Datos personales sensibles y prestadores de servicios de salud.

¿Eres un profesional de la salud? Probablemente como parte de tu práctica profesional manejes datos personales sensibles.

Si tu práctica profesional corresponde o se relaciona con la salud, como es la medicina, la odontología, la nutrición o la psicología (es decir, eres un prestador de servicios de salud)*, posiblemente como parte de tu práctica profesional recabes, manejes y almacenes datos personales.

Al final, hemos de recordar que, de conformidad con la Ley**, cualquier información concerniente a una persona física identificada o identificable es un dato personal.

Ahora bien, un prestador de servicios de salud no solo se ve en la necesidad de recabar datos personales en lo general, como son nombres, números telefónicos, cuentas de correo electrónico, RFC o datos bancarios. Los profesionales de la salud se ven en la necesidad de recabar y manejar datos considerados por la Ley como “sensibles”.

Así, se tiene que el estado de salud de las personas, en este caso el estado de salud de los pacientes que acuden a consulta, son datos personales sensibles, por ser datos que afectan su esfera más íntima y cuya utilización indebida pueda dar origen a discriminación o implicar un riesgo grave para el paciente en particular.

Por lo anterior, toda actividad profesional que implique o conlleve recabar datos personales , traerá aparejada la obligación de contar con un “aviso de privacidad”; toda vez que, el aviso de privacidad es el medio legalmente previsto para informar a los titulares de los datos personales, como pueden ser los pacientes que acuden a consulta, sobre qué información exactamente se recaba de ellos y con qué fines.

Sin embargo, es preciso tomar en consideración que, para aquellos encargados de tratar con datos personales sensibles, como puede ser el caso de los prestadores de servicios de salud, la obligación legal no se cumple en su totalidad únicamente al tener un aviso de privacidad y compartirlo con los titulares de los datos personales, es decir, la obligación legal se satisface solo parcialmente al contar con un aviso de privacidad y compartirlo con los pacientes.

Para aquellos encargados de manejar datos personales sensibles es necesario, adicionalmente, recabar el consentimiento “expreso y por escrito” de los titulares de los datos personales.

Para este punto, resulta sumamente relevante entender lo que significa recabar el consentimiento expreso de los titulares de los datos personales, es decir, el consentimiento expreso de los pacientes, lo que consistirá en recabar una forma de aceptación expresa y tangible del aviso de privacidad por cada uno de los pacientes de los cuales se recaben datos personales sensibles.

Ahora bien, el consentimiento puede recabarse mediante la firma autógrafa del aviso de privacidad previamente impreso, mediante firma electrónica a través de una app o herramienta de firma digital, y en general, mediante cualquier mecanismo de autenticación que permita verificar que se ha recabado el consentimiento expreso, fehaciente y por escrito del paciente.

*Para identificar quiénes son considerados Prestadores de Servicios de Salud de conformidad con el marco legal mexicano es preciso consultar la Ley General de Salud como marco general de referencia y las normas oficiales mexicanas aplicables para cada sector en lo particular.

**Ley Federal de Protección de Datos Personales en Posesión de los Particulares.