El convenio CCSS-INS y el derecho a la intimidad
Jorge Herrera Fernández
Pensionado IVM
La Caja Costarricense de Seguro Social y el Instituto Nacional de Seguros han suscrito un “Convenio de Colaboración” para el tratamiento de datos personales y confidenciales. Mediante dicho convenio la Caja otorga al INS no solo el acceso al EDUS sino la transferencia de los datos contenidos en este. Esto significa que los expedientes médicos, datos personales e íntimos de cientos de miles de asegurados, entre ellos menores de edad, pasarán sin más a manos de una entidad aseguradora sin haber informado y solicitado el “consentimiento” de los dueños de esos datos. Además de la violación al artículo 24 constitucional que “garantiza el derecho a la intimidad, a la libertad y al secreto de las comunicaciones”, el acuerdo implica situaciones sobre las cuales conviene un poquito de reflexión:
El Código de Ética del Colegio de Médicos
En el capítulo de este código sobre el “Deber de Confidencialidad y Secreto Profesional”, para el presente caso, resulta de particular importancia el artículo 71 que expresa:
Artículo 71.- El médico, no revelará o permitirá que se revele, información a empresas aseguradoras, particulares o estatales, sobre las circunstancias de la enfermedad, o causas de muerte del paciente, salvo lo contenido en el certificado de defunción, o que medie autorización expresa del paciente, del responsable legal o autoridad judicial.
Es importante considerar que esta restricción no es producto de caprichos u ocurrencias sino del propósito de evitar ventajas a las aseguradoras en la suscripción de pólizas, en particular de salud y de vida. Si una aseguradora tiene el expediente médico del solicitante de una póliza y de sus familiares puede valorar riesgos por algún padecimiento o predisposición hereditaria a determinadas enfermedades. Así, podrá rechazar la póliza o aplicar condiciones a su conveniencia. Posiblemente tal situación ocurriría sin que la persona esté enterada de que la aseguradora posee sus datos.
Siendo el INS una entidad aseguradora, hay que preguntarse ¿Tiene la Caja facultades legales para anular o hacer inoperante una obligación de los médicos que allí laboran y que a su vez representa una garantía del derecho a la intimidad de los pacientes?
La responsabilidad para la Caja
Otra circunstancia que no debe pasar por alto se refiere a la participación de terceros en el tratamiento de los datos y las responsabilidades por el “uso indebido de los mismos. La siguiente cláusula resulta reveladora:
DÉCIMA SÉTIMA: DE LA RESPONSABILIDAD
Cada parte es responsable ante la otra y ante cualquier tercero afectado, por los daños directos e indirectos, perjuicios, incluidas multas o cualquier otro derivado de las actuaciones, incumplimientos u omisiones de sus funcionarios y/o trabajadores (propios o terceros contratados) con respecto a las obligaciones del presente convenio, el tratamiento de datos inadecuado y vulneraciones en sus sistemas de seguridad de la información.
Como se indica explícitamente, las partes (CCSS y el INS) son responsables por las acciones de sus funcionarios e incluso de “terceros contratados”. En consecuencia, en el caso de la Caja, esa responsabilidad por “tratamiento de datos inadecuado y vulneraciones a los sistemas por parte de terceros” implica hacer frente a denuncias, demandas e indemnizaciones que deberán cubrirse con dinero de la institución o, más bien dicho, de los aportes de los asegurados.
La transferencia de datos a terceros “autorizados”
Lo expresado en este inciso de la “cláusula sexta” debe llamar la atención puesto que refiere eventuales “ventas, cesiones, traspasos, etc.” y “derechos” que las partes adquieren mediante el convenio:
“SEXTA: OBLIGACIONES DE AMBAS INSTITUCIONES:
En adición a cualquier otra obligación establecida en el presente convenio y en el convenio marco, ambas partes se comprometen a:
[…]
“k) Las partes se obligan a no transferir los datos a terceros no autorizados por ambas partes, por medio de la venta, alquiler, traspaso, cesión o enajenar gratuita u onerosamente o cualquier otro medio de publicidad o transferencia existentes, en forma total o parcial los derechos que mediante el presente convenio adquiere, lo anterior, de conformidad con lo dispuesto en el marco regulatorio y normativo vigente.”
Como se observa, la obligación de las partes a no transferir los datos y los derechos aplica únicamente a terceros no autorizados. En consecuencia, “a contrario sensu”, no existe impedimento para transferir datos y derechos por medio de la venta, alquiler, traspaso, cesión, etc. a los terceros autorizados por ambas partes.
En este sentido, vale considerar lo expuesto por el Señor Mauricio París, especialista en derecho digital en La República del 1o. de noviembre 2022:
“Las compañías más grandes del mundo son empresas cuya materia prima son los datos personales, por lo que estos se han convertido en un activo importantísimo en una economía digital”
El consentimiento de los pacientes
Además de lo expuesto, al suscribir el convenio las partes han hecho caso omiso de la obligación de contar con el “consentimiento” de los pacientes.
Como lo expone el titular del diario digital Despertar.CR el 24 de agosto pasado, el INS contará con acceso a los datos del EDUS “si hay consentimiento de pacientes”.
El texto de esta noticia continúa expresando:
“Esperamos que ahora con su consentimiento, porque los datos son suyos, usted pueda ir al INS y tener un mínimo conjunto de datos en que fácilmente pueda tener un resumen de la atención y se vislumbra con lo que son laboratorios e imágenes” indicó Munive”.
[…]
“Le vamos a dar trazabilidad a los tratamientos, trazabilidad al paciente, pero lo más importante es que usted, dueño de sus datos, va a poder aperturar esta información para beneficio suyo” explicó la ministra de salud.
La interoperabilidad entre sistemas es una de las metas de la ruta de Transformación y Salud Digital presentada el año pasado por el Ministerio de Salud.”
Conforme lo expone la Ministra de Salud, cabe destacar tres puntos:
- La condición del consentimiento informado.
- El paciente dueñode sus datos.
- El convenio como parte de un plande “Transformación y Salud Digital”
Siendo, como lo indica la nota de prensa, que el convenio es parte del plan de “Transformación y Salud Digital”, debe considerarse que la Caja está obligada a acatar las normas establecidas por el Decreto MS-AJ-438-2023 “Declaratoria de Interés Público de la Estrategia Nacional de Salud Digital de Costa Rica ….” Este decreto dispone:
Artículo 10.- Gobernanza de datos de salud. El Ministerio de Salud en su rol de ente rector de la salud del país, asumirá la gobernanza de datos en salud del país. Pero cada institución perteneciente al sistema de salud del país que maneje datos personales y sensibles de salud será responsable de la gestión de estos, así como de velar por su seguridad, y de obtener el consentimiento informado de los usuarios, entendiendo que cada usuario del sistema de salud es el dueño de sus datos.
En consecuencia, es concluyente que cualquier acceso al EDUS, o su transferencia como base de datos, sin consentimiento, resultan violatorios a la norma impuesta por el decreto que refleja el derecho constitucional del paciente a la intimidad y al consentimiento informado. No se debe omitir que estas violaciones darán pie a eventuales acciones legales e indemnizatorias por parte de cualquier afectado. La Caja quedaría en desventaja y las resoluciones en contra deberán cargarse al patrimonio institucional, o más bien el patrimonio de los asegurados.
La Sala Constitucional y el derecho del ciudadano sobre sus datos
La Sala Constitucional en Resolución No. 2006-011257, Expediente 05-012077-0007-CO, ha dispuesto que el “derecho de autodeterminación informativa” es un derecho fundamental:
SALA CONSTITUCIONAL DE LA CORTE SUPREMA DE JUSTICIA. San José, a las nueve horas y veintitrés minutos del uno de agosto del dos mil seis.
IV.- En relación con el derecho de autodeterminación informativa. La Sala ha desarrollado los principios generales que informan esta garantía fundamental, entre otras se ha tratado el tema en la sentencia número 04847-99 de las 16 horas con 27 minutos del 22 de junio de 1999. La ampliación del ámbito protector del Derecho a la intimidad surge como una respuesta al ambiente global de fluidez informativa que se vive. Ambiente que ha puesto en entredicho las fórmulas tradicionales de protección a los datos personales, para evolucionar en atención a la necesidad de utilizar nuevas herramientas que permitan garantizar el derecho fundamental de los ciudadanos a decidir quién, cuándo, dónde y bajo qué y cuáles circunstancias tiene contacto con sus datos.
Conforme a lo expresado en el convenio, es evidente que una vez que la base de datos EDUS sea transferida al INS y/o a “terceros autorizados”, el asegurado nunca más tendrá conocimiento del destino de sus datos personales e íntimos y menos podrá decidir sobre quién, cuándo y cómo estos serán utilizados. Es decir, los derechos fundamentales a la confidencialidad y a la intimidad sufrirán daños irreparables.
Unas observaciones
Considero importante reflexionar sobre el silencio y la indiferencia en que transcurren los hechos aquí referidos ya que conforman un enorme contraste con la atención institucional y social que se dio al caso UPAD. Es grande lo que está en peligro y por ello vale recordar la frase “nadie aprecia lo que tiene hasta que lo pierde”.
También es necesario valorar que el lucro y relaciones de poder que a partir de estos datos, puedan generar “terceros” en empresas y corporaciones los pagaremos nosotros, los mismos asegurados y ciudadanos en general. Hay que descartar que los buenos propósitos del convenio por facilitar los servicios médicos no sean parte de un “caballo de Troya”.