La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (en adelante LFPDPPP), publicada en el Diario Oficial de la Federación el 5 de julio de 2010, tiene por objeto la protección de los datos personales en posesión de los particulares, con la finalidad de regular su tratamiento legítimo, controlado e informado, a efecto de garantizar la privacidad y el derecho a la autodeterminación informativa de las personas, entendido como la facultad de disponer del control sobre la publicidad de la información de carácter personal, es decir, la posibilidad de elegir qué información de la esfera privada de la persona puede ser conocida y cuál debe permanecer en secreto.
De tal forma, las actividades consistentes en la prestación de servicios médicos y de salud por parte de personas físicas y/o morales, tales como consultorios, clínicas, hospitales y laboratorios, tanto de carácter público como privado, conllevan necesariamente un tratamiento de datos personales de los pacientes que acuden para recibir un diagnóstico o tratamiento médico, o bien, para la realización de algún estudio o análisis clínico.
Lo anterior se estima de esa forma, toda vez que los datos personales consisten en cualquier información concerniente a una persona física identificada o identificable, entendida como aquélla cuya identidad pueda determinarse, directa o indirectamente, mediante cualquier información; mientras que el tratamiento comprende cualquier actividad como su obtención, uso, acceso, manejo, aprovechamiento, transferencia, disposición, divulgación o almacenamiento por cualquier medio.
Ahora bien, la NOM-004-SSA3-2012 –publicada en el Diario Oficial de la Federación el 15 de octubre de 2012–, trata el tema del expediente clínico y tiene como propósito establecer con precisión los criterios científicos, éticos, tecnológicos y administrativos obligatorios en la elaboración, integración, uso, manejo, archivo, conservación, propiedad, titularidad y confidencialidad del expediente clínico, el cual se constituye en una herramienta de uso obligatorio para el personal del área de la salud, de los sectores público y privado que integran el Sistema Nacional de Salud.
Un aspecto fundamental en esta norma oficial mexicana es, por una parte, que resulta de observancia obligatoria para el personal del área de la salud y los establecimientos prestadores de servicios de atención médica de los sectores público y privado, incluidos los consultorios; y, por la otra, que reconoce la titularidad del paciente sobre los datos que proporciona al personal del área de la salud. En ese sentido, se han comprendido aquellos datos que se refieren a su identidad personal y los que proporciona en relación con su padecimiento y diagnóstico médico, mismos que son considerados como información confidencial.
En particular, el numeral 4.4 de la NOM-004-SSA3-2012 define al expediente clínico como al conjunto único de información y datos personales de un paciente, que se integra dentro de todo tipo de establecimiento para la atención médica, ya sea público o privado, el cual consta de documentos escritos, gráficos, imagenológicos, electrónicos, magnéticos, electromagnéticos, ópticos, magneto-ópticos y de cualquier otra índole, en los cuales, el personal de salud deberá hacer los registros, anotaciones, en su caso, constancias y certificaciones correspondientes a su intervención en la atención médica del paciente, con apego a las disposiciones jurídicas aplicables.
Por su parte, los numerales 5, 5.1 y 5.2, 6, 6.1, 6.2, 6.3 y 6.4 de la NOM-004-SSA3-2012, establecen fundamentalmente que los prestadores de servicios de atención médica de los establecimientos de carácter público y privado, estarán obligados a integrar y conservar el expediente clínico de sus pacientes, el cual debe contener fundamentalmente lo siguiente:
- Tipo, nombre y domicilio del establecimiento y, en su caso, nombre de la institución a la que pertenece.
- En su caso, la razón y denominación social del propietario o concesionario.
- Nombre, sexo, edad y domicilio del paciente.
- Historia clínica (interrogatorio, exploración física, resultados de laboratorio, diagnóstico, pronóstico, indicación terapéutica).
- Notas de evolución (evolución y actualización del cuadro clínico, signos vitales, resultados relevantes, diagnóstico o problemas clínicos, pronóstico, tratamiento e indicaciones médicas).
- Notas de interconsulta (criterios diagnósticos, plan de estudios, sugerencias diagnósticas y tratamiento).
- Notas de referencia/traslado (establecimiento que envía y receptor, resumen clínico, motivo del envío, impresión diagnóstica y terapéutica empleada).
En ese sentido, no debe pasar desapercibido que, en términos del artículo 3, fracción VI de la LFPDPPP, los datos personales sensibles son aquéllos que afectan a la esfera más íntima de su titular, o cuya utilización indebida pueda dar origen a discriminación o conlleve un riesgo grave para éste, por ejemplo, aquéllos que puedan revelar aspectos como origen racial o étnico, estado de salud presente y futuro, información genética, creencias religiosas, filosóficas y morales, afiliación sindical, opiniones políticas o preferencia sexual, entre otros.
Por tal motivo, si se toma en cuenta que para la integración del expediente clínico se requiere diversa información de carácter personal de los pacientes, tanto aquella de carácter identificativo, como la referente al estado de salud presente y futuro de los titulares, se puede concluir que las personas físicas y morales que prestan servicios de salud, en cualquiera de sus vertientes y enfoques, efectúan el tratamiento de datos personales sensibles.
De tal forma, con independencia del cumplimiento a la normatividad sectorial, los prestadores de servicios médicos, en su carácter de responsables del tratamiento de datos personales deben cumplir con los principios, deberes y derechos previstos en la LFPDPPP y la legislación que de ella deriva.
Uno de dichos principios, es el de consentimiento, mismo que se encuentra establecido en los artículos 3, fracción IV, 6, 8, párrafos primero y segundo, y 9, párrafo primero, de la LFPDPPP; 9, fracción II, 11 y 19 de su Reglamento, y de acuerdo con el cual todo tratamiento se encuentra sujeto al consentimiento de su titular, entendido como la manifestación de la voluntad mediante la que se efectúa el tratamiento de los datos personales, siendo que en el caso específico de los datos personales sensibles es necesario que dicho consentimiento sea expreso y por escrito, esto es, cuando el titular lo externa mediante un documento con su firma autógrafa, huella dactilar o cualquier otro mecanismo autorizado por la normatividad aplicable.
En ese orden de ideas, conforme a los diversos artículos 12 y 20 del Reglamento de la LFPDPPP, los responsables tienen la carga de la prueba para demostrar la obtención del consentimiento de los titulares, el cual además debe ser recabado de manera libre (sin que medie error, mala fe, violencia o dolo); específica (referida a finalidades determinadas que justifiquen el tratamiento); informada (que el titular tenga conocimiento del aviso de privacidad previo al tratamiento); e inequívoca (cuando existan elementos que, de manera indubitable, demuestren su otorgamiento).
Es indispensable destacar que en el ejercicio de sus facultades y atribuciones como organismo constitucional autónomo garante del derecho fundamental a la protección de datos personales, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (en adelante INAI) ha conocido y resuelto diversos procedimientos de verificación e imposición de sanciones en contra de personas físicas y morales, responsables del tratamiento de datos personales con motivo de la prestación de servicios médicos.
En tal virtud, el INAI ha determinado incumplimientos por recabar datos personales sin el consentimiento expreso, informado y específico de los titulares, así como violaciones a los principios de información, responsabilidad y licitud, por no acreditar la puesta a disposición de los avisos de privacidad respectivos, dejando de velar por el debido tratamiento de los datos personales, en contravención a lo dispuesto por la LFPDPPP y la normatividad que de ella deriva.
Incluso, en algunos casos, los médicos y las instituciones clínicas/hospitalarias han sostenido que no son sujetos regulados en materia de protección de datos personales, negándose a dar respuesta a los requerimientos del organismo garante, en cuyo caso se da determinado la existencia de obstrucción a los actos de verificación de la autoridad.
Por otra parte, en relación con el ejercicio de los derechos de acceso, rectificación, cancelación y oposición de datos personales, es importante señalar que el INAI ha resuelto que el derecho de acceso al expediente clínico es un derecho humano de vital importancia porque permite el ejercicio de otros derechos humanos como el derecho a la salud de las personas; por ello, no sólo es procedente para la tutela de la información y datos personales de su titular, sino que se materializa a través de las constancias y documentos que las personas pueden obtener.
De igual manera, y en casos específicos, se ha realizado el análisis relativo al interés superior de la niñez, así como la atención a la mujer en cuanto a su derecho a la salud materna y a la protección de sus datos personales al recibir atención médica, apoyándose incluso en estándares y normas internacionales en aras de garantizar la efectiva tutela del derecho fundamental en cuestión.
En ese orden de ideas, se estima pertinente retomar el diverso artículo publicado en el Latin American Dashboard Digest, con el título “La protección de datos personales después de la muerte: diferencias en la regulación mexicana”, en el que se puntualizó que, ante la falta de distinción o restricción alguna respecto de los derechos o el tratamiento de los datos personales de las personas fallecidas, tanto en la Constitución Política de los Estados Unidos Mexicanos como en tratados internacionales, no debiera existir un impedimento –la falta de previsión en las leyes secundarias, para aplicar y reconocer el derecho de quienes ostenten un interés jurídico o legítimo en relación con los titulares finados.
Sobre el particular y en concatenación con el tópico atinente a los expedientes clínicos, vale la pena apuntar que recientemente el Pleno del INAI conoció un procedimiento de protección de derechos en el que se requirió a una clínica hospitalaria el expediente clínico de un menor de edad y de su madre fallecida. En el asunto de mérito, se resolvió que era procedente ordenar a la persona moral responsable que otorgara el acceso al expediente clínico del menor de edad por conducto de su representante legal, así como a los documentos que obraran en el diverso expediente clínico de su fallecida madre, que dieran cuenta del estado de salud de dicho titular; lo anterior, en aras de garantizar el efectivo derecho de acceso a los datos personales en el caso concreto.