Desde que la entrada en vigencia de la ley de Protección de Datos Personales y Acción de Habeas Data (18.331 ) se registró un avance en los criterios de recolección y tratamiento de datos de salud por parte de las autoridades regulatorias. Hoy un dato sensible, como cualquier dato vinculado a la salud, debe ser tratado con reserva y en forma confidencial.

Los datos relativos a la salud de las personas son considerados por la normativa como “datos sensibles”, lo cual supone que los mismos se verán alcanzados por un nivel de protección especial que implica requisitos más estrictos para su recolección y uso. Sin embargo, muchos de estos datos son develados por la mecánica misma de del sistema de salud nacional. En los hechos una receta médica que asocia una persona a un medicamento, es indicador del estado de salud o enfermedad de alguien y por lo tanto un dato de sensible que está siendo develado.

Los programas que utilizan estos datos para beneficiar a los pacientes y generan una base de datos (así como cualquier otra base de datos existente) deben estar registrados ante la Unidad Reguladora y de Control de Datos Personales. Si bien al comienzo del sistema se dudaba acerca de cómo implementarlo, los criterios se han ido actualizando conforme a los avances de la tecnología y a las posibilidades que brindan las plataformas online.

Nadie duda que los datos de salud solo pueden ser recabados con el previo, libre, expreso e informado consentimiento de sus titulares, consentimiento que además la normativa exige sea por escrito. Sin embargo, adaptando este criterio a la realidad comercial y a la facilidad de acceso que brinda internet, las autoridades han aceptado un primer consentimiento vía online y posteriormente plasmar el mismo en soporte papel en la primera oportunidad disponible y previa al tratamiento efectivo de dichos datos para dar cumplimiento al requisito del consentimiento por escrito. Las autoridades basan su criterio no sólo en la realidad que suponen los avances tecnológicos actuales, sino también en al hecho de que a toda persona afectada por un problema de salud le asiste también el derecho a consentir el tratamiento de sus datos personales como parte del derecho al disfrute de toda una gama de facilidades, bienes, servicios y condiciones necesarios para alcanzar el más alto nivel posible de salud.

De esta forma, los datos de salud, siguen siendo protegidos y los usuarios pueden seguir favoreciéndose de sistemas que hacen posible el acceso a beneficios, descuentos y demás facilidades. Más allá de la practicidad que representa esta modalidad de recolección de información, lo que se mantiene en cabeza de las empresas vinculadas a la salud al momento de recolectar y utilizar este tipo de datos es la obligación de mantener la seguridad de los mismos.

En este sentido, en cumplimiento del principio de seguridad, las empresas deberán poner en práctica las medidas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales y que tiendan a evitar la adulteración, pérdida, consulta o tratamiento no autorizado de los mismos, así como detectar desviaciones de información. En el caso de datos de carácter sensible como lo son los datos de salud, y si bien la normativa nacional no prevé medidas específicas a ser aplicadas en función del tipo de información objeto de las mismas (el Regulador nacional sí ha recomendado seguir los parámetros de las normas ISO/IEC 27:000, pero no existe una obligación legal en este sentido), lo que es claro es que las herramientas utilizadas para asegurar la reserva y confidencialidad de la información deberán proveer de una protección especial y más abarcativa.