Informe Nº 111/019, de 8 de abril de 2019
Se informa una consulta presentada por el Banco de Previsión Social respecto a la firma de un Acuerdo de Programa con la organización SMILE TRAIN.
Expediente 2019-2-10-0000079
Montevideo, 8 de abril de 2019
Informe N° 111
I. Antecedentes
Vienen los presentes atento a la consulta formulada por el Banco de Previsión Social respecto a la firma de un Acuerdo de Programa con la organización con sede en los Estados Unidos denominada Smile Train.
II. Análisis
Se adjunta por la consultante una propuesta de Acuerdo con la organización sin fines de lucro referida, la que se dedica a la provisión de fondos, herramientas y educación en materia de labio/paladar hendido.
El objetivo del Acuerdo es “concertar un esfuerzo de cooperación y unión (el “Programa”) en el que Smile Train proporcionará financiamiento al proveedor para que el proveedor pueda ofrecer cirugías reconstructivas totalmente gratis y otros servicios relacionados para los pacientes de escasos recursos con labio y paladar hendido que de otra manera no podrían pagar dichos tratamientos” (cláusula de antecedentes literal C).
La ubicación geográfica de la organización es en Nueva York, Estados Unidos de América y no se encuentra certificada por el acuerdo Privacy Shield, por lo que no se encuentra dentro de la lista de organizaciones “adecuadas” para la realización de transferencias internacionales de datos en el marco de dicho acuerdo, conforme la Resolución del Consejo Ejecutivo de la Unidad N° 4/019, de 12 de marzo de 2019.
Con respecto al BANCO DE PREVISIÓN SOCIAL, éste ostenta un rol preponderante en el tratamiento de los casos referidos en la consulta, atento a lo dispuesto por el Decreto-Ley N° 15.084, de 28 de noviembre de 1980, el decreto N° 227/981, de 27 de mayo de 1981 y demás normas reglamentarias. El alcance de dicho rol, y el trabajo realizado a través del CRENADECER (Centro de Referencia Nacional de Defectos Congénitos y Enfermedades Raras) puede consultarse en el documento del proyecto, expedido por la Dirección Técnica de Prestaciones, la Gerencia de Prestaciones de Salud y la Gerencia de Asistencia Médica de dicho organismo.
En lo que refiere al acuerdo en sí, corresponde señalar en primer lugar, con respecto a la protección de datos en general, que la participación en el Programa depende a su vez de la participación en Smile Train Express, que según el punto 4 de las obligaciones del proveedor (en este caso el BANCO DE PREVISIÓN SOCIAL) se trata de una base de datos de cuidado del labio/paladar hendido gratuita y global, con información de registro del paciente completa –incluyendo el formulario de consentimiento-. Afirma la cláusula que el formulario de registro del consentimiento estará sujeta a las leyes aplicables con relación a la liberación de la información médica.
A fs. 22 de estos obrados se encuentra el expediente médico del paciente que tendrá su cirugía apoyada por Smile Train. Dicho formulario indica cual es la naturaleza de la entidad, que mantiene expedientes médicos con información de salud relevantes, y fotos de los pacientes tomadas antes y después de la cirugía. Por otra parte, se informa que el uso de esos expedientes es con propósitos de revisiones de calidad quirúrgica, educación, evaluación y relaciones públicas, sin perjuicio de las actualizaciones en los tipos de datos, que menciona se darán a conocer.
Asimismo, se informa que los datos estarán disponibles para personas autorizadas en la base de datos a la que puede accederse a través de la web, informando Smile Train que no compartirá la información con terceras partes no autorizadas. Asimismo, se procura asegurar la implementación de estándares de seguridad –aunque no los detalla- y su acceso por parte de los titulares de los datos. Resulta de interés señalar que Smile Train eliminará el nombre e información de salud de la base de datos a solicitud del titular del dato.
Posteriormente se hacen unas breves referencias al funcionamiento de la Base de datos (folio 30), indicando el mecanismo para el envío de los usuarios y las contraseñas.
Se trata en el caso de una transferencia internacional de datos en el marco de una comunicación de datos, que en buena parte son datos sensibles –de salud-, resultando por ende aplicables los artículos 17°, 18° y 23° de la Ley N° 18.331, de 11 de agosto de 2008. También deben considerarse la aplicación de los principios previstos en los artículos 8° a 12° de la Ley, con una especial referencia a la nueva redacción del artículo 12° dada por el artículo 39 de la Ley N° 19.670, de 15 de octubre de 2018.
El artículo 17° de la Ley indica que toda comunicación de datos personales –entendida ésta como una revelación de información personal a un tercero distinto del titular- debe efectuarse con el consentimiento informado de éste (o en el marco de alguna de las excepciones previstas en el mismo artículo, o las del artículo 9° por remisión expresa), y además debe realizarse en interés del emisor y del destinatario del dato. En el caso de que la comunicación se sustente en el consentimiento, éste siempre será revocable.
El artículo 18 de la Ley por su parte indica que todo tratamiento de datos sensibles debe realizarse con el consentimiento expreso y escrito del titular, cuando medien razones de interés general autorizadas por ley, cuando el organismo tenga mandato legal para hacerlo o con fines estadísticos o científicos –en este último caso disociado de sus titulares-.
En este caso, se prevé expresamente que los padres brinden el consentimiento para la comunicación de la información a SMILE TRAIN a través del modelo de consentimiento que se adjunta al presente expediente. Dicho modelo de consentimiento deberá revisarse en su redacción –o complementarse en debida forma-, principalmente en lo que respecta a la posibilidad de establecerse finalidades adicionales a las informadas, ya que no resulta claro cómo se efectuará esa comunicación y quién es que toma la decisión –aunque presumiblemente sea SMILE TRAIN-.
Pero además, en el caso se prevé una comunicación a un destino no adecuado, que está expresamente prohibido por el artículo 23° de la Ley mencionada, con las siguientes excepciones:
“1) Cooperación judicial internacional, de acuerdo al respectivo instrumento internacional, ya sea Tratado o Convención, atendidas las circunstancias del caso.
2) Intercambio de datos de carácter médico, cuando así lo exija el tratamiento del afectado por razones de salud o higiene públicas.
3) Transferencias bancarias o bursátiles, en lo relativo a las transacciones respectivas y conforme la legislación que les resulte aplicable.
4) Acuerdos en el marco de tratados internacionales en los cuales la República Oriental del Uruguay sea parte.
5) Cooperación internacional entre organismos de inteligencia para la lucha contra el crimen organizado, el terrorismo y el narcotráfico.
También será posible realizar la transferencia internacional de datos en los siguientes supuestos:
A) Que el interesado haya dado su consentimiento inequívocamente a la transferencia prevista.
B) Que la transferencia sea necesaria para la ejecución de un contrato entre el interesado y el responsable del tratamiento o para la ejecución de medidas precontractuales tomadas a petición del interesado.
C) Que la transferencia sea necesaria para la celebración o ejecución de un contrato celebrado o por celebrar en interés del interesado, entre el responsable del tratamiento y un tercero.
D) Que la transferencia sea necesaria o legalmente exigida para la salvaguardia de un interés público importante, o para el reconocimiento, ejercicio o defensa de un derecho en un procedimiento judicial.
E) Que la transferencia sea necesaria para la salvaguardia del interés vital del interesado.
F) Que la transferencia tenga lugar desde un registro que, en virtud de disposiciones legales o reglamentarias, esté concebido para facilitar información al público y esté abierto a la consulta por el público en general o por cualquier persona que pueda demostrar un interés legítimo, siempre que se cumplan, en cada caso particular, las condiciones que establece la ley para su consulta.”
En el presente caso, existiendo un consentimiento brindado por el interesado, en forma previa, informada y escrita, ya sea para sí o para su representado –en legal forma-, la situación de hecho podría encontrarse abarcada por lo dispuesto en el literal A del artículo mencionado.
En lo que respecta al consentimiento en el tratamiento de los datos de salud, a efectos de garantizar un consentimiento libre, expreso, escrito, informado e inequívoco –como el exigido para la transferencia internacional de datos de salud de un exportador a un importador que reviste la naturaleza de tercero-, este no puede encontrarse relacionado con la necesidad de que se le provea un tratamiento específico, cuando éste debe proveerse a las personas al amparo de obligaciones legales impuestas a organismos encargados de la salud pública. Recordemos que la Constitución en el artículo 44° establece que “El Estado legislará en todas las cuestiones relacionadas con la salud e higiene públicas, procurando el perfeccionamiento físico, moral y social de todos los habitantes del país.
Todos los habitantes tienen el deber de cuidar su salud, así como el de asistirse en caso de enfermedad. El Estado proporcionará gratuitamente los medios de prevención y de asistencia tan sólo a los indigentes o carentes de recursos suficientes”.
Sin perjuicio de lo indicado, existe profusa legislación vinculada a las obligaciones y deberes del Ministerio de Salud Pública, la Administración de Servicios de Salud del Estado, el Banco de Previsión Social, entre otros, alguna de las cuales se mencionaron en el presente informe.
Por su parte, tanto el artículo 72 de la Constitución como el artículo 1° de la Ley N° 18.331, reconocen otros derechos inherentes a la personalidad humana –específicamente el derecho a la protección de datos personales- que debe ser objeto de las garantías apropiadas.
En definitiva, este informante no observa inconvenientes en que se solicite a los padres de los menores que serán sujetos a procedimientos financiados por SMILE TRAIN –y sólo respecto de éstos- consentimiento para la remisión de la información clínica concerniente a dicho procedimiento. Debe resultar claro además que en caso de negativa el menor tendrá la posibilidad de obtener la asistencia debida en el marco de las obligaciones inherentes a las entidades en el marco del Sistema Nacional Integrado de Salud, y de las disposiciones específicas en materia de este tipo de enfermedades.
También deberá limitarse la entrega de la información a la estrictamente necesaria para el cumplimiento de las obligaciones asumidas con SMILE TRAIN y no otra, y asegurarse la supresión de ésta a requerimiento del interesado por una vía sencilla y gratuita. Esta manifestación, al igual que el consentimiento para el envío de la información, podrá ser realizada por el menor una vez adquirida la capacidad legal o por su representante. En caso de que no resulte claramente la forma de ejercer los derechos, el BANCO DE PREVISIÓN SOCIAL deberá asumir la obligación de recabar esas manifestaciones de voluntad y de que se dé cumplimiento a lo solicitado por los titulares de los datos o sus representantes.
Toda otra hipótesis de comunicación de información que no se sustente en el consentimiento en las condiciones mencionadas deberá realizarse previo proceso de disociación de datos, procurando en todos los casos garantizar la anonimización de dicha información.
En lo que respecta a las restantes obligaciones en el marco del artículo 12° de la Ley N° 18.331, en la redacción dada por el artículo 39 de la Ley N° 19.670, este caso requiere claramente de la adopción de medidas especiales a efectos de garantizar el cumplimiento de los principios en materia de protección de datos, sugiriéndose a la consultante la realización de una Evaluación de Impacto en la Protección de Datos.
Por otra parte, también deberá registrarse la base de datos de los menores que formen parte del programa, declarando a la entidad estadounidense SMILE TRAIN como encargada de tratamiento, teniendo presente además que: a) Esta transferencia de información deberá ser informada y considerada por su delegado de protección de datos (el que deberá ser designado obligatoriamente en atención a lo dispuesto por el artículo 40 de la Ley N° 19.670); y b) Deberá comunicarse a SMILE TRAIN que por el tipo de información que gestiona se encontrará alcanzada por las disposiciones de la ley N° 18.331.
Es cuanto tengo para informar.
Dr. Gonzalo Sosa