Los datos de salud en la ley 25.326 de Protección de Datos Personales
por EDUARDO MOLINA QUIROGA
NOTA: El texto completo con notas a pie de página se encuentra en un documento word adjunto.
Introducción
El 4 de octubre de 2000 se sancionó la Ley 25.326, denominada “Ley de Protección de datos personales y Hábeas Data”, destinada a regular la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, y permitir el acceso a la información que sobre las mismas se registre (artículo 43, párr. 3° C.N.) .
Esta regulación es aplicable, en cuanto resulte pertinente, a los datos relativos a personas de existencia ideal. Están excluidas las bases de datos y las fuentes de información periodísticas.
La Ley 25.326 ha sido reglamentada por el Decreto 1558/01, aunque en el aspecto que motiva nuestro comentario, la citada norma no agrega nada.
La ley 25.326 (LPDP) entiende por “datos personales”, la información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables y enumera los llamados “datos sensibles” como los datos personales que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical o política e información referente a la salud o a la vida sexual.
Trataremos de analizar específicamente los criterios a observar con la información referente a la salud de las personas, que citaremos en adelante como “datos de salud”.
Recordemos que para la LPDP cuando se habla de “archivos”, “registros”, “bases de datos” o “bancos de datos”, se está refiriendo a cualquier conjunto organizado de datos personales que sean objeto de tratamiento o procesamiento. Es indiferente que el tratamiento o procesamiento sea por medios electrónicos o no, así como la modalidad de su formación, almacenamiento, organización o acceso.
Se delimitan varias acciones dentro del concepto de “tratamiento de datos”, que comprenden la recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción y en general el procesamiento de datos personales . La cesión a terceros a través de comunicaciones, consultas, interconexiones o transferencias es una operación de tratamiento de datos, aunque tenga regulación específica en la ley .
La figura del “responsable” de un archivo, registro, base o banco de datos, es la persona física o de existencia ideal, pública o privada, que es titular de estos.
En cambio el “titular de datos”, es la persona física o de existencia ideal cuyos datos sean objeto de tratamiento, en los términos que acabamos de reseñar.
La figura del “usuario de datos”, en cambio se refiera a toda persona, pública o privada, que realice a su arbitrio el tratamiento de datos, ya sea en archivos, registros, o bancos de datos propios o a través de conexión con los mismos.
También se define como “disociación de datos” a todo tratamiento de datos personales que tenga por resultado que la información obtenida no pueda asociarse a persona determinada o determinable.
Con motivo de cumplirse tres años de la sanción de esta norma se nos ha solicitado un comentario sobre alguno de sus aspectos y hemos elegido realizarlo sobre los datos de salud.
El tratamiento de los datos personales. Orígenes y panorama actual
Los problemas derivados del tratamiento automatizado de información de carácter personal se han vinculado en nuestro medio, casi con exclusividad, con la protección del derecho a la intimidad, o en su versión más amplia, con el derecho a la privacidad . Creemos que este enfoque reduce el problema a una de sus aspectos.
El almacenamiento y recopilación de datos de carácter personal no es una actividad que haya surgido con la irrupción de la informática. Por el contrario, ya la existencia de los ficheros manuales con datos de carácter personal auguraba los riesgos de datos incompletos, falsos o utilizados para un propósito diferente para el cual se habían recogido, pero la preocupación ha crecido a partir del tratamiento automatizado de esta información personal .
La irrupción de la informática obligó a un replanteo del derecho a la intimidad, por la estructuración de grandes bancos de datos de carácter personal, y la posibilidad del entrecruzamiento de la información contenida en los mismos. La toma de conciencia sobre esta circunstancia nos llevó a sostener, hace un tiempo, que el derecho a la intimidad no podía seguir considerándose simplemente la ausencia de información acerca de nosotros en la mente de los demás (el "déjenme solo"), sino que debía adquirir el carácter de un control sobre la información que nos concerniera, o sea la facultad del sujeto de controlar la información personal que sobre él figurara en los bancos de datos, denominada autodeterminación informativa , concepto también receptado por importante jurisprudencia nacional. Algunos autores han hablado del “derecho personal a los datos personales” .
Los datos registrados pueden pertenecer a una persona o a una cosa, o a la relación de ambas. Los registros de datos pueden clasificarse de diversas maneras, pero a los efectos de este trabajo, nos preocupa especialmente poner énfasis en los datos personales contenidos y procesados en bancos de datos . Por tal, entendemos a todo conjunto estructurado de datos (en este caso, personales), centralizados o repartidos en diversos emplazamientos y accesibles con arreglo a criterios determinados, que tengan por objeto o efecto facilitar la utilización o el cotejo de datos relativos a los interesados.
En rigor se denominan datos personales aquellos que permiten identificar a la persona a que pertenecen, en cambio no se consideran tales los que se refieren a personas indeterminadas . Especial tratamiento merecen los llamados datos “sensibles” , donde además de la tutela del derecho a la intimidad, o vida privada, la preocupación es la posibilidad de discriminación.
Con la difusión del fenómeno informático, empieza a hablarse de “protección de datos personales”
Se ha dicho que la noción de protección de datos puede conducir a falsas apariencias respecto de su contenido, ya que no va destinada a proteger a los datos per se, sino a una parte del derecho a la intimidad personal, es decir, la que se refiere a la información individual. Hondius ha definido la protección de datos como "aquella parte de la legislación que protege el derecho fundamental de libertad, en particular del derecho individual a la intimidad, respecto del procesamiento manual o automático de datos" .
Sin embargo, un mayor análisis de la cuestión nos ha mostrado las limitaciones de este enfoque, y nos parece evidente que la categoría de "protección de datos" ha surgido para aplicarse a nuevas realidades jurídicas, que sólo parcialmente, pueden ser descriptas o fundamentadas a través de la noción tradicional de "intimidad", y que incluso el encuadre como “derecho personalísimo” genera restricciones. El derecho a la "protección de datos" pertenece al contexto de la era informática, y cada día es más dudoso afirmar que esta compleja disciplina legal estuviera ya implícita en las referencias generales al derecho a la intimidad inserta en cuerpos normativos de ámbito nacional o internacional de la era preinformática .
La fundamentación jurídica del derecho a la protección de datos personales, sin duda puede y debe relacionarse con el tradicional derecho a la intimidad, pero lo excede ya que también alcanza a datos públicos, incide en otros derechos personalísimos como el honor, la imagen o la identidad, y lo que es más decisivo para nuestra hipótesis, es que no solo se vincula con personas físicas, sino también con personas jurídicas.
Por ello el control de la información personal está relacionado con el concepto de autonomía individual para decidir, hasta cierto límite, cuándo y qué información referida a una persona, puede ser objeto de procesamiento (automatizado o no), por lo que también se ha denominado a la protección del dato personal, autodeterminación informativa, e incluso libertad informática.
Por otro lado, la protección de los datos personales no se plantea exclusivamente a consecuencia de problemas individuales, sino que también expresa conflictos que incluyen a todos los individuos de la comunidad internacional, problema que es analizado bajo la óptica del flujo internacional de datos. Es preciso advertir que el tratamiento automatizado de datos personales se ha convertido en un arma estratégica de manipulación de conductas individuales, y la aplicación de avanzados métodos telemáticos a la información de carácter personal ha dejado de ser la excepción para convertirse en una rutina diaria .
El foro internacional se ha hecho eco de tal evolución señalando que la protección de los datos de carácter personal no es un problema que exista sólo dentro de las fronteras nacionales, sino que también repercute en las relaciones internacionales .
Panorama del derecho comparado
Repasaremos los antecedentes del derecho comparado, especialmente en el ámbito europeo, por cuanto nuestra LPDP tiene como fuente directa la legislación española, que a su vez es consecuencia de las Directivas de la Comunidad Europea sobre el tratamiento de los datos de carácter personal.
Como sabemos, la ley 25.326 no solo reglamenta el llamado “habeas data”, reconocido por la Constitución Nacional reformada en 1994 (art. 43 párr. 3°), sino que recepta en nuestro derecho positivo los principios reguladores del tratamiento de datos de carácter personal, consagrados en el derecho continental europeo y hoy extendidos a gran parte de la legislación internacional.
De tal manera pretendemos se tenga una más cabal comprensión de los principios que regulan –casi universalmente- este complejo universo normativo y al que nos hemos referido ya en varias ocasiones.
En primer término debe señalarse que en 1989, la Asamblea General de Naciones Unidas aprobó un Resolución sobre la necesidad de proteger los datos personales, con unas orientaciones que llamó “Principios relativos a las garantías mínimas que deberían preverse en la legislación nacional”, donde aparecen como tales los de licitud y lealtad ; exactitud ; finalidad ; acceso de la persona interesada ; no discriminación (los hoy conocidos como datos sensibles, pero sin incluir a la salud) , entre otros.
En el ámbito europeo la "Convención para la protección de los individuos con relación al procesamiento automá¬tico de da¬tos personales" ha sido el antecedente más importante en esta materia. Allí se volcaron de manera sistemática los llamados “principios básicos para la protección de datos”, especialmente el de “calidad de los datos” .
Al compás de este movimiento se sancionaron una serie de leyes de protección de datos. En el ámbito europep, la más antigua es una norma local, del Land de Hesse de la ex-República Federal de Alemania (7-10-70), y la ley sue¬ca sancionada el 11-5-1973 . Luego vinieron la ley federal alemana de 1977 (Federal Data Protection Law) ; la ley francesa sobre "Informática, ficheros y libertades" (6-1-78) ;la ley federal de Austria sobre Protección de Datos Informáticos de índole personal (18-10-78); las leyes de Dinamarca, “Public Authorities Register Act” (1991) para el sector público y “Private Registers Act" (1987) para el sector privado; la legislación de Noruega (1978); Finlandia (ley 471/87) hasta las más recientes de Portugal (ley 10/91 del 9-4-91); Hungría (1992); Bélgica (8-12-92); España Ley N° 5/92 denominada "Ley Orgánica de Regulación del Tratamiento de Datos" (LORTAD) , luego modificada por la “Ley de Protección de Datos Personales” 15/1999 , Italia (1996) , Grecia (1997) , Gran Bretaña, Data Protection Act (1998) , entre otras.
Otro hito importante en esta materia lo constituye la Directiva 95/46 del Parlamento Europeo y del Consejo, relativa a la “Protección de las personas físicas en lo que respecta al Tratamiento de Datos personales y a la libre circulación de estos datos” , sobre la que volveremos en este comentario. Esta preocupación por el impacto de la informática en los derechos personales y ciertas libertades públicas tuvo también recepción constitucional en Portugal y España y más recientemente, en Albania (1991), Bielorrusia (1994) Bosnia-Herzegovina (1992), Bulgaria (1991) Cabo Verde (1992), Croacia (1990), Eslovaquia (1991) Eslovenia (1991), Estonia (1992), Holanda (1983) República Checa (1992), Rusia (1993), entre otras.
En América, además de la reforma argentina de 1994, se encuentra en las constituciones de Brasil , Perú , Colombia y Paraguay y Antigua (1981). Chile aprobó la Ley N° 19.628 sobre Protección a la Vida Privada, o de Protección de datos personales el 18-11-1999. Paraguay cuenta con una norma similar.
También podemos citar los casos de Azerbaiján (1995), Fiji (1990), Botswana (1966), Gabón (1991),Sudáfrica (1996), etc .
Las características del derecho anglosajón han determinado que no exista en los EE.UU. una ley de carácter gene¬ral que regule la protección de datos personales, pero sí normas específicas para determinados secto¬res y cues¬tiones . En 1970 se aprobó el Fair Reporting Act cuyo objeto es protección al clien¬te de los establecimientos de crédito contra la violación de su privacidad por parte de las agencias de información. En 1974 se sanciona la "Privacy Act", que otorga a todo ciudadano protección de su vida privada y se aplica a las informaciones de tal carácter refe¬ridas a personas físicas y contenidas en registros del gobier¬no federal . Se exige el consentimiento expreso del intere¬sado para poder proceder a la difusión de los datos personales registra¬dos .
Derecho nacional
Aún antes de la reforma constitucional de 1994, varias constituciones provinciales argentinas habían incorporado normas orientadas a la protección de los datos personales. Algunas, con buen cri¬terio, incorporan expresamen¬te el denominado derecho de acceso, refirién¬dose otras específica¬men¬te al impacto de la informática en la materia, como las de Jujuy, La Rioja, San Juan Córdoba , San Luis, Río Negro , Tie¬rra del Fuego , Buenos Aires , Chubut , Chaco , la Ciudad Autónoma de Buenos Aires y Salta
Existen leyes regulatorias del procedimiento de Habeas Data en las provincias de Río Negro , Chubut , Chaco , Neuquén , entre otras.
Principios rectores de protección de datos personales
Como hemos señalado, el ya mencionado Convenio 108 de Estrasburgo estableció un conjunto de principios básicos para la protección de los datos de carácter personal, bajo el rótulo de "calidad de los datos". Estos principios, son mantenidos y actualizados en la más reciente normativa europea, que es la ya citada Directiva 95/46 del Parlamento Europeo y del Consejo, relativa a la “Protección de las personas físicas en lo que respecta al Tratamiento de Datos personales y a la libre circulación de estos datos” .
En virtud de esta normativa, los estados europeos deben prever que los datos personales sean "tratados de manera leal y lícita"; y que sean "recogidos con fines determinados, explícitos y legítimos, y no sean tratados posteriormente de manera incompatible con dichos fines", aclarando que "no se considerará incompatible el tratamiento posterior de datos con fines históricos, estadísticos o científicos, siempre y cuando los Estados miembros establezcan las garantías oportunas".
Este principio ha sido receptado en la ley 25.326 con la siguiente redacción: “La recolección de datos no puede hacerse por medios desleales, fraudulentos o en forma contraria a las disposiciones de la presente ley” (art. 4º inciso 2)
También se establece que los datos deben ser "adecuados, pertinentes y no excesivos con relación a los fines para los que se recaben y para los que se traten posteriormente". Deben ser "exactos y, cuando sea necesario, actualizados, debiendo tomarse todas las medidas razonables para que los datos inexactos o incompletos, con respecto a los fines para los que fueron recogidos o para los que fueron tratados posteriormente, sean suprimidos o rectificados".
La ley 25.326 ha reproducido este concepto del siguiente modo: “Los datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido” (art. 4º inciso 1) y “Los datos deben ser exactos y actualizarse en el caso de que ello fuere necesario” (art. 4º inciso 4).
Los datos deben ser conservados en una forma que permita la identificación de los interesados durante un período no superior al necesario para los fines para los que fueron recogidos o para los que se traten ulteriormente, aunque se admite que "los Estados miembros establezcan las garantías apropiadas para los datos personales archivados por un período más largo del mencionado, con fines históricos, estadísticos o científicos".
La ley argentina ha previsto que “Los datos deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen sido recolectados” (art. 4º inciso 7).
Es importante destacar que los responsables del tratamiento, es decir la persona física o jurídica que gestiona u opera el procesamiento de la información, son quienes están encargados de garantizar el cumplimiento de estos principios de calidad. La LPDP establece que: “Los datos total o parcialmente inexactos, o que sean incompletos, deben ser suprimidos y sustituidos, o en su caso completados, por el responsable del archivo o base de datos cuando se tenga conocimiento de la inexactitud o carácter incompleto de la información de que se trate, sin perjuicio de los derechos del titular establecidos en el artículo 16 de la presente ley” (art. 4º inciso 5)
El principio de la participación individual consagra el de¬recho de acceso a los datos, que debe ser proporcionado "libremente, sin restricciones y con una periodicidad razonable y sin retrasos ni gastos excesivos", implicando "la confirmación de la existencia o inexistencia del tratamiento de datos que le conciernen, que se informe por lo menos de los fines de dichos tratamientos, las categorías de datos a que se refieran y los destinatarios o las categorías de destinatarios a quienes se comuniquen dichos datos" y "la comunicación, en forma inteligible, de los datos objeto de los tratamientos, y de toda la información disponible sobre el origen de los datos", así como "el conocimiento de la lógica utilizada en los tratamientos automatizados de los datos referidos al interesado, al menos en los casos de las decisiones automatizadas". En nuestra ley se ha incorporado este principio en los artículos 13, 14 y 15.
Este principio también se refiere al derecho que tienen las personas a "no verse sometidas a una decisión con efectos jurídicos sobre ellas o que les afecte de manera significativa, que se base únicamente en un tratamiento automatizado de datos destinado a evaluar determinados aspectos de su personalidad, como su rendimiento laboral, crédito, fiabilidad, conducta, etc." En la ley 25.326 este criterio se encuentra restringido al ámbito estatal, en el artículo 20 que establece: “1. Las decisiones judiciales o los actos administrativos que impliquen apreciación o valoración de conductas humanas, no podrán tener como único fundamento el resultado del tratamiento informatizado de datos personales que suministren una definición del perfil o personalidad del
Interesado; 2. Los actos que resulten contrarios a la disposición precedente serán insanablemente nulos”. Hemos señalado reiteradamente que sería muy conveniente que este estándar se extendiera al ámbito de las relaciones entre particulares, sobre todo en materia de informes de solvencia crediticia, y ahora agregamos a los datos de salud.
En segundo término, este derecho comprende la facultad de exigir la "rectificación, supresión o el bloqueo de los datos cuyo tratamiento no se ajuste a las disposiciones de la presente Directiva, en particular a causa del carácter incompleto o inexacto de los datos", lo que se contempla en el artículo 16 de la Ley 25.326
También significa la "notificación a los terceros a quienes se hayan comunicado los datos de toda rectificación, supresión o bloqueo efectuado si no resulta imposible o supone un esfuerzo desproporcionado obtener información de la entidad responsable de los datos acerca de la exis¬tencia de datos que le conciernan"; "ser informado dentro de un tiempo razonable y de manera comprensible"; "oponerse a cualquier dato que le concierna y a que esa oposición quede regis¬trada"; "obtener que los datos relativos a su persona, en caso de prosperar su oposi¬ción, sean suprimidos, rectificados o completa¬dos"; "ser informado de las razones por las cuales se deniega su derecho de acceso o éste no se le concede en lugar, tiempo y forma razonables; oponerse a toda negativa a darle las razones mencionadas precedentemente".
Hemos destacado permanentemente que para que estos principios sean efectivamente aplicados se requiere una interpretación judicial dinámica e integradora, que tenga presente la concepción de la protección integral de la autodeterminación informativa.
El Hábeas Data
Hemos sostenido también en reiteradas ocasiones que, en nuestra opinión, no ha sido feliz la asimilación que hace el art.43 de la acción de habeas data a la ac¬ción de amparo, en atención a las características particulares que a nuestro entender reviste el hábeas data.
Tanto los antecedentes del derecho comparado, extranjero y público provincial, revelan que se puede reconocer este nuevo derecho, aun cuando se lo haga al amparo de la tutela a la intimidad, o el honor, prohibiendo que la información personal se emplee con fines dis¬criminatorios, e inclu¬so consagrando el derecho de acceso, rectificación y actua¬lización, pero dejan¬do abierto el camino a la estructuración de las vías procesales per¬tinentes por vía legislativa.
El segundo párrafo del artículo 43 establece en qué casos procede la acción de amparo, y quienes están legitimados. Aunque se habilita "contra cualquier forma de discriminación y en lo re¬lativo a los derechos que protegen al ambiente, a la competen¬cia, al usuario y al consumidor", la siguiente referencia a "los dere¬chos de incidencia colectiva en general", amplía notablemente el ámbito de aplicación, que el artículo en primer término extien¬de ya no sólo a los derechos y garantías explícitamen¬te reconoci¬dos en la Constitución, sino también a los derivados de tratados y la ley.
Similar novedad, se encuentra en materia de legitimación ac¬tiva, ya que se le otorga al "afectado", el defensor del pueblo y las asociaciones que propendan a esos fines. De tal modo, se ha sostenido que han quedado comprendidos en esta tutela quie¬nes invoquen no sólo un derecho subjetivo, sino también los llamados "intereses difu¬sos" y aún un "interés sim¬ple". Nosotros ya habíamos afirmado que el texto constitucional la otorga a "toda perso¬na", por lo que dada la definición del Código Civil de que "persona es todo sujeto susceptible de adquirir dere¬chos y contraer obligaciones", deben entenderse que comprende tan¬to a las personas físicas como las personas jurídicas, con el al¬cance del artículo 33 del Código Civil.
Sin ninguna duda que el pronunciamiento de la Corte Suprema de Justicia in re "Urteaga" ha ampliado notablemente el significado del texto constitucional al declarar que "Debe admitirse la legitimación invocada por quien reviste la calidad de hermano de quien se supone fallecido, toda vez que la habilitación para accionar de un familiar directo con sustento en el derecho a que se proporciones información, configura una de las alternativas de reglamentación posibles de la acción de hábeas data" .
El texto constitucional, a nuestro juicio, ha confundido la forma con el fondo. Debió haber consagrado el plexo de derechos referidos a proteger los datos personales, y habilitar una vía procesal, por supuesto también expedita y rápida. Al consagrar el "Hábeas data", asimilándolo a la acción de amparo, se corre el serio riesgo de desvirtuar la finalidad del instituto. Mientras el amparo como remedio o vía procesal de natu¬raleza excepcional, requiere que exista "ilegalidad o arbitra¬riedad manifiesta", el "hábeas data" en cambio tiene una finalidad muy específica, que es otorgar a toda persona un medio procesal eficaz para proteger su intimidad, evitar que terceras personas hagan un uso indebido de información de carácter personal que le concierne, pero fundamentalmente, para poder conocer y controlar la información de carácter personal, es decir ejercer el derecho de autodeterminación informativa.
El amparo tutela los derechos y garantías en general, exclui¬da la libertad física, mientras que el "hábeas data" permite hacer efectivo un conjunto de derechos referi¬dos a datos personales contenidos en registros operados o en poder de terceros. Estos dere¬chos, son básicamente el derecho de acceso, el de rectifica¬ción, actualiza¬ción y cancelación, sin perjuicio del catálogo más amplio que hemos reseñado en materia de derecho comparado.
Para su aplicación, la norma constitucional debió habilitar a toda persona a "tomar conocimiento de los datos a ella referidos y de su finalidad", y como consecuencia de este derecho establecer la vía procesal para hacerlo efectivo. Esta inter¬pretación es la correcta, ya que resultaría contra¬dictorio que debiera acreditarse la existencia de "ilegalidad o arbitrariedad manifiesta" por parte del titular de los datos para que se pueda ejercer los derechos de acceso a los datos de carácter personal.
La segunda precisión está referida al tipo de registros o bancos de datos que comprende la norma: pueden ser "públicos", o "privados destinados a proveer infor¬mes". En tal sentido, por registros o bancos de datos públicos debemos entender los existentes en los organismos del Estado, de cualquier naturaleza, ya que la ley no establece excepcio¬nes. , pese a alguna jurisprudencia que pretendió lo contrario.
Esto incluye no sólo a las reparticiones de la Administración Pública nacional cen¬tralizada, sino también a los entes descentra¬lizados, autárquicos, empresas públicas y sociedades estatales, así como dependencias provinciales y municipales. Es evidente que el primer escollo que se presentará en esta materia estará referi¬do a los límites del derecho de acceso, que en el actual texto sólo se ha establecido en beneficio del secreto de las fuentes de información periodística.
Nos interesa destacar especialmente que la expresión "re¬gis¬tros o bancos de datos públicos" no debe ser interpretada en el sentido de registros públicos, por oposición a registros reser¬va¬dos o secretos, ya que la norma se refiere a los responsables u ope¬radores de los registros o bancos de datos. La redacción del texto abona esta interpretación ya que armoniza con la referencia a "los privados destinados a proveer informes".
Esto nos lleva a disentir nuevamente con la ubicación asigna¬da al instituto, ya que es muy factible que siguiendo una invete¬rada tradición de ocultismo, la administración pública esterilice este derecho de acceso y resista el "hábeas data" invocando la nece¬sidad de un actuar "manifiestamente" ilegal o arbitrario, que derivará a la apreciación discrecional del magistrado materias tan subjetivas como la "seguridad nacional", la "salud pública", etc. Nuestra opinión, en este sentido, es que el derecho de ac¬ceso no puede ser retaceado bajo ningún concepto, ya que la norma constitucional no hace excepciones.
También han sido incorporados como sujetos pasivos de esta acción, los registros o bancos de datos privados "destinados a proveer informes". La primera reflexión es que si sólo los priva¬dos "destinados a proveer informes" están comprendidos en la pre¬visión constitucional, y en el caso de los públicos no hay acla¬raciones, deben considerarse incluidos a todos los registros o bancos de datos pertenecientes u opera¬dos por organismos públi¬cos.
Afortunadamente la Corte Suprema de Justicia, al resolver el caso “Ganora y otra” sentó la buena doctrina. En dicho pronunciamiento se dijo: “afirmar que, mediante la acción de habeas data, sólo es posible acceder a la información "pública" o "al alcance de los particulares", importa desnaturalizar la vigorosa garantía incorporada en la Constitución Nacional” , ya que “no cabe asignar a una cláusula constitucional un alcance tal que signifique privarla de valor y efecto” . Y más específicamente, “en la medida en que en el texto constitucional se instituye con el habeas data un instrumento que permite ejercer un control activo sobre los datos registrados sobre una persona, no puede existir ninguna duda en cuanto a que también han de estar alcanzados por dicho control aquellos datos que no están destinados a ser publicitados” , ya que “excluir de la protección reconocida por el art. 43, párrafo tercero, de la Constitución Nacional, a aquellos datos que organismos estatales mantienen fuera del acceso de los particulares, comporta la absurda consecuencia de ofrecer una acción judicial sólo en los casos en los que no es necesaria y vedarla en aquellos en los que el particular no puede sino recurrir, ineludiblemente, a la tutela judicial para ejercer su derecho” .
Los registros o bancos de datos privados destinados a proveer informes parecen ser, básicamente, las empresas o personas indivi¬duales dedicadas a recolectar infor¬mación personal para suminis¬trarla a sus clientes. Es el caso de las empresas de informes comerciales o financieros, que proveen a bancos, financieras, co¬mercios y a quienes conceden crédito en general, información sobre situación patrimonial, recla¬mos pecuniarios judiciales o extraju¬diciales, etc. Es in¬du¬dable que también se incluyen en esta categoría otras entida¬des, tales como los colegios profesionales, establecimientos educati¬vos, clubes deportivos, por supuesto teniendo en cuenta que quien está legiti¬mado para acceder a los datos es el sujeto concernido .
El derecho de acceso es concedido como un presupuesto de los derechos de rectificación, actualización, cancelación y confiden¬cialidad. Sin embargo, así como sostenemos que para el primero no existe limitación alguna, en el caso de estos últi¬mos, su ejerci¬cio sólo procedería cuando exista "falsedad" o "discriminación".
Nuevamente discrepamos con el criterio del constituyente, ya que como hemos señalado, la recolección de información de carácter personal debe estar sujeta a cier¬tos principios tales como la jus¬tificación social, información y limitación, que no funcio¬nan ne¬cesariamente con relación a la falsedad o inexactitud. Este aspecto es contem¬plado por el principio de calidad o fidelidad de la in¬formación.
Aún cuando una información o dato personal sea exacta o co¬rrecta, si ha sido recolectada con una finalidad y luego se emplea con otro fin, o directamente es reco¬lectada con una finali¬dad ilí¬cita, o socialmente reprochable, debe ser suprimida porque afecta la esfera de reserva del individuo, sin perjuicio de su potencia¬lidad discriminato¬ria o dañosa.
De igual manera, toda la información de carácter personal que se recolecte debe ser puesta en conocimiento del sujeto concerni¬do, y debe ser el resultado del empleo de medios lícitos, ya sea mediante el consentimiento del sujeto o por autorización legal. Aún si la información así obtenida fuera correcta, por las mismas razones que se descarta la confesión obtenida bajo tortura debe eliminarse la información obtenida por medios ilícitos.
Finalmente, debemos señalar que la Constitución argentina veda el ejercicio de estos derechos con relación al "secreto de las fuentes periodísticas", disposición que a nuestro juicio no inhibe el ejercicio del derecho de acceso con relación a información de carácter personal contenida en bases de datos o registros "desti¬nados a proveer infor¬mes". Lo que se protege es el secreto de la "fuente", es decir del origen o proveedor de la información , pero no puede impedirse que "toda persona" conozca qué datos perso¬nales suyos están registra¬dos en un banco o archivo, si estos datos luego están desti¬nados a hacerse públicos. Este derecho de acceso tiene por finalidad, pre¬cisamente, la rectificación, actualización, supresión o confi¬den¬cialidad, cuando exista inexactitud o discriminación .
Datos de salud
Teniendo en cuenta estos principios, receptados por las más modernas legislaciones, así como la profusa elaboración doctrinaria, antes de la sanción de la ley 25.326 habíamos sostenido que constituían violaciones a la autodeterminación informativa (protección de datos personales) la utilización o empleo de la información personal, especialmente la inserta en los registros automatizados de un Banco de Datos, con una finalidad diferente a la declarada o propuesta al ser ingresados los datos al registro, lo que abarca desde la entrega de “mailings” para técnicas de "telemarketing", hasta actividades mucho más preocupantes, como el entrecruzamiento de información personal entre distintas oficinas estatales, o la apropiación de registros de entidades privadas por parte del Estado. En la misma línea debemos incluir la difusión de estos datos con un fin distinto al propuesto, sin el expreso consentimiento del titular de los datos personales o sus sucesores.
La normativa internacional que hemos reseñado, y la propia Ley 25.326 establecen el carácter “sensible”, es decir merecedor de un tratamiento particular o especial, de los datos de salud de las personas.
En esta dirección hemos propuesto que debía establecerse que los datos personales referidos a enfermedades deben ser registrados con severas restricciones de acceso por parte de terceros.
En particular aquellas enfermedades que como el SIDA, o la convivencia con VIH tienen grave potencialidad discriminatoria, sólo deben registrase con métodos de codificación o encriptamiento, que restrinjan el máximo posible su acceso por personas que no sean el concernido y quienes este autorice expresamente por escrito.
Lamentablemente, aún cuando en el caso del VIH-SIDA esto esté expresamente contemplado por la Ley 23.798 y su decreto reglamentario, es notorio su incumplimiento en numerosísimos ámbitos y la Ley 25.326 no ha contribuido a mejorar este panorama.
El artículo 8º LPDP, bajo el rótulo de datos de salud, dispone que “Los establecimientos sanitarios públicos o privados y los profesionales vinculados a las ciencias de la salud pueden recolectar y tratar los datos personales relativos a la salud física o mental de los pacientes que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquéllos, respetando los principios del secreto profesional.”
La norma debió ser más precisa, teniendo en cuenta los antecedentes del Derecho comparado e incluso la legislación específica referida a ciertos datos de salud, como la ya citada Ley 23.798.
La Directiva Europea 45/96 establece como principio general que “los datos que por su naturaleza puedan atentar contra las libertades fundamentales o la intimidad no deben ser objeto de tratamiento alguno, salvo en caso de que el interesado haya dado su consentimiento explícito” y agrega que “deberán constar de forma explícita las excepciones a esta prohibición para necesidades específicas, en particular cuando el tratamiento de dichos datos se realice con fines relacionados con la salud”, por parte de personas físicas sometidas a una obligación legal de secreto profesional, o para actividades legítimas por parte de ciertas asociaciones o fundaciones cuyo objetivo sea hacer posible el ejercicio de libertades fundamentales ;
Sin embargo, se admite que cuando lo justifiquen “razones de interés público importante”, los Estados partes pueden hacer excepciones a la prohibición de tratar categorías sensibles de datos en sectores como la salud pública y la protección social, particularmente en lo relativo a la garantía de la calidad y la rentabilidad, así como los procedimientos utilizados para resolver las reclamaciones de prestaciones y de servicios en el régimen del seguro de enfermedad, la investigación científica y las estadísticas públicas. Pero para ello es necesario prever las garantías apropiadas y específicas a los fines de proteger los derechos fundamentales y la vida privada de las personas .
El artículo 8° de la Directiva 45/96, referida al “tratamiento de categorías especiales de datos”, expresamente indica a los Estados miembros que prohíban el tratamiento de datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, así como el tratamiento de los datos relativos a la salud o a la sexualidad”. Es decir los universalmente conocidos como “datos sensibles”. Similar disposición ha reproducido el artículo 7 de la Ley 25.326
Sin embargo, esta prohibición, en el ámbito de la Directiva, no se aplica cuando:
a) el interesado haya dado su consentimiento explícito a dicho tratamiento, salvo en los casos en los que la legislación del Estado miembro disponga que la prohibición establecida en el apartado 1 no pueda levantarse con el consentimiento del interesado, o
b) el tratamiento sea necesario para respetar las obligaciones y derechos específicos del responsable del tratamiento en materia de Derecho laboral en la medida en que esté autorizado por la legislación y ésta prevea garantías adecuadas, o
c) el tratamiento sea necesario para salvaguardar el interés vital del interesado o de otra persona, en el supuesto de que el interesado esté física o jurídicamente incapacitado para dar su consentimiento, o
d) el tratamiento sea efectuado en el curso de sus actividades legítimas y con las debidas garantías por una fundación, una asociación o cualquier otro organismo sin fin de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refiera exclusivamente a sus miembros o a las personas que mantengan contactos regulares con la fundación, la asociación o el organismo por razón de su finalidad y con tal de que los datos no se comuniquen a terceros sin el consentimiento de los interesados, o
e) el tratamiento se refiera a datos que el interesado haya hecho manifiestamente públicos o sea necesario para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial.
Una excepción importante en la prohibición del tratamiento de datos de salud se presenta cuando el tratamiento de datos resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos sea realizado por un profesional sanitario sujeto al secreto profesional, sea en virtud de la legislación nacional, o de las normas establecidas por las autoridades nacionales competentes, o por otra persona sujeta asimismo a una obligación equivalente de secreto.
También se admite en la Directiva que, siempre que dispongan las garantías adecuadas, los Estados miembros podrán, por motivos de interés público importantes, establecer otras excepciones, además de las previstas en el apartado 2, bien mediante su legislación nacional, bien por decisión de la autoridad de control.
Resumiendo, podemos señalar que la Directiva europea sobre protección de datos personales, si bien prohíbe el tratamiento de los datos de salud, sin el consentimiento del titular, admite varias excepciones.
Estas excepciones funcionan cuando hay consentimiento explícito del interesado; obligaciones derivadas del derecho laboral (como sería en nuestro medio la Ley de ART); para salvaguardar el interés vital del interesado o de otra persona, en el supuesto que quien deba dar el consentimiento se encuentre incapacitado para ello; cuando se trate de los datos de los miembros de una fundación o congregación religiosa, y con las debidas garantías para los titulares o datos hechos públicos por el interesado y necesarios para la defensa de un derecho en juicio.
La Ley 15 de1999 española, antecedente directo de nuestra Ley 25.326, regula la situación en forma similar, pero con algunos matices que nos interesa destacar.
El artículo 7 de la Ley 15/99, sobre datos especialmente protegidos, establece que “de acuerdo con lo establecido en el apartado 2 del artículo 16 de la Constitución, nadie podrá ser obligado a declarar sobre su ideología, religión o creencias. Cuando en relación con estos datos se proceda a recabar el consentimiento a que se refiere el apartado siguiente, se advertirá al interesado acerca de su derecho a no prestarlo”. Y agrega que “sólo con el consentimiento expreso y por escrito del afectado podrán ser objeto de tratamiento los datos de carácter personal que revelen la ideología, afiliación sindical, religión y creencias. Se exceptúan los ficheros mantenidos por los partidos políticos, sindicatos, iglesias, confesiones o comunidades religiosas y asociaciones, fundaciones y otras entidades sin ánimo de lucro, cuya finalidad sea política, filosófica, religiosa o sindical, en cuanto a los datos relativos a sus asociados o miembros, sin perjuicio de que la cesión de dichos datos precisará siempre el previo consentimiento del afectado.
Es decir que dentro del género “datos sensibles” existe una categoría cuyo tratamiento es de resorte indelegable del titular de los datos.
En cuanto a “los datos de carácter personal que hagan referencia al origen racial, a la salud y a la vida sexual sólo podrán ser recabados, tratados y cedidos cuando, por razones de interés general, así lo disponga una ley o el afectado consienta expresamente”. En esta segunda especie o categoría, de tratamiento un poco más flexible se encuentran los datos de salud.
Finalmente prohíbe expresamente la creación de ficheros con la finalidad exclusiva de almacenar datos de carácter personal que revelen la ideología, afiliación sindical, religión, creencias, origen racial o étnico, o vida sexual.
En cambio, de modo similar a la Directiva, la ley española permite que sean objeto de tratamiento los datos de salud, cuando dicho tratamiento resulte necesario para la prevención o para el diagnóstico médicos, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos se realice por un profesional sanitario sujeto al secreto profesional o por otra persona sujeta asimismo a una obligación equivalente de secreto.
También podrán ser objeto de tratamiento los datos a que se refiere el párrafo anterior cuando el tratamiento sea necesario para salvaguardar el interés vital del afectado o de otra persona, en el supuesto de que el afectado esté física o jurídicamente incapacitado para dar su consentimiento.
A su vez, el artículo 8, sobre Datos relativos a la salud de la Ley española, establece que “sin perjuicio de lo que se dispone en el artículo 11 respecto de la cesión, las instituciones y los centros sanitarios públicos y privados y los profesionales correspondientes podrán proceder al tratamiento de los datos de carácter personal relativos a la salud de las personas que a ellos acudan o hayan de ser tratados en los mismos, de acuerdo con lo dispuesto en la legislación estatal o autonómica sobre sanidad.”
Esta es la gran diferencia que advertimos con nuestra legislación nacional, ya que en España existe una minuciosa regulación sobre el tratamiento de los datos de salud.
Así por ejemplo, la Ley N° 14/1986 “Ley General de Sanidad” de España, establece en su artículo 8°, que se considera como actividad fundamental del sistema sanitario la realización de estudios epidemiológicos necesarios para evitar con mayor eficacia la prevención de los riesgos para la salud, así como la planificación y evaluación sanitaria, debiendo tener como base un sistema organizado de información sanitaria, vigilancia y acción epidemiológica (el resaltado es nuestro).
Pero en el artículo 10° declara que todos (los seres humanos) tienen los siguientes derechos con respecto a las distintas administraciones públicas sanitarias:
1. Al respeto a su personalidad, dignidad humana e intimidad, sin que pueda ser discriminado por razones de raza, de tipo social, de sexo, moral, económico, ideológico, político o sindical.
2. A la información sobre los servicios sanitarios a que puede acceder y sobre los requisitos necesarios para su uso.
3. A la confidencialidad de toda información relacionada con su proceso y con su estancia en instituciones sanitarias públicas y privadas que colaboren con el sistema público.
4. A ser advertido de si los procedimientos de pronóstico, diagnóstico y terapéuticos que se aplique pueden ser utilizados en función de un proyecto docente o de investigación, que en ningún caso podrá comportar peligro adicional para su salud. En todo caso será imprescindible la previa autorización y por escrito del paciente y la aceptación por parte del médico y de la Dirección del correspondiente Centro sanitario.
5. A que se le dé en términos comprensibles a él y a sus familiares o allegados información completa y continuada, verbal y escrita, sobre su proceso, incluyendo diagnóstico, pronóstico y alternativas de tratamiento.
6. A la libre elección entre las opciones que le presente el responsable médico de su caso, siendo preciso el previo consentimiento escrito del usuario para la realización de cualquier intervención, excepto en los siguientes casos:
a) Cuando la no intervención suponga un riesgo para la salud pública;
b) Cuando no esté capacitado para tomar decisiones, en cuyo caso el derecho corresponderá a sus familiares o personas a él allegadas;
c) Cuando la urgencia no permita demoras por poderse ocasionar lesiones irreversibles o existir peligro de fallecimiento.
7. A que se le asigne un médico, cuyo nombre se le dará a conocer, que será su interlocutor principal con el equipo asistencial. En caso de ausencia, otro facultativo del equipo asumirá tal responsabilidad.
8. A que se le extienda certificado acreditativo de su estado de salud, cuando su exigencia se establezca por una disposición legal o reglamentaria.
9. A negarse al tratamiento, excepto en los casos señalados en el apartado 6; debiendo, para ello, solicitar el alta voluntaria, en los términos que señala el apartado 4 del artículo siguiente.
10. A participar, a través de las instituciones comunitarias, en las actividades sanitarias, en los términos establecidos en esta Ley y en las disposiciones que la desarrollen.
11. A que quede constancia por escrito de todo su proceso. Al finalizar la estancia del usuario en una Institución hospitalaria, el paciente, familiar o persona a él allegada recibirá su Informe de Alta.
12. A utilizar las vías de reclamación y de propuesta de sugerencias en los plazos previstos. En uno u otro caso deberá recibir respuesta por escrito en los plazos que reglamentariamente se establezcan.
13. A elegir el médico y los demás sanitarios titulados de acuerdo con las condiciones contempladas en esta Ley, en las disposiciones que se dicten para su desarrollo y en las que regulen el trabajo sanitario en los Centros de Salud.
14. A obtener los medicamentos y productos sanitarios que se consideren necesarios para promover, conservar o establecer su salud, en los términos que reglamentariamente se establezcan por la Administración del Estado.
15. Respetando el peculiar régimen económico de cada servicio sanitario, los derechos contemplados en los apartados 1, 3, 4, 5, 6, 7, 9 y 11 de este artículo serán ejercidos también con respecto a los servicios sanitarios privados."
Por su parte, el artículo 23 de la Ley General de Sanidad española dispone que “para la consecución de los objetivos que se desarrollan en el siguiente capítulo, las Administraciones Sanitarias, de acuerdo con sus competencias, crearán los Registros y elaborarán los análisis de información necesarios para el conocimiento de las distintas situaciones de las que puedan derivarse acciones de intervención de la autoridad sanitaria."
El artículo 61, por su parte, establece que “en cada Área de Salud debe procurarse “la máxima integración de la información relativa a cada paciente, por lo que el principio de historia clínico-sanitaria única por cada uno deberá mantenerse, al menos, dentro de los límites de cada institución asistencial. Estará a disposición de los enfermos y de los facultativos que directamente estén implicados en el diagnóstico y el tratamiento del enfermo, así como a efectos de inspección médica o para fines científicos, debiendo quedar plenamente garantizados el derecho del enfermo a su intimidad personal y familiar y el deber de guardar el secreto por quien, en virtud de sus competencias, tenga acceso a la historia clínica. Los poderes públicos adoptarán las medidas precisas para garantizar dichos derechos y deberes."
Para situaciones especiales la Ley Orgánica española 3/1986, de 14 de abril, autoriza una serie de medidas especiales, con el objeto de proteger la Salud Pública y prevenir su perdida o deterioro, cuando así lo exijan razones sanitarias de urgencia o necesidad.
En tal sentido las autoridades sanitarias competentes podrán adoptar medidas de reconocimiento, tratamiento, hospitalización o control cuando se aprecien indicios racionales que permitan suponer la existencia de peligro para la salud de la población debido a la situación sanitaria concreta de una persona o grupo de personas o por las condiciones sanitarias en que se desarrolle una actividad.
Otro caso se presenta con el fin de controlar las enfermedades transmisibles, a cuyos efectos la autoridad sanitaria, además de realizar las acciones preventivas generales, podrá adoptar las medidas oportunas para el control de los enfermos, de las personas que estén o hayan estado en contacto con los mismos y del medio ambiente inmediato, así como las que se consideren necesarias en caso de riesgo de carácter transmisible.
Cuando un medicamento o producto sanitario se vea afectado por excepcionales dificultades de abastecimiento y para garantizar su mejor distribución, la administración sanitaria del Estado, temporalmente, podrá: establecer el suministro centralizado por la Administración o condicionar su prescripción a la identificación de grupos de riesgo, realización de pruebas analíticas y diagnósticas, cumplimentación de protocolos, envío a la autoridad sanitaria de información sobre el curso de los tratamientos o a otras particularidades semejantes.
Como podemos apreciar, la remisión de la ley española de protección de datos a la legislación específica en materia de sanidad permite una regulación más precisa sobre información referida a la salud de las personas.
Los casos de VIH-SIDA
Si bien todos los datos personales referidos a enfermedades deben ser registrados con severas restricciones de acceso por parte de terceros, existen algunos supuestos que han sido motivo de una preocupación particular, como es el caso del SIDA, o la convivencia con VIH, por su grave potencialidad discriminatoria.
Prueba de ella es que la legislación argentina solo admite que se conserven en registros elaborados con métodos de codificación o encriptamiento, restringiendo el máximo posible su acceso por personas que no sean el concernido y quienes este autorice expresamente por escrito.
En una excelente investigación llevada a cabo por Sandra Wierzba , se afirma que se ha considerado que “en la historia de las epidemias no ha existido una que conllevara tamaña carga de estigmatización y exclusión como el VIH-SIDA, destacándose que luego de más de quince años de evolución, continúa atacando cada vez con mayor virulencia a los sectores más desprotegidos, llegando a considerarse como una enfermedad de la pobreza ”.
“Las prácticas discriminatorias se observan en las más variadas áreas de la vida de las personas afectadas y sin distinción de geografías. Parecen surgir de una combinación de factores que rodean al virus: su carácter contagioso; el hecho de que la infección en muchos casos se asocia a conductas culturalmente reprobadas como las que supone la vida sexual promiscua o el consumo de drogas por vía endovenosa; y la generación de una enfermedad de larga latencia, que se instala en forma silente, con evolución a cuadros de gran compromiso físico-psíquico hasta un desenlace que hasta hace poco tiempo, resultaba casi siempre fatal”.
“Ello sin duda justifica la existencia de una protección especial a la confidencialidad para aquellas personas que conviven con el virus, con el fin de evitar los efectos dañosos de las citadas prácticas discriminatorias y de exclusión, consagrada en legislación, que generalmente también es especial ”.
“Más cabe aclarar que el citado derecho a la protección de datos personales, puede ser objeto de renuncia por parte de los interesados. De hecho, pueden existir razones especiales por las que la persona o personas legitimadas prefieran la difusión de las identidades protegidas .”
Comisión de Derechos Humanos de la ONU
La Resolución de la Comisión de Derechos Humanos 1997/33, referida a la Protección de los derechos humanos de las personas infectadas con el virus de inmunodeficiencia humana (VIH) y con el síndrome de inmunodeficiencia, efectuó una serie de recomendaciones a los Estados miembros que reproducimos a continuación:
Primera directriz. Los Estados deberían establecer un marco nacional efectivo para hacer frente al VIH/SIDA que asegure una actuación coordinada, participatoria, transparente y responsable e integre las funciones de políticas y programas concernientes al VIH/SIDA en todas las ramas del gobierno.
Segunda directriz. Mediante el apoyo político y financiero, los Estados deberían velar por que se consulte a las comunidades en todas las fases de la formulación de las políticas y ejecución y evaluación de los programas relativos al VIH y al SIDA, y por que las organizaciones de la comunidad puedan realizar sus actividades con eficacia, sobre todo en materia de ética, legislación y derechos humanos.
Tercera directriz. Los Estados deberían reconsiderar y reformar la legislación de salud pública para asegurar que se preste suficiente atención a las cuestiones de salud pública planteadas por el VIH/SIDA, que las disposiciones sobre las enfermedades de transmisión fortuita no se apliquen indebidamente al VIH/SIDA y que estas disposiciones concuerden con las obligaciones internacionales en materia de derechos humanos.
Cuarta directriz. Los Estados deberían reconsiderar y reformar las leyes penales y los sistemas penitenciarios para que concuerden con las obligaciones internacionales en materia de derechos humanos y para que no se apliquen indebidamente a los casos de VIH/SIDA ni se utilicen contra los grupos vulnerables.
Quinta directriz. Los Estados deberían promulgar o mejorar las leyes que combaten la discriminación y otras leyes que protegen de la discriminación a los grupos vulnerables, las personas con el VIH/SIDA y los discapacitados tanto en el sector público como en el privado, velar por el respeto de la vida privada, la confidencialidad y la ética en la investigación en que participen seres humanos, insistir en la formación y la conciliación, y asegurar que existen recursos administrativos y civiles expeditos y eficaces.
Sexta directriz. Los Estados deberían promulgar una legislación que regule los bienes, servicios e información relacionados con el VIH, de modo que haya suficientes medidas y servicios preventivos de calidad, adecuada información para la prevención y atención de los casos de VIH y medicación inocua y eficaz a precios asequibles.
Séptima directriz. Los Estados deberían crear y apoyar servicios de asistencia jurídica que enseñen sus derechos a las personas con el VIH/SIDA, facilitar asistencia jurídica gratuita para el ejercicio de esos derechos, ampliar el conocimiento de las cuestiones jurídicas que plantea el VIH y utilizar, además de los tribunales, otros medios de protección como los ministerios de justicia, defensores del pueblo (ombusdman), oficinas de reclamaciones sanitarias y comisiones de derechos humanos.
Octava directriz. En colaboración con la comunidad y por conducto de ella, los Estados deberían fomentar un entorno protector y habilitante para las mujeres, los niños u otros grupos vulnerables, combatiendo los prejuicios y desigualdades causantes de esa vulnerabilidad mediante el diálogo con la comunidad, los servicios sociales y de salud especiales y el apoyo a los grupos de la comunidad.
Novena directriz. Los Estados deberían fomentar la difusión amplia y constante de programas creativos de educación, capacitación y comunicación diseñados explícitamente para convertir las actitudes de discriminación y estigmatización hacia el VIH/SIDA en actitudes de comprensión y aceptación.
Décima directriz. Los Estados deberían velar por que los sectores público y privado elaboren códigos de conducta para cuestiones de VIH/SIDA que incorporen los principios de derechos humanos a los códigos de deontología profesional, acompañándolos de procedimientos para aplicar y hacer cumplir esos códigos.
Undécima directriz. Los Estados deberían crear mecanismos de vigilancia y aplicación que garanticen la protección de los derechos humanos en lo que respecta al VIH, en particular los de las personas con el VIH/SIDA, sus familiares y sus comunidades.
Duodécima directriz. Los Estados deberían cooperar, aprovechando todos los programas y organismos pertinentes del sistema de las Naciones Unidas y en particular el Programa conjunto, a fin de intercambiar conocimientos y experiencias sobre las cuestiones de los derechos humanos en esta materia y de establecer procedimientos eficaces para proteger los derechos humanos de los afectados por el VIH/SIDA en el plano internacional.
Llamamos especialmente la atención, a los fines de este comentario sobre la directriz quinta, en cuanto recomienda “velar por el respeto de la vida privada, la confidencialidad y la ética en la investigación en que participen seres humanos”.
La Protección de la Confidencialidad en la Legislación Comparada Latinoamericana
Continuando con la cita del trabajo de Sandra Wierzba, señalamos que la protección de la confidencialidad de datos correspondientes a pacientes con VIH-SIDA es un denominador común en la legislación comparada sobre el tema. Veamos algunos ejemplos.
Entre las variadas disposiciones tendientes a la preservación de la confidencialidad, la legislación Argentina específica prescribe que “Las disposiciones de la presente ley y de las normas complementarias que se establezcan, se interpretarán teniendo presente que en ningún caso pueda: a) Afectar la dignidad de la persona; b) Producir cualquier efecto de marginación, estigmatización, degradación ó humillación; c) Exceder el marco de las excepciones legales taxativas al secreto médico que siempre se interpretarán en forma restrictiva; d) Incursionar en el ámbito de la privacidad de cualquier habitante de la Nación Argentina; e) Individualizar a las personas a través de fichas, registros ó almacenamiento de datos los cuales, a tales efectos deberán llevarse en forma codificada”.
En su decreto reglamentario se aclara que “Los profesionales médicos, así como toda persona que por su ocupación tome conocimiento de que una persona se encuentra infectada por el virus VIH o se halle enferma de SIDA, tienen prohibido revelar dicha información y no pueden ser obligados a suministrarla, salvo en supuestos de excepción, que la norma detalla .
Estas normas disponen además la notificación en forma codificada de casos de enfermos de SIDA y fallecimientos por la enfermedad .
Pese a ello, se han registrado casos judiciales en Argentina, donde estos principios no han sido tenidos en cuenta.
Por su parte, la Ley General sobre el VIH-SIDA dictada por la Asamblea Legislativa de la República de Costa Rica , determina que “Con las excepciones contenidas en la legislación, la confidencialidad es un derecho fundamental de los portadores del VIH-SIDA. Nadie podrá, pública ni privadamente, referirse al padecimiento de esta enfermedad, sin el consentimiento previo del paciente. El personal de salud que conozca la condición de un paciente infectado por el VIH-SIDA, guardará la confidencialidad necesaria referente a los resultados de los diagnósticos, las consultas y la evolución de la enfermedad. El portador del VIH-SIDA tiene derecho a comunicar su situación a quien desee; sin embargo, las autoridades sanitarias deberán informarle su obligación de comunicarlo a sus contactos sexuales y advertirle, a su vez, sus responsabilidades penales y civiles en caso de contagio (art. 8º.) .
A su vez, al prohibir todo tipo de discriminación laboral contra el trabajador con VIH-SIDA, el ordenamiento establece que “El empleado no estará obligado a informar a su patrono ni compañeros de trabajo acerca de su estado de infección por el VIH. Cuando sea necesario, podrá informarlo a su patrono, quien deberá guardar la debida confidencialidad y, en su caso, procurar el cambio en las condiciones de trabajo para el mejor desempeño de las funciones, según criterio médico (art. 10). También se refiere a la confidencialidad de las pruebas para el diagnóstico clínico de la infección y de sus resultados (art. 13); de la información relativa a la vigilancia epidemiológica (y al deber de mantenerla en forma codificada, art. 16). Asimismo, impone pena privativa de libertad para el caso de revelación dolosa y sin el consentimiento del paciente, de información relativa a su estado, aclarando que la sanción se aplicará “al trabajador de la salud, público o privado, o al que tenga restricción por el secreto profesional” (art. 43).
La Ley General sobre las Infecciones de Transmisión Sexual, el VIH y el SIDA de Panamá , exige confidencialidad en cuanto a la información recabada por la vigilancia epidemiológica (art. 9), en el ámbito laboral (art. 38) , y en el desempeño en actividades socio-culturales, deportivas, religiosas y educativas (art. 39) . Protege especialmente tal principio, cuando dispone que “Con las excepciones establecidas en esta ley, la confidencialidad es un derecho fundamental de la persona enferma o portadora de infección de transmisión sexual o del virus de la inmunodeficiencia humana. Nadie podrá pública ni privadamente hacer referencia a estos padecimientos sin el previo consentimiento del paciente o la paciente, excepto las cónyuges, los cónyuges, los compañeros y compañeras de actividad sexual, así como para los representantes o las representantes legales de las menores...” (art. 34) .
Podemos concluir entonces, que en lo atinente a la confidencialidad de datos relativos a pacientes con VIH-SIDA, la legislación latinoamericana especial –de la que sólo se han citado algunos ejemplos-, presenta principios comunes que pueden sintetizarse del siguiente modo:
a) El principio general consagrado es la confidencialidad de los datos relativos a la condición de paciente con VIH-SIDA.
b) Las excepciones al principio general se fundan especialmente en el cuidado de la salud del propio afectado y en la prevención del contagio a terceros.
Se prevé la notificación de información con fines estadísticos y epidemiológicos, que por brindarse en forma codificada, no debiera afectar el principio de confidencialidad (siendo relevante detectar y corregir falencias en los métodos de codificación, para garantizar se alcance tal objetivo).
Datos de salud y protección de datos
Además de los supuestos de VIH-SIDA, toda información referida a la salud de una persona física merece un doble nivel de protección. Como dato personal en sí, en su tratamiento, lo que implica su recolección, conservación, ordenación, almacenamiento, modificación, relacionamiento, evaluación, bloqueo, destrucción y en general todo tipo de procesamiento, electrónico o no, debe sujetarse a los principios de calidad, consentimiento e información.
El principio de calidad del dato, establecido en el artículo 4º de la LPDP exige que los datos sean “ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido”.
El principio de información, establecido en el artículo 6º de la LPDP, que señala que “Cuando se recaben datos personales se deberá informar previamente a sus titulares en forma expresa y clara: a) La finalidad para la que serán tratados y quiénes pueden ser sus destinatarios o clase de destinatarios; b) La existencia del archivo, registro, banco de datos, electrónico o de cualquier otro tipo, de que se trate y la identidad y domicilio de su responsable; c) El carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga, en especial en cuanto a los datos referidos en el artículo siguiente;d) Las consecuencias de proporcionar los datos, de la negativa a hacerlo o de la inexactitud de los mismos;e) La posibilidad del interesado de ejercer los derechos de acceso, rectificación y supresión de los datos.”
Asimismo, si bien el artículo 5º inciso 2 exime del requerimiento previo del consentimiento, cuando se trate de información que derive de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento, como por ejemplo sería el caso de los resultados de los exámenes médicos a que debe someterse un trabajador en virtud de lo establecido por el art. 31inc.3 apartado d) de la Ley 24.557 de Riesgos de Trabajo, habría que compatibilizar esta disposición con el art. 7 de la LPDP. Esta norma claramente indica que “ninguna persona puede ser obligada a proporcionar datos sensibles”•.
Acá se presenta una situación dilemática, ya que en el artículo 2º de la LPDP se incluye a los datos de salud entre los datos sensibles, y por lo tanto se les debería aplicar el principio recién señalado. Pero es cierto que el artículo 8º de la LPDP dice que “Los establecimientos sanitarios públicos o privados y los profesionales vinculados a las ciencias de la salud pueden recolectar y tratar los datos personales relativos a la salud física o mental de los pacientes que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquéllos, respetando los principios del secreto profesional”.
Los “profesionales vinculados a las ciencias de la salud”, son –en principio- los enunciados en la Ley 17.132 de ejercicio de la medicina, pero en dicho texto no se regula expresamente el “secreto profesional”, que es parte de una figura penal (art. 156 del Código Penal).
Creemos que es un error haber establecido como límite de la conducta de quienes son responsables o usuarios de datos personales de salud, la descripción de una figura penal, ya que acá rigen otras pautas.
Más aún, en algunas leyes más modernas, como por ejemplo Ley 24.819, que crea la “Comisión Nacional Antidoping en el deporte”, se establece en el la Artículo 5º inciso l), al enumerar las facultades de la misma, que al dictar las normas que deberán seguir las entidades comprendidas en dicha ley se tendrá como objetivo “que las sustancias que dieren positivo en los respectivos análisis, sean de conocimiento exclusivo de las partes intervinientes; preservando el derecho a la intimidad del deportista.”
Otro ejemplo de un adecuado tratamiento de la cuestión es la Ley 25.543, que establece la obligatoriedad de los operadores del sistema de salud de ofrecer el test de inmunodeficiencia a la mujer embarazada y disponen que “se requerirá el consentimiento expreso y previamente informado de las embarazadas para realizar el test diagnóstico y que tanto el consentimiento como la negativa de la paciente a realizarse el test diagnóstico, deberá figurar por escrito con firma de la paciente y del médico tratante (art. 3º). Y agrega en su artículo 4º, que “el consentimiento previamente informado tratará sobre los distintos aspectos del test diagnóstico, la posibilidad o no de desarrollar la enfermedad, y en caso de ser positivo las implicancias de la aplicación del tratamiento y de la no aplicación del mismo tanto para la madre como para el hijo por nacer. El profesional y el establecimiento serán solidariamente responsables de la confidencialidad del procedimiento, así como también de la calidad de la información que reciba la embarazada a fin de otorgar su consentimiento con un cabal conocimiento del análisis que se le ofrece, y la garantía de la provisión de los medicamentos utilizados de acuerdo a los protocolos vigentes”.
Adviértase el paralelismo de esta norma con el artículo 6º de la LPDP.
El Tribunal Constitucional español ha sostenido que “el derecho a la intimidad personal consagrado en el art. 18.1 de la Constitución de España se configura como un derecho fundamental estrictamente vinculado a la propia personalidad, derivado de la dignidad humana que el art. 10.1 de la Constitución española reconoce, e implica la existencia de un ámbito propio v reservado frente a la acción y conocimiento de los demás, necesario para mantener una calidad mínima de vida”, agregando que dicho derecho “no sólo comprende la intimidad personal "stricto sensu", integrada entre otros componentes por la intimidad corporal y la vida sexual, sino además determinados aspectos de la vida de terceras personas que, por las relaciones existentes, inciden en la propia esfera de desenvolvimiento del individuo”, ya que “si bien los hechos referidos a las relaciones sociales y profesionales en que el trabajador desarrolla su actividad, no integran, en principio, la esfera privada de la persona, es factible ocasionalmente acceder a informaciones atinentes a la vida íntima personal y familiar, en cuyo ámbito se encuentran las referencias a la salud (el resaltado nos pertenece). De allí que, ha dicho el máximo tribunal español, “un sistema normativo que, autorizando la recogida de datos incluso con fines legítimos, y de contenido aparentemente neutro, no incluya garantías adecuadas frente a su uso potencialmente invasor de la vida privada del ciudadano a través de su tratamiento técnico, vulnera el derecho a la intimidad como ocurre con las intromisiones directas en el contenido nuclear de ésta.
Reafirmando lo que hemos sostenido previamente, el TCE declara que “la garantía de la intimidad se traduce en un derecho de control sobre los datos relativos a la propia persona, siendo la libertad informática el derecho a controlar el uso de los mismos insertos en un programa informática hábeas data, pudiendo el ciudadano oponerse a que determinados datos personales sean utilizados para fines distintos de aquel legítimo que justificó su obtención”.
En particular referencia al tema que ahora nos ocupa, el Tribunal Constitucional español sostiene que “el tratamiento y conservación del diagnóstico médico del trabajador en un fichero automatizado denominado "absentismo con baja médica", sin mediar consentimiento expreso del afectado, constituye una medida inadecuada y desproporcionado que conculca el derecho a la intimidad y a la libertad informática del titular de la información”.
Y luego agrega que “la creación y mantenimiento de un fichero automatizado denominado "absentismo con baja médica", donde se conservan los datos referidos a las bajas laborales causadas por el trabajador, no puede ampararse en la existencia de un interés general que justifique la autorización por ley sin consentimiento de aquél, para el tratamiento automatizado de los datos atinentes a su salud, si en el mismo no se reflejan los resultados arrojados por la vigilancia periódica consentida por los afectados de dicho estado en función de los riesgos inherentes a su actividad laboral, sino sólo la relación de períodos de suspensión de la relación jurídico-laboral, provenientes de una situación de incapacidad del trabajador.
En una línea parecida, la Suprema Corte de Justicia de la Provincia de Buenos Aires , estableció que el empleador o prospectivo empleador está obligado a informar al eventual empleado el resultado del test preocupacional (hallazgo radiográfico anormal de opacidad pulmonar) al desestimar la resolución del juez aquo que había tenido por cumplido el deber de anoticiamiento, al basarse en los dichos del médico de habérselo hecho en forma oral, además de constar la firma del paciente en la Historia Clínica. En dicho fallo, la SCBA entiende que la historia clínica es independiente de la hoja "Examen preocupacional y/o periódico", donde constan los resultados de la revisación médica y la transcripción del informe radiográfico, y por lo tanto consideró insuficiente la prueba de la información. Es decir que en este caso, en que están en juego datos de salud, se resuelve que la obligación de informar sobre los resultados del test preocupacional es de la empresa y no del médico.
Como consecuencia de esta calificación se admitió que hubo chance perdida de que la víctima gozara de mayor tiempo y mejor calidad de vida, aun cuando el tratamiento plenamente curativo deba considerarse como una probabilidad bastante remota.
Conclusiones
En resumen, nos preocupa que un tema de tanta repercusión en la vida de las personas como es la difusión o simplemente el acceso por parte de terceros no autorizados, a información sensible como son los datos de salud, no haya merecido una regulación más precisa en la Ley 25.326, aspecto que no ha sido corregido en el Decreto reglamentario.
La información sobre salud de las personas ha dejado de ser administrada por el médico personal, para ser almacenada, procesada y manipulada por diversas entidades vinculadas a la prestación de servicios de salud, que adoptan modalidades de gestión propias del asegurador. Es posible que en tal orientación prime la minimización de riesgos antes que el respeto por la autodeterminación informativa.
Resulta imperioso en consecuencia, revisar esta situación, de modo de garantizar a toda persona un adecuado control de los datos de salud que le conciernen, tanto por aplicación de los principios generales de tratamiento de los datos personales, como por la condición de datos sensibles que esta información reviste.
Nos permitimos afirmar que las responsabilidades generadas por la violación del derecho a la protección de datos personales sensibles tienen un factor de atribución objetivo.
En materia contractual el fundamento de esta responsabilidad reside en que el daño es causado por una violación del deber de seguridad que tiene todo gestor de una base de datos personales. Este tiene una obligación de resultado, consistente en garantizar que los datos personales no serán difundidos ni empleados para un fin distinto al tenido en cuenta al ser ingresados al Banco de Datos.
En materia extracontractual, el fundamento de la responsabilidad reside en la circunstancia de considerar a la actividad informática destinada a la recolección, almacenamiento y recuperación de datos personales sensibles como una actividad peligrosa en sí misma, por el riesgo creado, consistente en el potencial uso de la información personal registrada en un banco de datos con fines discriminatorios.
Para hacer efectiva esta protección es necesario que toda persona pueda acceder, mediante un mecanismo eficaz y gratuito a los datos personales que le conciernan, para que no termine desnaturalizándose la garantía constitucional al imponerse exigencias que obstaculicen o neutralicen el derecho de acceso oportuno a los datos personales. Ello es particularmente importante en el caso de los datos de salud.
Por ello creemos que los jueces deben ser muy restrictivos para rechazar in límine una acción de amparo, hábeas data, o similar, dirigida a conocer datos sensibles cuando los requiera el afectado. El derecho de acceso, implica necesariamente la facultad de solicitar la corrección de esos archivos de datos personales, frente a las inexactitudes que pudieran contener los respectivos registros, ya sea porque el dato fue mal informado o erróneamente ingresado al sistema. El mismo derecho asiste en caso de ser necesaria la actualización de los datos personales, especialmente los contenidos en ficheros informáticos y también integra el derecho a la autodeterminación informativa la facultad de eliminar los registros de datos personales que han caducado, o prescripto, no debiendo conservarse por ningún medio.
Buenos Aires, 31 de octubre de 2003.
EDUARDO MOLINA QUIROGA