. El art. 4, ley Nº 25.326 dispone que la recolección de los datos no puede hacerse en forma contraria a las disposiciones de esa ley y que los datos que se recolecten deberán ser “no excesivos” en relación al ámbito o finalidad para el que se hubieren obtenido. Por su parte, el art. 7º del mismo cuerpo legal dispone que ninguna persona puede ser obligada a proporcionar datos sensibles (inc.1), pudiendo los mismos sólo ser objeto de tratamiento cuando medien razones de interés general autorizadas por ley o con finalidades estadísticas o científicas cuando no puedan ser identificados sus titulares (inc. 2). En consecuencia, este tipo de datos no pueden -en principio- ser tratados, salvo excepciones muy concretas entre las que podemos mencionar, por un lado, el consentimiento del interesado, ya que si bien el interesado no puede ser obligado a proporcionar datos sensibles, nada impide que lo haga voluntariamente. Por el otro, la existencia de una autorización legal, como la establecida especialmente para los datos relativos a la salud en el art. 8, ley Nº 25.326, el que expresa que los establecimientos sanitarios públicos o privados y los profesionales vinculados a las ciencias de la salud pueden recolectar y tratar los datos personales relativos a la salud física o mental de los pacientes que acudan a los mismos o que estén o hubieran estado bajo tratamiento de aquellos, respetando los principios del secreto profesional, entendido éste como una forma de respetar y asegurar la intimidad de los pacientes. Asimismo y a modo de ejemplo pueden citarse otras autorizaciones legales tales como la Ley Nº 23.798, sobre sida, que permite el tratamiento de los datos de los pacientes pero prohíbe individualizarlos a través de fichas o registros, los que deberán llevarse en forma codificada. Por aplicación de la normativa antes descripta, los financiadores del sistema de salud, al no estar incluidos en los términos del art. 8, ley Nº 25.326, sólo podrían efectuar el tratamiento de los datos relativos a la salud de sus afiliados si mediaren el consentimiento del interesado o razones de interés general autorizadas por ley o si lo hicieran con finalidades estadísticas o científicas sin identificar a sus titulares (Ley Nº 25.326, art. 7). En el entendimiento de que no resultará posible a los financiadores del sistema de salud efectuar un tratamiento de datos aplicando procedimientos de disociación, en atención a que necesariamente deben contar con los datos identificatorios de sus asociados, para proceder a conocer los datos de salud de cada uno de ellos, deberán estar ineludiblemente autorizados por el interesado o por una ley. Lo contrario implicará, por un lado, un tratamiento de datos efectuado en forma contraria a las disposiciones de la ley específica en la materia y, por el otro, se estarían manejando datos excesivos en relación al ámbito y finalidad para la que los mismos se han obtenido. Con relación a esto último y en atención al antes referido principio de calidad de la información, previsto por el art. 4, ley Nº 25.326, cabe señalar que resulta necesario contrastar la pertinencia de entregar esa información de carácter sensible a los financiadores del sistema con la finalidad para la cual éstos utilizarán esa información. Siendo la finalidad de la actividad de los financiadores del sistema de salud, la administración, gestión y facturación de los costos de las prestaciones sanitarias, no es difícil concluir que para solventar los costos de los estudios de que se trata, no es necesario acceder a los resultados de la prestación a cargo de los profesionales bioquímicos, sino que la información debe limitarse a la mínima y estrictamente necesaria para el ejercicio de esa función. Dicho en los términos de la ley, resulta excesivo y no pertinente el envío de dicha información al sólo efecto de la facturación del costo de la prestación, máxime teniendo en cuenta que se trata de información de carácter sensible que el legislador ha estimado que merece una protección especial y diferenciada. Las conductas violatorias de lo establecido en la Ley Nº 25.326, constituyen infracciones susceptibles de sanción por parte de esta Dirección Nacional, en los términos de la Disposición DNPDP Nº 7 de fecha 8/11/05 (Anexos I y II). Con relación al tema objeto del presente, en dicha normativa se prevén las siguientes infracciones: infracción leve (art. 1- Anexo I): proceder al tratamiento de datos de carácter personal que no reúnan las calidades de ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido (inc. k). Le corresponde una sanción de hasta 2 apercibimientos y/o multa de $1.000 a $3.000 (art. 1- Anexo II). infracción grave (art. 2 – Anexo I): tratar datos de carácter personal en forma ilegítima o con menosprecio de los principios y garantías establecidas en la Ley Nº 25.326 y normas reglamentarias (inc.a). Le corresponde una sanción de hasta 4 apercibimientos, suspensión de 1 a 30 días y/o multa de $3.001 a $50.000 (art. 2- Anexo II). infracciones muy graves (art. 3- Anexo I): recolectar y tratar los datos sensibles sin que medien razones de interés general autorizadas por ley o tratarlos con finalidades estadísticas o científicas sin hacerlo en forma disociada (inciso d); formar archivos, bancos o registros que almacenen información que directa o indirectamente revele datos sensibles, salvo en los casos expresamente previstos en el art. 7, inc. 3, ley Nº 25.326 (inc. e) o vulnerar el deber de guardar secreto sobre los datos sensibles (inc. g). Le corresponde una sanción de hasta 6 apercibimientos, suspensión de 31 a 365 días, clausura o cancelación del archivo, registro o banco de datos y/o multa de $50.001 a $100.000 (art. 3- Anexo II). Finalmente, no puede dejar de señalarse que el envío de las copias de los informes de análisis clínicos de los laboratorios a los financiadores del sistema trasunta una cesión de datos en los términos del art. 11, ley 25.326. Para que dicha cesión sea válida, entre otros requisitos, se exige que se realice para el cumplimiento de los fines directamente relacionados con el interés legítimo del cedente y del cesionario, de modo que los financiadores deberían demostrar cuál es su interés legítimo para recibir la totalidad de la información de la prestación llevada a cabo por el profesional bioquímico. En este contexto, además, debe tenerse presente que el cesionario queda sujeto a las mismas obligaciones legales y reglamentarias del cedente y éste responderá solidaria y conjuntamente por las observancia de las mismas ante el organismo de control y el titular de los datos de que se trate (Ley Nº 25.326, artículo 11).
En virtud de lo expuesto precedentemente, de no mediar el consentimiento del interesado o una ley que autorice el tratamiento de los datos relativos a la salud -datos de carácter sensible para la legislación de protección de datos personales-, los financiadores del sistema de salud estarían efectuando un tratamiento ilícito y excesivo de datos sensibles en los términos de la Ley Nº 25.326, dando lugar a la configuración de las infracciones a que se ha hecho referencia precedentemente y a su pertinente sanción, sin perjuicio de la responsabilidad solidaria de cedente y cesionario a que se ha aludido en el párrafo anterior ■
<hr />
