La Directiva Administrativa Nº 294-MINSA/2020/OGTI, aprobada por Resolución Ministerial Nº 688-2020/MINSA—y ya en plena vigencia—, contiene disposiciones sobre la protección de los datos personales en salud, su tratamiento, su envío a otras entidades de la administración pública o privada, medidas de seguridad de la información, derechos de los titulares, su tratamiento en estado de emergencia o pandemia, entre otras. Esto permitirá al personal de los centros de salud tener una guía sobre cómo cumplir con lo establecido en la Ley de Protección de Datos Personales y garantizar la confidencialidad de los datos de salud de los pacientes.

La disposición principal—y sobre la que se desarrollan los demás temas de esta Directiva—es la referente a la clasificación de la información relativa a los problemas, situación o condición de salud de la población en el sector salud. Esta está a cargo del Ministerio de Salud y se divide en datos personales en salud (DPS), o relacionados a la salud, e información en salud (IS), o en materia de salud.

Los datos personales en salud (DPS) se refieren a los datos generados en cualquier modalidad de atención de salud, sean actos médicos o de salud, en atenciones presenciales (hospitalarias, prehospitalarias o a domicilio) o de telemedicina, así como en investigaciones, encuestas de salud u otras actividades relacionadas en el campo de la salud. Estos incluyen información relativa a la situación de salud o enfermedad de una persona y que la identifican o hacen identificable individualmente (salud y enfermedad pasada, presente o pronosticada, sea física o mental, e incluso, grado de discapacidad y/o información genética). Por su naturaleza, se consideran datos personales sensibles y, por lo tanto, se aplican para ellos las disposiciones de la Ley de Protección de Datos Personales para su tratamiento.

Por otro lado, la información en salud (IS) surge a partir de la atención en los establecimientos y servicios de salud, y se conforma por la información epidemiológica, estadística y/o poblacional disociada o anonimizada de datos relacionados con la salud que no permiten la identificación individual de los titulares. También incluye datos administrativos y financieros de la gestión de la organización o entidad del sector salud por lo que no se considera como datos personales.

Esta distinción puede verse más claramente en el Anexo Nº 1, Gráfico de la clasificación de los datos en el sector salud, que se presenta en la Directiva Administrativa Nº 294—MINSA/2020/OGTI (p.18).

Los DPS, al ser datos personales sensibles, solo deben estar disponibles en el establecimiento de salud donde se atendió cada paciente, para la finalidad para la que fueron recabados y solo podrán ser compartidos con el consentimiento escrito previo y explícito de su titular, con excepción de cuando aquellos datos sean necesarios en circunstancias de riesgo para la prevención, diagnóstico y tratamiento médico o quirúrgico del paciente o cuando el Ministerio de Salud los solicite por razones de salud pública, en cumplimiento de los procedimientos de ley.

Cabe recalcar que cuando los DPS son sometidos a procedimientos de anonimización o disociación se convierten en IS, y es en esa condición que la información puede ser transferida por los establecimientos de salud. Una vez que las entidades del sector público tengan la IS en su poder, ésta es de dominio público con las excepciones de ley. Las políticas públicas en salud, se formulan y evalúan en base a ella.

La IS no debe contener datos que identifiquen a la persona y estará desagregada en los atributos de edad, sexo, residencia, diagnóstico, etc., asegurando que no exista forma de identificar individualmente a las personas atendidas en la información transferida. Por su parte, la Autoridad Nacional de Salud debe disponer de los mecanismos necesarios para que los datos conserven la integridad y confidencialidad que contempla la ley.

Finalmente, en lo relativo a las disposiciones sobre tratamiento de los DPS en estado de emergencia sanitaria o situaciones de pandemia, la Directiva establece que el tratamiento de éstos debe ser el que recibiría en condiciones normales. Si se generan archivos de documentación de naturaleza transitoria que contengan DPS, deben ser objeto de medidas de seguridad y al término de la pandemia o emergencia sanitaria, estos archivos deben ser reubicados con los archivos habituales del establecimiento de salud, incluyendo la información de cada paciente en su correspondiente historia clínica y todo el personal asistencial o administrativo que tenga contacto con esta documentación está obligado a mantener la reserva y confidencialidad correspondiente, bajo responsabilidad.

Esta Directiva es de aplicación obligatoria para todas las entidades del Ministerio de Salud, el Seguro Social de Salud, las Direcciones de Salud de las Fuerzas Armadas y Policía Nacional de Perú y toda entidad pública y privada que desarrolle actividades en el sistema nacional de salud.