Dictamen N° 9/024 consulta
VISTO: La consulta presentada por María Gracia Argenti.
RESULTANDO:
I. Que se presenta consulta sobre datos de salud de un laboratorio internacional de medicamentos de uso humano con presencia local. El laboratorio lleva adelante dos programas para pacientes, los que son gratuitos y están dirigidos a personas con dolencias puntuales que requieren tratamientos médicos prolongados con medicamentos que ella produce.
II. Que según se menciona, el enrolamiento a los programas del laboratorio es optativo para los pacientes, para lo que deben proveer datos de salud, y contactarse telefónicamente con un call center tercerizado situado en Argentina. En oportunidad del contacto telefónico se documenta un consentimiento informado para recabar datos personales no sensibles del paciente y se coordina el envío de un documento de consentimiento informado para su firma autógrafa y posterior devolución al laboratorio. Solamente se lo enrola cuando el laboratorio está en poder del consentimiento informado debidamente firmado.
III. Que a consecuencia de dicho procedimiento, la consultante señala que existen demoras en el enrolamiento al programa y en el entrenamiento del uso de los dispositivos utilizados para administrar la medicación, lo que constituye motivo constante de queja de los pacientes.
IV. Que, en base a lo indicado, consulta si para estos casos sería legalmente admisible recabar la firma del paciente de forma electrónica de acuerdo con lo establecido en la ley 18.600, de 21 de setiembre de 2009, sobretodo para la recolección de datos sensibles, y cual sería el mecanismo más adecuado. Además, en caso de entenderse que ello no es possible, consulta sobre la viabilidad de obtener una primera firma, electrónica -a modo de que el paciente pueda comenzar su tratamiento con celeridad- y una posterior ratificación con firma autógrafa.
CONSIDERANDO:
I. Que, en el presente caso se están tratando datos personales en general, y datos sensibles (de salud) en particular, estos últimos definidos en el artículo 4 literal e) de la Ley N° 18.331, de 11 de agosto de 2008. El régimen jurídico de los datos sensibles está dispuesto en el artículo 18, y requieren para su tratamiento un consentimiento calificado -expreso y por escrito-, y el respeto a los principios de secreto profesional, la normativa específica y lo establecido en la propia Ley (artículo 19).
II. Que, surge de lo indicado por la consultante, que se realizan transferencias internacionales de datos personales a la República Argentina, lo que no constituye un impedimento en sí mismo en tanto se realiza a territorio adecuado de conformidad con el artículo 23 de la Ley 18.331 y Resolución N° 23/021, de este Consejo Ejecutivo.
III. Que, en cuanto al consentimiento, el artículo 18 ya citado indica que para datos sensibles éste debe ser recabado en forma expresa y por escrito. En tanto la Ley N° 18.600 establece el principio de equivalencia funcional, es admisible la utilización de firmas electrónicas siempre que se ofrezcan las garantías tecnológicas suficientes y se cumpla con las condiciones previstas en la citada Ley.
IV. Que, por último, cabe indicar que conforme con el artículo 6, literal a) del Decreto N° 64/020, de 17 de febrero de 2020, corresponde realizar una evaluación de impacto previa, por realizarse el tratamiento de datos sensibles.
ATENTO: a lo expuesto e informado,
El Consejo Ejecutivo de la Unidad de la Unidad Reguladora y de Control de Datos Personales
DICTAMINA:
Informar a la consultante que es posible recabar el consentimiento de los pacientes a través de mecanismos previstos en la Ley N° 18.600, de 21 de setiembre de 2009 siempre que se ofrezcan las garantías tecnológicas suficientes y se cumpla con las condiciones previstas en la citada Ley.
Indicar a la consultante que podrán realizarse transferencias internacionales de datos personales a la República Argentina, sin autorización de esta Unidad de conformidad con el artículo 23 de la Ley 18.331 y Resolución N° 23/021, de este Consejo Ejecutivo, siempre que se de cumplimiento a los principios de la Ley y se respeten los derechos en ella consagrados, en especial el derecho a la información establecido en el artículo 13.
Indicar a la consultante que deberá cumplir con las obligaciones de responsabilidad proactiva previstas en el artículo 12 de la Ley (en la redacción dada por el artículo 39 de la Ley N° 19.670, de 15 de octubre de 2018) y en el Decreto N° 64/020, de 17 de febrero de 2020, en lo que deberá participar activamente el delegado de protección de datos.
NOTIFÍQUESE Y PUBLÍQUESE.
Firmado por: Dr. Felipe Rotondo Tornaría
Consejo Ejecutivo
URCDP