El presente documento ofrece recomendaciones para clínicas (Instituciones Prestadoras de Servicios de Salud – IPRESS) y aseguradoras de salud (Instituciones Administradoras de Fondos de Aseguramiento en Salud – IAFAS, o Entidades Prestadoras de Salud – EPS), basándose en las obligaciones y principios establecidos en la Ley N° 29733, Ley de Protección de Datos Personales (LPDP), su reglamento y las opiniones consultivas emitidas por la Autoridad de Protección de Datos, especialmente en lo relativo a los datos sensibles de salud.

I. Marco Legal Fundamental

Los datos personales relacionados con la salud son considerados datos sensibles. Esta información concierne a la salud pasada, presente o pronosticada, física o mental, de una persona, incluyendo el grado de discapacidad y su información genética.

Toda la información relativa al acto médico tiene carácter reservado.

II. Recomendaciones Específicas para Clínicas y Aseguradoras

A. Sobre la Obtención del Consentimiento para el Tratamiento de Datos Sensibles

1. Requerimiento de Consentimiento Escrito: Para el tratamiento de datos personales relacionados con la salud (datos sensibles), como regla general, se requiere el consentimiento de su titular efectuado por escrito.

2. Forma del Consentimiento Escrito: Este consentimiento debe ser otorgado por escrito, ya sea a través de firma manuscrita, firma digital o cualquier otro mecanismo de autenticación que garantice la voluntad inequívoca del titular de los datos personales.

3. Características del Consentimiento: El consentimiento debe ser previo, informado, expreso e inequívoco.

4. Diferenciación de Consentimientos: Es fundamental diferenciar el consentimiento para el tratamiento de datos personales (regulado por la LPDP) del consentimiento informado para prácticas o procedimientos médicos (regulado por normas sectoriales de salud), ya que tienen un objeto distinto.

B. Sobre el Deber de Confidencialidad y las Transferencias

1. Deber de Confidencialidad: El profesional de la salud, el técnico o el auxiliar, están obligados a guardar confidencialidad respecto a la información relacionada con el acto médico en el que participan o del que tienen conocimiento. Esta obligación subsiste aún después de finalizada la relación con el titular de los datos personales.

2. Transferencia de Datos al Asegurador (Excepción de Reserva): Se exceptúa la reserva de la información relativa al acto médico cuando esta sea proporcionada a la entidad aseguradora o administradora de financiamiento vinculada con la atención prestada al paciente, siempre que fuere con fines de reembolso, pago de beneficios, fiscalización o auditoría.

3. Transferencia de Datos de Aseguradora a Empleador: La transferencia de datos de salud de una aseguradora a un empleador, para informar sobre la condición de invalidez o incapacidad de un trabajador, solo puede realizarse con el consentimiento previo, informado, expreso y por escrito del asegurado, ya que esta transferencia generalmente no se encuentra entre las finalidades originales ni en las excepciones legales.

4. Transferencia de Datos entre Centros de Salud de la Misma Red (Ej. EsSalud): Para continuar con la atención médica, la transferencia de datos entre establecimientos de la misma red asistencial no requiere el consentimiento del titular (ya que es parte de las funciones de la entidad pública). Sin embargo, se debe informar al titular sobre dicho tratamiento.

5. Requerimientos Legales (Ministerio Público/Policía): Ante solicitudes de acceso a la información contenida en la historia clínica o a la información médica nominal (datos de salud) por parte del Ministerio Público o la Policía, estos datos solo pueden ser entregados si existe autorización judicial competente, o si existe una habilitación legal expresa (como la investigación de delitos específicos, como el VIH/SIDA).

6. Tratamiento sin Consentimiento para Atención Médica: El tratamiento de datos del paciente no requiere consentimiento si se utiliza únicamente en el marco de las atenciones y procedimientos médicos autorizados, ya que dichas atenciones son parte de la ejecución de la relación contractual entre el titular del dato y el centro médico.

C. Sobre la Implementación de Principios y Medidas de Seguridad

1. Principio de Seguridad: Las clínicas y aseguradoras (como titulares o encargados de bancos de datos personales) deben adoptar las medidas técnicas, organizativas y legales necesarias para garantizar la seguridad de los datos personales, siendo estas medidas apropiadas y acordes con la categoría de datos (especialmente para datos sensibles).

2. Implementación de Medidas Técnicas: Se deben implementar procedimientos documentados para la gestión de acceso, privilegios y su verificación periódica. Asimismo, se deben generar y mantener registros que provean evidencia sobre las interacciones lógicas.

3. Principio de Finalidad y Proporcionalidad: El tratamiento de datos debe ser adecuado, relevante y no excesivo respecto a la finalidad determinada, explícita y lícita para la que fueron recopilados.

4. Identificación Certera: Deben implementarse mecanismos para identificar de forma certera al titular del dato personal al momento de registrar sus datos y al darle acceso a su información médica. Esto es crucial para asegurar la calidad del banco de datos y evitar entregar información confidencial a terceros.

5. Deber de Informar: Se debe garantizar el cumplimiento de la obligación de informar al titular sobre las circunstancias y condiciones del tratamiento de sus datos personales al momento de la recopilación (derecho-deber de informar). Se recomienda revisar la «Guía práctica para la observancia del Deber de Informar» de la Autoridad Nacional de Protección de Datos Personales.

6. Flujo Transfronterizo: En caso de realizar flujo transfronterizo de datos personales, se debe solicitar el consentimiento del titular y se le debe haber informado previamente que se realizaría la transferencia internacional.

7. Publicidad de Datos de Profesionales: Si se publica información sobre la programación de turnos asistenciales de profesionales de la salud (nombres, apellidos, colegio profesional, número de colegiatura y especialidad), esta publicación es legítima ya que responde a la finalidad de informar a los usuarios sobre los servicios de salud a los que tienen derecho. No obstante, la publicación del número de DNI de los médicos no se considera necesaria ni proporcional, ya que el número de colegiatura y el nombre del colegio profesional son suficientes para su identificación.

8. Uso de la Historia Clínica en Arbitraje: Un centro de salud que sea parte de un procedimiento arbitral puede presentar las historias clínicas estrictamente necesarias como medio probatorio para la solución de la controversia sin el consentimiento del titular, en ejercicio de su derecho de prueba, pero las partes y el tribunal arbitral deben guardar la confidencialidad de los datos personales a los que accedan.

En caso que tengas consultas sobre el tema no dudes en escribir a rocio.mendiola@revoredo.pe quien te ayudará en todo lo que necesites.