El 1 de setiembre de 2020 el Ministerio de Salud (“MINSA”), mediante la Resolución Ministerial N° 688-2020-MINSA, aprobó la Directiva Administrativa N° 294-MINSA/2020/OGTI que establece el tratamiento de los datos personales relacionados con la salud o datos personales en salud (la “Directiva”).
A continuación, exponemos los aspectos más relevantes de la Directiva:
– Resulta aplicable a todas las entidades públicas y privadas que desarrollan actividades en el Sistema Nacional de Salud.
– Los Datos Personales en Salud (“DPS”) son aquellos datos relacionados a la salud o enfermedad de una persona que la identifica o hace posible su identificación. Los DPS se generan durante las atenciones de salud que reciben las personas (p.e. hospitalizaciones, emergencias, consultas, entre otras), así como en investigaciones, encuestas u otras actividades relacionadas al campo de la salud.
– Los DPS constituyen datos personales sensibles, por lo que para su tratamiento se requiere necesariamente obtener el consentimiento del titular por escrito. Solo será posible efectuar el tratamiento de los DPS sin el consentimiento de su titular cuando una ley lo autorice por razones de interés público o cuando el MINSA califique que existen razones de salud pública en el acto resolutivo correspondiente.
– Para que un establecimiento de salud pueda transferir los DPS al establecimiento en el cual el titular de estos está siendo atendido deberá solicitar su consentimiento, salvo que este se encuentre en una circunstancia de riesgo, sean necesarios para prevenir una enfermedad, o realizar un diagnóstico y brindar el tratamiento médico o quirúrgico correspondiente. La interoperabilidad que se produzca entre sistemas de información de diversas entidades no debe vulnerar el derecho de los titulares de los DPS.
– La historia clínica de una persona solo podrá ser entregada o remitida fuera del establecimiento de salud si se configura alguno de los supuestos de excepción establecidos en el artículo 25 de la Ley N° 26842 – Ley General de Salud.
– La Información en Salud (“IS”) está conformada por los DPS que han sido sometidos a un procedimiento de disociación o anonimización (de tal forma que no sea posible identificar al titular) para ser convertidos en datos estadísticos, así como por los datos de gestión de la organización o de la entidad del sector salud. A diferencia de los DPS, la IS es de interés público y, dado que no permite identificar a los titulares de los datos, puede ser transmitida por los medios correspondientes (físicos o electrónicos).
– La Oficina General de Tecnologías de la Información del MINSA es la entidad encargada de elaborar la norma que precise las medidas de seguridad técnicas, organizativas y legales en el sector salud de conformidad con lo establecido en la Ley N° 29733, Ley de Protección de Datos Personales (“LPDP”) y su reglamento.
– Todos los usuarios de los activos de información se encuentran obligados a (i) no revelar o facilitar la información relacionada al servicio que presta, (ii) administrar y suministrar la información confidencial con el cuidado y la razonabilidad que ello amerita, (iii) tratar los DPS con la finalidad exclusiva de cumplir con sus funciones y (iv) suscribir el compromiso de confidencialidad que se encuentran en el anexo N° 3 (personal con relación laboral) y en el anexo N° 4 (personal con relación contractual) de la Directiva.
– La información que se genere a partir de la atención de los pacientes en situaciones de emergencia sanitaria o de pandemia, en tanto corresponda a DPS, debe recibir el mismo tratamiento que reciben los DPS en condiciones normales.
– En ningún caso se puede eliminar la documentación de la atención de pacientes que contengan DPS en el periodo de emergencia sanitaria.
– En el anexo N° 1 de la Directiva se ha establecido una clasificación de los datos en el sector salud. En este documento se precisa cuáles son los datos considerados como sensibles, así como la IS.
– En el anexo N° 5 de la Directiva se establecen las características que debe tener el consentimiento del titular de los DPS para su tratamiento según lo establecido en el artículo 12 del reglamento de la LPDP.
Para cualquier aclaración o ampliación con relación al contenido del presente memorando, por favor contacte al Dr. Carlos A. Patrón (cap@prcp.com.pe) o al Dr. Giancarlo Baella (gbp@prcp.com.pe). Para obtener copia de la normativa comentada, por favor contacte al Sr. Paul Manrique a la siguiente dirección electrónica: pmb@prcp.com.pe.