Revista Bioreview Edición 22 - Junio 2013

BIODIAGNOSTICO

 

Análisis del caso: “Estudios de Laboratorio de Análisis Clínicos vía electrónica. La digitalización de firma en la República Argentina”

CUBRA News. Boletín informativo de la CUBRA.

La Confederación Unificada Bioquímica de la República Argentina ha solicitado a sus asesores legales un análisis sobre la posibilidad de aplicación de la digitalización de la firma en los informes de los laboratorios de análisis clínicos. A continuación se presenta un informe elaborado en base a los requisitos legales que aplican a esta acción.

Normativa Aplicable:

  • Ley 25.326 de Protección de Datos Personales y su Decreto Reglamentario 1558/01
  • Dispocisión Nº 11 PDP (Dirección Nacional de Protección de datos Personales).
  • Ley 25.506 de Firma Digital.

Desarrollo:

Previo a adentrarme en el tema de consulta, es necesario mencionar que conforme surge de la Ley de Habeas Data, todas las instituciones que manejen datos sensibles de personas deberán inscribirse en el Registro Nacional de Bases de Datos. Esta obligación alcanza a las instituciones de Salud que usen sistemas que contengan información sensible sobre sus pacientes. La disposición fue dictada por la Dirección Nacional de Protección de Datos Personales  (DNPDP) como autoridad de aplicación de la ley 25.326, (Hábeas Data). Para el caso de incumplimiento de lo mencionado, la propia norma prevé la aplicación de multas pecuniarias y hasta de clausura de establecimientos.

 1)- Entrando ya en el tema de consulta, es menester en primer lugar abordar la ley Nº 25.326 de Protección de Datos Personales, que regula el tratamiento  que debe darse a los datos de carácter personal, así como los procedimientos y sanciones establecidas para casos de incumplimiento de las obligaciones  previstas en la propia legislación.

El artículo 2 de dicha norma, define a los datos “sensibles”, siendo estos, “…los datos personales que revelan origen racial y étnico, opiniones políticas,  convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.

De este modo, vemos que los datos que surgen a consecuencia de los resultados de los análisis clínicos de laboratorio son, a efectos legales, considerados  como sensibles.

Más adelante, el mismo artículo 2º define al "tratamiento de datos", entendiendo por ello a “…las operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción, y en general el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias.”

También, en el mismo artículo se define a los “datos informatizados”, siendo estos, lo datos personales sometidos al tratamiento o procesamiento
electrónico o automatizado.

Así vemos que el mencionado art. 2 de la ley 25.326, establece las definiciones de varios elementos que necesariamente comparecerán al momento de almacenar y/o enviar por vía electrónica datos tales como resultados de análisis clínicos de laboratorio.

Asimismo, la Disposición Nº 11 dictada por la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, establece tres categorías o niveles de seguridad de la información, siendo ellos, Básico, Medio y Crítico.

Para cada uno de los niveles antes mencionados se han previsto diferentes medidas de seguridad, teniendo en cuenta la mayor o menor necesidad de garantizar la confidencialidad e integridad de la información contenida en el banco de datos respectivo; la naturaleza de los datos y la correcta administración de los riesgos a que están expuestos, así como también el mayor o menor impacto que tendría en las personas el hecho de que la información registrada en los archivos no reúna las condiciones de integridad y confiabilidad debidas.

Como ya fuera expuesto, la información o datos que surgen a consecuencia de la realización de análisis clínicos es considerada sensible, y por ende su nivel de seguridad es el “Crítico”.

Las medidas de seguridad que deben adoptarse en el nivel considerado crítico son: Los archivos, registros, bases y bancos de datos que contengan datos  personales, definidos como “datos  sensibles, además de las medidas de seguridad de nivel Básico y Medio, deberán adoptar las que a continuación se  detallan:

Distribución de soportes: cuando se distribuyan soportes que contengan archivos con datos de carácter personal —incluidas las copias de respaldo—, se  deberán cifrar dichos datos (o utilizar cualquier otro mecanismo) a fin de garantizar que no puedan ser leídos o manipulados durante su transporte.

Registro de accesos: se deberá disponer de un registro de accesos con información que identifique al usuario que accedió, cuándo lo hizo (fecha y hora), tipo de acceso y si ha sido autorizado o denegado. En el caso que el acceso haya sido autorizado se deberá identificar el dato accedido y el tratamiento que se le  dio al mismo (baja, rectificación, etc.). Este registro de accesos deberá ser analizado periódicamente por el responsable de seguridad y deberá ser  conservado como mínino por el término de un TRES (3) años.

Copias de respaldo: además de las que se  mantengan en la localización donde residan los datos deberán implementarse copias de resguardo externas,  situadas fuera de la localización, en caja ignífuga y a prueba de gases o bien en una caja de seguridad bancaria, cualquiera de ellas situadas a prudencial  distancia de la aludida localización. Deberá disponerse de un procedimiento de recuperación de esa información y de tratamiento de la misma en caso de  contingencias que pongan no operativo el/los equipos de procesamiento habituales.

Transmisión de datos: los datos de carácter personal que se transmitan a través de redes de comunicación, deberán serlo cifrados o utilizando cualquier otro  mecanismo que impida su lectura y/o tratamiento por parte de personas no autorizadas.

Finalmente la disposición aclara que quedan exceptuados de aplicar las medidas de seguridad de nivel crítico, los archivos, registros, bases y bancos de datos que deban efectuar el tratamiento de datos sensibles para fines administrativos o por obligación legal. No obstante, ello no excluye que igualmente deban contar con aquellas medidas de resguardo que sean necesarias y adecuadas al tipo de dato.

En casos como el planteado, es preciso que el profesional particular o empresa que pretenda transmitir la información sensible a los destinatarios, adopte las  medidas necesarias a fin de cumplir con la normativa vigente y dar un correcto tratamiento a aquella información.

2)- Es aquí entonces, donde cobra importancia el tema de la protección de los datos personales a través de la llamada firma digital. La misma es regulada  por la ley Nº 25.506 cuyo art. 2 la define como, el resultado de aplicar a un documento digital un procedimiento matemático que requiere información de  exclusivo conocimiento del firmante, encontrándose ésta bajo su absoluto control. La firma digital debe ser susceptible de verificación por terceras partes, tal  que dicha verificación simultáneamente permita identificar al firmante y detectar cualquier alteración del documento digital posterior a su firma.

A su vez el artículo 3 de la misma norma dice que: Cuando la ley requiera una firma manuscrita, esa exigencia también queda satisfecha por una FD. Este  principio es aplicable a los casos en que la ley establece la obligación de firmar o prescribe consecuencias por su ausencia.

Así pues teniendo presente que la información que procesan los laboratorios es considerada sensible, la firma digital es un buen medio a fin de cubrir ciertos puntos como, la identificación de la persona que generó la información en un documento médico, garantizar la inviolabilidad de lo que se generó en un  momento dado, demostrar la secuencialidad de la información.

No obstante que la implementación de la firma digital sería el mecanismo adecuado para tratar el envío de información sensible por internet, la solución al  envío de resultados de análisis clínicos de laboratorio por internet, podría estar en el artículo 5 punto 1) de la ley 25.326, que aborda el tema del  consentimiento, y dice:

“El tratamiento de datos personales es ilícito cuando el titular no hubiere prestado su consentimiento libre, expreso e informado, el que deberá constar por  escrito, o por otro medio que permita se le equipare, de acuerdo a las circunstancias.”

“El referido consentimiento prestado con otras declaraciones, deberá figurar en forma expresa y destacada, previa notificación al requerido de datos, de la  información descrita en el artículo 6° de la presente ley.”

Asimismo, el art. 6 del mismo cuerpo legal establece la información que, de forma expresa y clara, debe dársele al titular, siendo estas:

  1.  La finalidad para la que serán tratados y quiénes pueden ser sus destinatarios o clase de destinatarios;
  2.  La existencia del archivo, registro, banco de datos, electrónico o de cualquier otro tipo, de que se trate y la identidad y domicilio de su responsable;
  3.  El carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga, en especial en cuanto a los datos referidos en el artículo  siguiente;
  4.  Las consecuencias de proporcionar los datos, de la negativa a hacerlo o de la inexactitud de los mismos;
  5.  La posibilidad del interesado de ejercer los derechos de acceso, rectificación y supresión de los datos.

De este modo, vemos que el consentimiento libre expreso e informado por parte del titular de los datos, constituye la condición justificante de las operaciones de tratamiento a que pueden ser sometidos los datos, sin la cual las mismas quedan teñidas de ilicitud. Se trata de una declaración de
voluntad del titular de los datos, referida a los mismos, aceptando la realización de los procesos y operaciones implicados en su tratamiento.

En el caso en particular, esta declaración de voluntad podría plasmarse en un formulario pre impreso, mediante el cual el profesional o empresa profesional informe previamente al titular (conforme art. 6 antes mencionado), y seguidamente le solicite su consentimiento para poseer los datos y enviarlos vía  electrónica (e-mail) a la dirección que propio titular consigne.

De esta forma se obtendría el consentimiento expreso y por escrito, conforme lo prevé el propio art. 5 de la ley 25.326.

La Confederación Unificada Bioquímica de la República Argentina ha solicitado a sus asesores legales un análisis sobre la posibilidad de aplicación de la digitalización de la firma en los informes de los laboratorios de análisis clínicos. A continuación se presenta un informe elaborado en base a los requisitos legales que aplican a esta acción.

Normativa Aplicable:

  • Ley 25.326 de Protección de Datos Personales y su Decreto Reglamentario 1558/01
  • Dispocisión Nº 11 PDP (Dirección Nacional de Protección de datos Personales).
  • Ley 25.506 de Firma Digital.

Desarrollo:

Previo a adentrarme en el tema de consulta, es necesario mencionar que conforme surge de la Ley de Habeas Data, todas las instituciones que manejen datos sensibles de personas deberán inscribirse en el Registro Nacional de Bases de Datos. Esta obligación alcanza a las instituciones de Salud que usen sistemas que contengan información sensible sobre sus pacientes. La disposición fue dictada por la Dirección Nacional de Protección de Datos Personales  (DNPDP) como autoridad de aplicación de la ley 25.326, (Hábeas Data). Para el caso de incumplimiento de lo mencionado, la propia norma prevé la aplicación de multas pecuniarias y hasta de clausura de establecimientos.

 1)- Entrando ya en el tema de consulta, es menester en primer lugar abordar la ley Nº 25.326 de Protección de Datos Personales, que regula el tratamiento  que debe darse a los datos de carácter personal, así como los procedimientos y sanciones establecidas para casos de incumplimiento de las obligaciones  previstas en la propia legislación.

El artículo 2 de dicha norma, define a los datos “sensibles”, siendo estos, “…los datos personales que revelan origen racial y étnico, opiniones políticas,  convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.

De este modo, vemos que los datos que surgen a consecuencia de los resultados de los análisis clínicos de laboratorio son, a efectos legales, considerados  como sensibles.

Más adelante, el mismo artículo 2º define al "tratamiento de datos", entendiendo por ello a “…las operaciones y procedimientos sistemáticos, electrónicos o no, que permitan la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción, y en general el procesamiento de datos personales, así como también su cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias.”

También, en el mismo artículo se define a los “datos informatizados”, siendo estos, lo datos personales sometidos al tratamiento o procesamiento
electrónico o automatizado.

Así vemos que el mencionado art. 2 de la ley 25.326, establece las definiciones de varios elementos que necesariamente comparecerán al momento de almacenar y/o enviar por vía electrónica datos tales como resultados de análisis clínicos de laboratorio.

Asimismo, la Disposición Nº 11 dictada por la DIRECCION NACIONAL DE PROTECCION DE DATOS PERSONALES, establece tres categorías o niveles de seguridad de la información, siendo ellos, Básico, Medio y Crítico.

Para cada uno de los niveles antes mencionados se han previsto diferentes medidas de seguridad, teniendo en cuenta la mayor o menor necesidad de garantizar la confidencialidad e integridad de la información contenida en el banco de datos respectivo; la naturaleza de los datos y la correcta administración de los riesgos a que están expuestos, así como también el mayor o menor impacto que tendría en las personas el hecho de que la información registrada en los archivos no reúna las condiciones de integridad y confiabilidad debidas.

Como ya fuera expuesto, la información o datos que surgen a consecuencia de la realización de análisis clínicos es considerada sensible, y por ende su nivel de seguridad es el “Crítico”.

Las medidas de seguridad que deben adoptarse en el nivel considerado crítico son: Los archivos, registros, bases y bancos de datos que contengan datos  personales, definidos como “datos  sensibles, además de las medidas de seguridad de nivel Básico y Medio, deberán adoptar las que a continuación se  detallan:

Distribución de soportes: cuando se distribuyan soportes que contengan archivos con datos de carácter personal —incluidas las copias de respaldo—, se  deberán cifrar dichos datos (o utilizar cualquier otro mecanismo) a fin de garantizar que no puedan ser leídos o manipulados durante su transporte.

Registro de accesos: se deberá disponer de un registro de accesos con información que identifique al usuario que accedió, cuándo lo hizo (fecha y hora), tipo de acceso y si ha sido autorizado o denegado. En el caso que el acceso haya sido autorizado se deberá identificar el dato accedido y el tratamiento que se le  dio al mismo (baja, rectificación, etc.). Este registro de accesos deberá ser analizado periódicamente por el responsable de seguridad y deberá ser  conservado como mínino por el término de un TRES (3) años.

Copias de respaldo: además de las que se  mantengan en la localización donde residan los datos deberán implementarse copias de resguardo externas,  situadas fuera de la localización, en caja ignífuga y a prueba de gases o bien en una caja de seguridad bancaria, cualquiera de ellas situadas a prudencial  distancia de la aludida localización. Deberá disponerse de un procedimiento de recuperación de esa información y de tratamiento de la misma en caso de  contingencias que pongan no operativo el/los equipos de procesamiento habituales.

Transmisión de datos: los datos de carácter personal que se transmitan a través de redes de comunicación, deberán serlo cifrados o utilizando cualquier otro  mecanismo que impida su lectura y/o tratamiento por parte de personas no autorizadas.

Finalmente la disposición aclara que quedan exceptuados de aplicar las medidas de seguridad de nivel crítico, los archivos, registros, bases y bancos de datos que deban efectuar el tratamiento de datos sensibles para fines administrativos o por obligación legal. No obstante, ello no excluye que igualmente deban contar con aquellas medidas de resguardo que sean necesarias y adecuadas al tipo de dato.

En casos como el planteado, es preciso que el profesional particular o empresa que pretenda transmitir la información sensible a los destinatarios, adopte las  medidas necesarias a fin de cumplir con la normativa vigente y dar un correcto tratamiento a aquella información.

2)- Es aquí entonces, donde cobra importancia el tema de la protección de los datos personales a través de la llamada firma digital. La misma es regulada  por la ley Nº 25.506 cuyo art. 2 la define como, el resultado de aplicar a un documento digital un procedimiento matemático que requiere información de  exclusivo conocimiento del firmante, encontrándose ésta bajo su absoluto control. La firma digital debe ser susceptible de verificación por terceras partes, tal  que dicha verificación simultáneamente permita identificar al firmante y detectar cualquier alteración del documento digital posterior a su firma.

A su vez el artículo 3 de la misma norma dice que: Cuando la ley requiera una firma manuscrita, esa exigencia también queda satisfecha por una FD. Este  principio es aplicable a los casos en que la ley establece la obligación de firmar o prescribe consecuencias por su ausencia.

Así pues teniendo presente que la información que procesan los laboratorios es considerada sensible, la firma digital es un buen medio a fin de cubrir ciertos puntos como, la identificación de la persona que generó la información en un documento médico, garantizar la inviolabilidad de lo que se generó en un  momento dado, demostrar la secuencialidad de la información.

No obstante que la implementación de la firma digital sería el mecanismo adecuado para tratar el envío de información sensible por internet, la solución al  envío de resultados de análisis clínicos de laboratorio por internet, podría estar en el artículo 5 punto 1) de la ley 25.326, que aborda el tema del  consentimiento, y dice:

“El tratamiento de datos personales es ilícito cuando el titular no hubiere prestado su consentimiento libre, expreso e informado, el que deberá constar por  escrito, o por otro medio que permita se le equipare, de acuerdo a las circunstancias.”

“El referido consentimiento prestado con otras declaraciones, deberá figurar en forma expresa y destacada, previa notificación al requerido de datos, de la  información descrita en el artículo 6° de la presente ley.”

Asimismo, el art. 6 del mismo cuerpo legal establece la información que, de forma expresa y clara, debe dársele al titular, siendo estas:

  1.  La finalidad para la que serán tratados y quiénes pueden ser sus destinatarios o clase de destinatarios;
  2.  La existencia del archivo, registro, banco de datos, electrónico o de cualquier otro tipo, de que se trate y la identidad y domicilio de su responsable;
  3.  El carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga, en especial en cuanto a los datos referidos en el artículo  siguiente;
  4.  Las consecuencias de proporcionar los datos, de la negativa a hacerlo o de la inexactitud de los mismos;
  5.  La posibilidad del interesado de ejercer los derechos de acceso, rectificación y supresión de los datos.

De este modo, vemos que el consentimiento libre expreso e informado por parte del titular de los datos, constituye la condición justificante de las operaciones de tratamiento a que pueden ser sometidos los datos, sin la cual las mismas quedan teñidas de ilicitud. Se trata de una declaración de
voluntad del titular de los datos, referida a los mismos, aceptando la realización de los procesos y operaciones implicados en su tratamiento.

En el caso en particular, esta declaración de voluntad podría plasmarse en un formulario pre impreso, mediante el cual el profesional o empresa profesional informe previamente al titular (conforme art. 6 antes mencionado), y seguidamente le solicite su consentimiento para poseer los datos y enviarlos vía  electrónica (e-mail) a la dirección que propio titular consigne.

De esta forma se obtendría el consentimiento expreso y por escrito, conforme lo prevé el propio art. 5 de la ley 25.326.

CERRAR
BIODIAGNOSTICO
» Abrir toda la revista
Bioquímica Molecular +- Diagnóstico Clínico Aplicado +- Gestión de la Calidad +- Actualidad +- Bioresearch +- Novedades CUBRA +- Agenda de formación continua y posgrado »