¿Los datos de salud de mis pacientes son datos sensibles?

Definición y clasificación de los datos de salud como datos sensibles

En el contexto del derecho a la protección de datos personales, no todos los datos merecen el mismo nivel de tutela jurídica. Los denominados datos personales sensibles constituyen una categoría especial que, por su naturaleza intrínseca, puede afectar la esfera más íntima del titular y generar discriminación o daños patrimoniales y morales si son tratados indebidamente. La Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP) define en su artículo 3, fracción VI, los datos sensibles como aquellos que afectan la esfera más íntima de su titular o cuya utilización indebida puede dar origen a discriminación o conlleve un riesgo grave; entre los ejemplos que la propia ley enumera se encuentran explícitamente los datos relativos al estado de salud presente y futuro.

Para el profesional de la salud, la respuesta a la pregunta central de este artículo es, por tanto, afirmativa y sin ambigüedades: los datos de salud de los pacientes son datos personales sensibles por definición legal. Esta calificación no es una decisión discrecional del médico o del responsable del tratamiento; es una categorización normativa que activa un régimen de protección reforzado con obligaciones específicas y consecuencias jurídicas distintas a las del tratamiento ordinario de datos personales.

Marco normativo aplicable en México

El tratamiento de datos de salud en México se rige por una arquitectura regulatoria que combina normas de protección de datos con normas sanitarias. Los instrumentos de mayor relevancia son los siguientes:

• LFPDPPP y su Reglamento: establecen el régimen general de protección. El tratamiento de datos sensibles exige, como regla general, el consentimiento expreso y por escrito del titular. Las sanciones por incumplimiento son significativamente más severas que las aplicables a datos ordinarios.
• NOM-004-SSA3-2012 (Expediente Clínico): regula el contenido, integración, uso, manejo, archivo y conservación del expediente clínico. Establece que el expediente es un documento confidencial y que su difusión sin consentimiento del paciente viola la normativa. Esta NOM define qué información constituye el expediente y quiénes pueden acceder a él.
• NOM-024-SSA3-2012 (Sistemas de Información de Registro Electrónico para la Salud): aplica cuando la información clínica se gestiona en plataformas digitales. Impone requisitos técnicos de seguridad informática, interoperabilidad y confidencialidad para los Sistemas de Información en Salud (SIS), incluyendo controles de acceso y trazabilidad de las operaciones.
• Ley General de Salud: consagra el derecho del paciente a la confidencialidad de la información médica. El secreto profesional médico, regulado también por los Códigos de Ética de los colegios de profesionistas, se articula directamente con las obligaciones de protección de datos.
• Avisos y lineamientos COFEPRIS: en el ámbito farmacéutico y de dispositivos médicos, la Comisión Federal para la Protección contra Riesgos Sanitarios emite lineamientos que afectan el tratamiento de datos en estudios clínicos y farmacovigilancia.

Obligaciones prácticas derivadas de la calificación como datos sensibles

Que los datos de sus pacientes sean datos sensibles no es una declaración abstracta; genera obligaciones concretas y exigibles para cualquier persona física o moral que, en calidad de responsable del tratamiento, recopile, use, divulgue o almacene dicha información. Las principales implicaciones prácticas son:

• Aviso de Privacidad reforzado: debe elaborarse y ponerse a disposición del paciente antes o en el momento de la recolección. Tratándose de datos sensibles, el aviso debe ser explícito sobre la finalidad del tratamiento y las transferencias de información.
• Consentimiento expreso: a diferencia de los datos ordinarios, donde puede bastar el consentimiento tácito, el tratamiento de datos sensibles requiere que el titular manifieste su voluntad de forma inequívoca. Esto se instrumenta comúnmente mediante cláusulas en el consentimiento informado clínico o formularios independientes.
• Medidas de seguridad técnicas, administrativas y físicas: el responsable debe implementar salvaguardas proporcionales al riesgo. En entornos digitales, esto incluye cifrado, control de acceso por roles, bitácoras de auditoría y políticas de respaldo conforme a los estándares de la NOM-024-SSA3-2012.
• Limitación de finalidad: los datos recabados con una finalidad clínica no pueden usarse libremente para investigación, mercadotecnia o cualquier otro propósito sin obtener consentimiento adicional o cumplir los requisitos de disociación o anonimización.
• Conservación y destrucción seguras: la NOM-004-SSA3-2012 establece los plazos mínimos de conservación del expediente clínico. Transcurrido el plazo, la destrucción del soporte debe garantizar que los datos no sean recuperables.
• Atención de derechos ARCO: los pacientes tienen derecho de Acceso, Rectificación, Cancelación y Oposición sobre sus datos. Las solicitudes deben atenderse en los plazos y formas que establece la LFPDPPP y su Reglamento.
• Registro de tratamientos de datos sensibles: se recomienda documentar internamente los tratamientos que involucran esta categoría para demostrar cumplimiento ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), autoridad de supervisión.

Excepciones al consentimiento: cuándo el tratamiento es lícito sin él

La LFPDPPP y la Ley General de Salud reconocen hipótesis en las que el tratamiento de datos de salud puede realizarse sin consentimiento del paciente. Entre ellas destacan: la atención de una emergencia médica que ponga en riesgo la vida del titular; el cumplimiento de obligaciones legales, como la notificación de enfermedades de declaración obligatoria ante las autoridades sanitarias; y la realización de estudios de salud pública o epidemiológicos, siempre que los datos sean tratados en forma disociada, es decir, de modo que no permitan identificar al titular. Estas excepciones son de interpretación estricta; no habilitan un tratamiento generalizado sin consentimiento.

Consecuencias del incumplimiento

El tratamiento indebido de datos sensibles de salud puede acarrear responsabilidades simultáneas en distintos órdenes. En el administrativo, el INAI puede imponer sanciones económicas significativas. En el civil, el paciente afectado puede reclamar daños y perjuicios, incluyendo daño moral. En el penal, la revelación de secretos profesionales está tipificada en el Código Penal Federal. Adicionalmente, la infracción de la NOM-004-SSA3-2012 puede dar lugar a sanciones sanitarias por parte de la Secretaría de Salud o la COFEPRIS.

Glosario

• Dato personal sensible: categoría de dato personal cuya divulgación indebida puede afectar la esfera más íntima del titular o provocar discriminación; incluye, entre otros, datos de salud, origen étnico, creencias religiosas y orientación sexual (LFPDPPP, art. 3, fr. VI).
• Responsable del tratamiento: persona física o moral que decide sobre el tratamiento de datos personales y frente a quien el titular ejerce sus derechos (LFPDPPP, art. 3, fr. XIV).
• Tratamiento de datos: cualquier operación o conjunto de operaciones efectuadas sobre datos personales: recopilación, uso, divulgación, almacenamiento, transferencia o supresión.
• Consentimiento expreso: manifestación inequívoca y verificable de la voluntad del titular, requerida para el tratamiento de datos sensibles; no puede inferirse del silencio o de una conducta pasiva.
• Disociación: procedimiento mediante el cual los datos personales no pueden asociarse al titular ni permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo.
• Derechos ARCO: conjunto de derechos que la LFPDPPP reconoce al titular: Acceso a sus datos, Rectificación de datos inexactos, Cancelación cuando proceda, y Oposición al tratamiento.
• Expediente clínico: conjunto de documentos escritos, gráficos, imagenológicos, electrónicos, magnéticos, electromagnéticos, ópticos, magneto-ópticos y de cualquier otra índole, en los cuales el personal de salud hace los registros, anotaciones y certificaciones correspondientes a la atención médica del paciente (NOM-004-SSA3-2012).
• INAI: Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales; órgano garante autónomo encargado de supervisar el cumplimiento de la LFPDPPP en el sector privado.

Referencias

• Cámara de Diputados del H. Congreso de la Unión. (2010). Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Diario Oficial de la Federación, 5 de julio de 2010.
• Cámara de Diputados del H. Congreso de la Unión. (2011). Reglamento de la Ley Federal de Protección de Datos Personales en Posesión de los Particulares. Diario Oficial de la Federación, 21 de diciembre de 2011.
• Secretaría de Salud. (2012). NOM-004-SSA3-2012, Del expediente clínico. Diario Oficial de la Federación, 15 de octubre de 2012.
• Secretaría de Salud. (2012). NOM-024-SSA3-2012, Sistemas de información de registro electrónico para la salud. Intercambio de información en salud. Diario Oficial de la Federación, 30 de noviembre de 2012.
• Cámara de Diputados del H. Congreso de la Unión. (1984, con reformas al 2023). Ley General de Salud. Diario Oficial de la Federación.
• Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI). (2023). Guía para el tratamiento de datos personales sensibles en el sector salud. INAI.