PD.1 Principio de legalidad
Requisito PD.1 | Principio de legalidad |
---|---|
Objetivo | Asegurar que el tratamiento de datos personales se realice conforme a la Ley 18.331 (Protección de datos personales y habeas data). |
Controles | Nivel 1
Nivel 2
Nivel 3
Nivel 4
|
Guía de implementación | Las bases de datos que contengan datos personales deben cumplir con la normativa vigente y estar inscriptas en el registro correspondiente, el cual está a cargo de la Unidad Reguladora y de Control de Datos Personales (URCDP) |
Instituciones de salud | La ley de protección de datos personales establece como datos sensibles aquellos datos que abarcan aspectos esenciales del individuo, como su salud, características físicas, ideología, y vida sexual, entre otros, requiriendo consentimiento expreso y escrito para su tratamiento. Además, la ley también indica que la recolección de datos relativos a la salud debe realizarse por establecimientos sanitarios públicos o privados y por profesionales vinculados a las ciencias de la salud física o mental de los pacientes que acuden a ellos, o que estén o hubieran estado bajo tratamiento en aquellos. La historia clínica incluye datos sensibles, detallando, entre otros: enfermedades, tratamientos, adicciones (si las tiene), información genética, y potencialmente datos sobre raza, sexualidad o creencias religiosas. Estos datos son cruciales para la asistencia sanitaria, asegurando que médicos y centros dispongan de la información necesaria para una atención adecuada. El centro de salud debe mantener una historia clínica detallada, ya sea en formato papel o electrónico, que registre la trayectoria de salud del individuo desde su nacimiento hasta su fallecimiento. Además, el tratamiento de este tipo de datos sensibles requiere el consentimiento expreso y escrito de los titulares de los datos. Esto implica que, si un usuario cambia de institución o de sistema de cobertura de salud, para obtener la historia clínica completa de la institución de origen, es necesario contar con dicho consentimiento, basándose en la normativa vigente. Asimismo, esta ley establece que únicamente las instituciones autorizadas para tratar datos sensibles pueden crear bases de datos con este tipo de contenido. Sin perjuicio de la normativa en materia de salud que permite el traspaso de historias clínicas de un prestador a otro. |
Instituciones Emisoras de Dinero Electrónico (IEDE) | No aplica |
Guía de evidencia para auditoría |
|
Normativa asociada | Ley N° 18.331: Protección de datos personales y habeas data Normativa complementaria y concordante |