Dictamen N° 25/023 .
VISTO: La consulta presentada por GEOBAN S.A.
RESULTANDO: I. Que se presenta ante esta Unidad GEOBAN S.A a los efectos de consultar respecto a la adecuación a la normativa en protección de datos de dispositivos Confirm RX, los que se implantan en forma sub cutánea en el tórax del paciente y permiten la monitorización constante del registro de la actividad cardiaca (frecuencia y sus alteraciones).
II. Que se expresa que estos dispositivos tienen la capacidad de emitir información a través de una aplicación que se descarga de las tiendas virtuales y el médico puede acceder a dicha información accediendo con un usuario y contraseña generada en la página del laboratorio Abbott mediante sus servidores, los que se encuentran en los Estados Unidos. Se indica que esa información puede ser descargada para su análisis en la computadora del médico y su equipo de colaboradores, y así realizar los diagnósticos y ajustes en el tratamiento de los pacientes.
III. Que, el presente análisis les fue requerido por el departamento de Tecnología Médica del Ministerio de Salud Pública, en el marco de un proceso de habilitación.
CONSIDERANDO: I. Que en el presente caso se consulta sobre un dispositivo médico que recaba datos personales, por tanto, resulta necesario analizar en primer lugar quién es el responsable de tratamiento, que en el caso que el equipo sea utilizado por una institución médica, será dicha institución. Tanto en este caso, como en la situación en que la institución o el médico reciben la información del paciente, es recomendable la adopción de un contrato entre las partes que determinen los derechos y obligaciones que correspondan.
II. Que el dato personal que se recaba es el ritmo cardiaco del paciente, cuyos resultados se pueden seguir desde una aplicación. En ese marco, se deberá determinar por la institución médica si ese dato es incorporado en la historia clínica del paciente, la que debe inscribirse –con el resto del conjunto de historias clínicas- en el registro que lleva adelante esta Unidad (artículo 6° de la Ley N° 18.331, de 11 de agosto de 2008).
III. Que de acuerdo con los artículos 9° y 18 de la Ley citada –por tratarse de datos sensibles de salud-, se requiere recabar el consentimiento de los titulares, el que debe tener adicionalmente los caracteres de expreso y escrito. Por su parte, en caso de comunicación de datos se recomienda tener presente los requisitos del artículo 17 de la Ley N° 18.331.
IV. Que respecto a la información personal recabada se deben adoptar medidas de seguridad que aseguren la seguridad y confidencialidad de los datos personales.
V. Que, como todas las aplicaciones que utilizan datos personales, se requiere la incorporación de políticas de privacidad que expliquen el tratamiento de datos personales y el cumplimiento de la normativa de protección de datos personales (artículo 13 de la Ley N° 18.331), aclarándose que, si la aplicación se utiliza en el marco de telemedicina por prescripción médica, entonces el responsable es la institución médica.
VI. Que de acuerdo con los artículos 13 a 16 de la Ley N° 18.331, se deberán adopter procesos internos que permitan el ejercicio de los derechos previstos en la Ley
VII. Que el acceso por terceros debe estar limitado a aquellas personas que tengan algún rol dentro del ecosistema del paciente, y si la información brindada por el dispositivo aloja información en el exterior deberá estarse a lo indicado en el art. 23 de la Ley N° 18.331, de 11 de agosto de 2008.
VIII. Que se debe tener en cuenta que si se encuentra dentro de algunas de las hipótesis del artículo 40 de la ley N° 19.670, de 15 de octubre de 2018, se debe proceder a designar y comunicar delegado de protección de datos, y si se está dentro de algunas de las hipótesis del artículo 6° del Decreto 64/020, de 17 de febrero de 2020, se deberá proceder a la realización de una evaluación de impacto en la protección de datos.
ATENTO: a lo expuesto e informado,
El Consejo Ejecutivo de la Unidad de la Unidad Reguladora y de Control de Datos Personales
DICTAMINA:
- Indicar a Geoban S.A. que en la utilización del dispositivo mencionado deberán tenerse en cuenta las recomendaciones realizadas en los Considerandos del presente dictamen, sin perjuicio del cumplimiento con carácter general de toda la normativa en protección de datos personales.
- NOTIFÍQUESE Y PUBLÍQUESE.
Firmado por: Federico Monteverde
Consejo Ejecutivo
URCDP