LA PROTECCION DE LOS DATOS PERSONALES DE SALUD Y LA LEY 25.326. (*)

1.-Protección de datos personales.

El concepto de protección de datos nació como una mera contraposición a la interferencia en la vida privada de las personas facilitada por el avance tecnológico. Sin embargo, con el transcurso del tiempo, esa concepción fue evolucionando hasta llegar al momento actual en el que la doctrina internacional lo entiende como la protección jurídica de las personas en lo concerniente al tratamiento de sus datos personales, tanto en forma manual como automatizada.

Como enseña Correa (1), también ha evolucionado la concepción del derecho a la vida privada, pues ha dejado de concebirse como la libertad negativa de rechazar u oponerse al uso de la información personal para convertirse en la libertad positiva de supervisar su uso.

En consecuencia, en la actualidad, el concepto de protección de datos puede definirse como el amparo debido a los ciudadanos contra la posible utilización de sus datos personales por terceros, en forma no autorizada, para confeccionar una información que, identificable con él, afecte su entorno personal, social o profesional, en los límites de su intimidad (2), o como la protección de los derechos fundamentales y libertades de los ciudadanos contra una singular forma de agresión: el almacenamiento de datos personales y su posterior cesión (3).

Más allá de la reconocida evolución doctrinal de este concepto, es indudable que con el correr de los años la posibilidad de disponer de información sobre las personas ha ido paulatinamente en aumento. Si a ello se le suma el importante papel que las bases de datos desempeñan en la actualidad, surge con pocos cuestionamientos el derecho de las personas a protegerse frente a la intromisión de los demás.

En definitiva, como explica Murillo de la Cueva (4), el bien jurídico subyacente es la autodeterminación informativa, que consiste en el derecho que toda persona tiene a controlar la información que le concierne, sea íntima o no, para preservar de este modo y en último extremo, su identidad, dignidad y libertad.

Resumiendo, basado en la exigencia de consentimiento para que la recogida y el tratamiento de datos sean lícitos, el derecho a la autodeterminación informativa sobre el que se apoya el concepto de protección de datos personales, no sólo entraña un específico instrumento de protección de los derechos del ciudadano, sino que consagra un derecho fundamental autónomo a controlar el flujo de informaciones que conciernen a cada persona y decidir sobre su difusión y utilización por parte de terceros.

2.-La protección de los datos personales de salud.

Si bien desde los tiempos de Hipócrates la tradición médica ha garantizado el derecho del enfermo a que sus dolencias, padecimientos, secuelas y circunstancias personales no fueran reveladas por el médico encargado de atención, y aún cuando algunas normas nacionales (5) y provinciales (6) especialmente tutelen el derecho de los pacientes a que la información a ellos referida no sea difundida, la realidad indica que el derecho a la intimidad personal y a la privacidad ha sido, y aún es, el más ignorado de los derechos de los pacientes, ya sea porque los profesionales de la salud incumplen a veces el deber de no revelar los datos recabados, o porque los pacientes no exigimos que nuestros derechos sean respetados (7).

Es por ello que resulta saludable que a partir del dictado de la Ley de Protección de los Datos Personales, se revalorice este principio hipocrático no siempre recordado tanto por los pacientes como por los profesionales de la salud.

Para estudiar este particular tipo de tratamiento de datos, se analizarán en primer término los aspectos generales regulados por la Ley 25.326, y luego los aspectos más relevantes del tratamiento de datos de salud en particular.

3.-Ley 25.326.

El artículo 1º de la ley 25.326 establece que su objeto es la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, sean éstos públicos, o privados destinados a dar informes, para garantizar el derecho al honor y a la intimidad de las personas, así como también el acceso a la información que sobre las mismas se registre, de conformidad a lo establecido en el artículo 43º, párrafo tercero de la Constitución Nacional. 

La Ley entiende por datos personales a cualquier tipo de información referida a personas físicas o de existencia ideal determinadas o determinables. Por su parte considera datos sensibles a aquellos datos personales que revelen origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual. 

Como se advierte, siguiendo el criterio adoptado por la mayor parte de las leyes de protección de datos personales dictadas en el mundo y, en especial, el de su inspiradora, la Ley Orgánica Española 15/1999, por la especial sensibilidad que genera su tratamiento y la posibilidad de que a partir del mismo sus titulares pueden sufrir discriminaciones, el legislador argentino ha considerado conveniente incluir a la información referente a la salud de las personas dentro de la definición de “datos sensibles” que trae el artículo 2º de la Ley 25.326, brindándole un nivel de protección especial.

En efecto, por tratarse de “datos sensibles”, los datos relacionados con la salud se encuentran sometidos a un régimen de protección más estricto que, en líneas generales, puede resumirse de la siguiente manera:

Como principio general, el artículo 7º, inciso 3º prohibe formar de archivos, bancos o registros que almacenen información que directa o indirectamente revele datos sensibles, entre los que se encuentran, como se anticipara en el párrafo anterior, los datos de salud. Sin embargo, entiendo que por ser la intimidad un derecho renunciable, nada impide el tratamiento de datos personales, aunque se trate de datos sensibles, cuando sean recabados con el consentimiento del titular de los mismos y se respeten los principios generales de la ley. 

De allí que en el inciso 1º del artículo 7º se indique que ninguna persona puede ser obligada a proporcionar datos sensibles. 

En consecuencia, si una persona no es obligada a comunicar datos referidos a su persona, sino que lo hace voluntariamente, y el titular de la base de datos obtiene la información con su consentimiento libre, expreso, informado y por escrito, entiendo que, en principio, no existe impedimento para incluir en una base de datos información sensible de una persona, siempre y cuando se respeten todos los principios generales contemplados por la Ley.

En lo que a los datos de salud se refiere, por aplicación del artículo 7º, ninguna persona puede ser obligada a proporcionar datos personales de ese tipo. Sin embargo, la Ley permite su recolección y tratamiento cuando medien razones de interés general autorizadas por un Ley, o cuando la finalidad de su recolección y tratamiento sea estadística o científica y los titulares de los datos personales recabados no puedan ser identificados. 

Asimismo el artículo 8º establece que los establecimientos sanitarios públicos o privados y los profesionales vinculados a las ciencias de la salud pueden recolectar y tratar los datos personales relativos a la salud física o mental de los pacientes que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquéllos, respetando los principios del secreto profesional.

4.-Tratamiento de Datos Personales en el Sector de la Salud. La Historia Clínica.

El artículo 8 de la Carta de Derechos y Deberes de los pacientes del Plan de Humanización de Hospitales del INSALUD de España (8) define a la Historia Clínica como aquella información realizada por escrito de todo el proceso médico del paciente, incluyendo las pruebas realizadas en el mismo.

Si bien son variados los mecanismos a través de los cuales puede recabarse información personal de los ciudadanos referidos a la salud, lo habitual es que, al menos en lo que al ejercicio de la medicina se refiere, sea la historia clínica el instrumento en el cual se registra toda la información médica que concierne a un paciente, ya sea que el mismo sea atendido por un profesional de la salud independiente o que dicho profesional pertenezca al plantel de un establecimiento sanitario. 

La historia clínica se compone de un conjunto de registros en los que se asientan en forma detallada y ordenada las observaciones, diagnósticos y hallazgos relacionados con la salud de una persona. Estos registros constituyen la base para la toma de decisiones médicas en el tratamiento de los problemas de salud y justifican la evaluación y resultados del tratamiento aplicado (9). Su desarrollo dependerá del estado de salud del paciente y de los servicios de atención que reciba. 

Como enseña Gobato (10), para comprender el significado e importancia de la historia clínica, es necesario profundizar acerca de cuál es la utilidad que le brinda tanto a los médicos como a los pacientes. 

Para el médico y el personal de salud, la historia clínica sirve: a) como instrumento para planificar la atención de las pacientes y contribuir para que su atención sea continuada, b) como medio de comunicación entre el personal de salud que contribuye a la salud del paciente, c) como instrumento para documentar la comunicación entre el profesional responsable de la atención del paciente y todo otro profesional que contribuya a su atención (11), d) como evidencia documentada sobre el curso de la salud, enfermedad y tratamiento del paciente, e) como base para la revisión, estudio y evaluación de la calidad de atención brindada, f) como información sobre la utilización de los recursos y acciones realizadas en la prestación de la atención de salud, agilizando la atención que el paciente recibe, y contribuyendo a que sea continuada, g) como información para investigación y docencia, en especial en aquellos establecimientos que funcionan como hospitales escuela, caso en el que el establecimiento asistencial es depositario y custodio, h) como elemento de protección de los intereses legales del paciente, del establecimiento de salud, del cuerpo médico y otro personal de salud, i) como elemento de prueba de la autorización y consentimiento escrito del paciente para la realización de determinado tratamiento. 

Por su parte, para el paciente la utilidad de la historia clínica reside en los siguientes aspectos: a) es su biografía orgánica, autorizada, para un mejor conocimiento desde el punto de su salud, enfermedad y terapéutica a seguir, b) contiene un registro de sus datos personales, hechos y hallazgos sobre su salud, de su fueron más íntimo, obtenidos por el médico bajo secreto profesional, de los que es propietario intelectual, que solamente podrán ser empleados en relación médico-paciente, c) contiene información de utilidad general y legal del paciente, relativos a su integridad física y su salud mental, su sexualidad, su viabilidad, sus adicciones, su aceptación o rechazo a determinados tipos de medicamentos, sus limitaciones y minusvalías (12), d) es necesaria para certificar aptitud o ineptitud laboral, embarazo, incapacidad para fines jubilatorios, nacimiento, defunción (13), etc.

Aún cuando no existe un estandar único ni una fórmula predeterminada para confeccionar una historia clínica, por lo general se confeccionan en un solo ejemplar, que queda bajo el archivo del médico o del establecimiento sanitario, que contiene los datos de identificacion del paciente, la anamnesis (14), el informe del examen fisico, las órdenes de diagnostico y tratamiento, las observaciones clínicas, el informe sobre los procedimientos, pruebas y resultados, y la epicrisis (15).

En cuanto a la forma de instrumentarlas, si bien en la mayoría de los casos se realiza en forma escrita, incorporando datos proporcionados por el paciente e informes elaborados por los profesionales de la salud, en los últimos años, y gracias a la facilidad que brinda el avance tecnológico, algunos profesionales y establecimientos han incorporado sistemas informáticos.

Sin que parezca descabellado, Gobato (16) considera que seguramente en el futuro la forma escrita tenderá a desaparecer, reemplazándose por registros informatizados, encriptados accesibles mediante Internet, que registrarán la voz humana, pasando a ser la escrituralidad un medio secundario. Asimismo, posiblemente el almacenamiento de datos se haga en bancos personales de datos, con lo cual el registro de la historia clínica dejaría de depender del médico y de la institución sanatorial como ocurre en la actualidad, para comenzar a depender íntegramente del paciente. 

Más allá de las posibilidades futuras de registro y tratamiento de datos, de una u otra manera, la historia clínica siempre podrá encuadrarse en la definición de “archivo, registro, base o banco de datos” provista por el artículo 2º de la Ley de Protección de los Datos Personales que entiende por tales a los conjuntos organizados de datos personales objetos de tratamiento o procesamiento, electrónico o no, cualquiera que sae la modalidad de su formación, almacenamiento, organización o acceso. Y como tales, su conformación, mantenimiento y utilización deberán respetar lo establecido por dicha Ley.

5.-Principios generales de la protección de los datos personales. Especial referencia a los datos de salud.

Como todo tratamiento de datos personales regulado por la Ley, el tratamiento de datos personales de salud debe respetar los siguientes principios rectores.

a) Principio de pertinencia.

También conocido como principio de proporcionalidad y calidad de los datos, este principio exige que los datos que se recaben y almacenen en una base de datos sean pertinentes y adecuados, es decir, que esten relacionados con el fin perseguido en el momento de creación de la base de datos.

En una palabra, significa que la recolección y el tratamiento de los datos han de ser proporcionales con respecto al os fines que se persiguen, sin que en ningún caso se puedan utilizar los datos obtenidos para finalidades distintas de aquéllas para las que se hubieran recogido, esto es, la atención y cuidado del paciente.

Así lo impone el artículo 4º, inciso 1º referido a la calidad de los datos diciendo que los datos personales que se recojan a los efectos de su tratamiento deben ser ciertos, adecuados, pertinentes y no excesivos en relación al ámbito y finalidad para los que se hubieren obtenido.

El principio de pertinencia, por tanto, delimita las circunstancias personales sobre las que pueden indagar y recabar información quienes mantengan bases de datos que incluyan información personal.

De tal forma, como enseña Salom (17), este principio supone que no obstante la posible autorización del titular de los datos o la habilitación legal para someter la información a tratamiento, no se permite que puedan incluirse más datos que aquellos que sirvan o puedan servir para la consecución de la finalidad que justifica dicho tratamiento, que debió determinarse en el momento de la obtención del consentimiento, o que sirve para presumir la concurrencia de éste en los supuestos en que se establecen presunciones legales de su otorgamiento.

b) Principio de finalidad.

Este principio, que para Del Peso Navarro (18) engloba a los de pertinencia y utilización no abusiva, implica que los datos de carácter personal que sean recabados para incorporarse a una base de datos deben tratarse con un objetivo específico que debe conocerse antes de la creación de la base misma e informarse en el momento en el que la información personal es recolectada.

Varios artículos se refieren a este principio, siendo los más importantes el artículo 3º, segundo párrafo que establece que los archivos de datos no pueden tener finalidades contrarias a las leyes o a la moral pública y el artículo 6º, apartado a) que indica que cuando se recaben datos personales se deberá informar previamente a sus titulares en forma expresa y clara la finalidad para la que serán tratados.

El principio de finalidad exige que los datos se obtengan y traten de manera leal y lícita, y que su almacenamiento se realice para unos fines concretos y legítimos.

c) Principio de utilizacion no abusiva.

El articulo 4º, inciso 3º incorpora este principio diciendo que los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles con aquéllas que motivaron su obtención.

d) Principio de exactitud.

Los incisos 4º y 5º del artículo 4º establecen que los datos deben ser exactos y actualizarse en el caso de que ello fuere necesario y que los datos total o parcialmente inexactos, o que sean incompletos, deben ser suprimidos y sustituidos, o en su caso completados, por el responsable del archivo o base de datos cuando se tenga conocimiento de la inexactitud o carácter incompleto de la información de que se trate.

Así, de acuerdo a lo establecido por artículo 4º de la Ley, quien tenga a su cargo el tratamiento de datos personales de salud deberá poner los medios necesarios para comprobar la exactitud de los datos registrados y asegurar su puesta al día. 

Al exigir que los datos personales recogidos a los efectos de su tratamiento sean exactos y estén actualizados, con la correlativa obligación para el responsable del archivo, registro, banco o base de datos de suprimir, sustituir o completar aquellos datos total o parcialmente inexactos o incompletos, cabe entender también que será necesario proceder a su actualización conforme lo establecido por el artículo 16º, pues aun cuando la ley sólo alude al deber de suprimir, sustituir o completar la información de que se trate, y no al deber de actualizar, este último debe entenderse implícito ya que una información que no esté al día puede ser considerada inexacta o incompleta. Este criterio ha sido el adoptado en el primer párrafo del artículo 16º del Decreto 1558/2001 al aclarar que en las disposiciones de los artículos 16º a 22º y 28º a 43º de la Ley en que se menciona a algunos de los derechos de rectificación, actualización, supresión y confidencialidad, debe entenderse que tales normas se refieren a todos ellos.

Parece lógica la necesidad que los datos que se obtengan y se sometan a procesamiento sean exactos y estén actualizados. Máxime cuando se trata de datos relacionados con la salud de los pacientes. 

e) Principio de derecho al olvido.

Intimamente relacionado con el principio de exactitud se encuentra este principio, también conocido como principio de limitación en el tiempo (19), que implica que los datos deben desaparecer del archivo o base de datos una vez que se haya cumplido el fin para el que fueron recabados. El inciso 7º del artículo 4º de la ley recepta este principio estableciendo que los datos deben ser destruidos cuando hayan dejado de ser necesarios o pertinentes a los fines para los cuales hubiesen sido recolectados. Refuerza este principio lo establecido por el párrafo tercero del artículo 4º del Decreto 1558/2001 que al reglamentar su ejercicio indica que “el dato que hubiera perdido vigencia respecto de los fines para los que se hubiese obtenido o recolectado debe ser suprimido por el responsable o usuario sin necesidad de que lo requiera el titular de los datos”.

La Resolución 648/86 del Ministerio de Salud y Acción Social (20) prescribe que los establecimientos asistenciales privados autorizados por la Autoridad Asistencial Nacional deben conservar las historias clínicas de sus pacientes por un período de 15 años, y en los casos que la actividad de un consultorio o establecimiento asistencial privado cese, la historias clínicas correspondientes a pacientes con cobertura social deben remitirse a los respectivos entes de obra social y las de los demás pacientes a la Secretaría de Salud, facultándose a la Subsecretaría de Regulación y Control a determinar en cada caso el destino y lugar de guarda de las mismas. Idéntico plazo estableció el Decreto 4182/85 en el ámbito de la Ciudad Autónoma de Buenos Aires.

Como vemos, por regla general, los datos relacionados con la salud de los pacientes sólo deberían conservarse durante el período necesario para alcanzar el objetivo que requiera recogerlos y tratarlos. 

Sin embargo, resulta razonable que cuando la conservación de datos médicos que ya no se utilicen con la finalidad inicial resulten necesarios para el interés general, la salud pública, la ciencia médica, o por fines estadísticos, puedan conservarse, siempre que se tomen las precauciones y medidas de seguridad necesarias para garantizar que la conservación de los datos proteja la intimidad del paciente.

f) Principio de legalidad.

También conocido como principio de limitación de la recolección (21), establece que el procedimiento de recogida de datos no debe ser realizado en forma ilícita o desleal. Así lo establece el artículo 4º, inciso 2º diciendo que la recolección de datos no puede hacerse por medios desleales, fraudulentos o en forma contraria a las disposiciones de la ley.

La ausencia de mayor precisión al respecto, motivó que el reglamentador incorporara en el primer párrafo del artículo 4º del Decreto 1558/2001 una mención a los parámetros generales que deberán tenerse en cuenta para determinar la lealtad y buena fe en la obtención de los datos personales, así como el destino que a ellos se asigne. En consecuencia, los parámetros que deberán analizarse serán el procedimiento efectuado para la recolección de los datos y, en particular, el cumplimiento de lo dispuesto por el artículo 6º de la Ley en cuanto a la información que debe proporcionarse a las personas cuando se pretenda recabar información de carácter personal referida a ellas. 

g) Principio de seguridad.

Una de las cuestiones que más preocupan en el tratamiento de datos en general, y de los datos personales en particular, es el de su seguridad, tanto en el momento de su recolección como en el de su tratamiento y cesión a terceros. Es por ello que el inciso 2º del artículo 9º prohibe que se registren datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad.

El Decreto 1558/2001 que reglamentó la Ley 25.326 de Protección de los Datos Personales no estableció los niveles de seguridad que deben adoptarse en cada caso concreto. Por el contrario, su artículo 9º indica que será la Dirección Nacional de Protección de Datos Personales por él creada quien deberá “promover la cooperación entre sectores públicos y privados para la elaboración e implantación de medidas, prácticas y procedimientos que susciten la confianza en los sistemas de información, así como en sus modalidades de provisión y utilización”.

Deberá esperarse entonces que la Dirección Nacional de Protección de Datos establezca los niveles de seguridad que deberán adoptar los titulares de archivos, registros, bancos o bases de datos, de acuerdo al tipo de datos personales que sometan a tratamiento.

Seguramente, en el caso de los datos médicos y de salud, el nivel de seguridad requerido será alto por la especial protección que la Ley les brinda.

h) Principio del consentimiento. El consentimiento informado.

La exigencia de obtener el consentimiento informado del paciente no es nueva. La Disposición 5330/97, que establece el Régimen de Buenas Prácticas de Investigación Clínica, en el punto 2º del Capítulo XI dedicado a los Requerimientos Eticos de la Investigación Clínica, establece como requisito indispensable para la autorización de un ensayo clínico, la presentación de un formulario de consentimiento informado, que debe ser firmado por el paciente en presencia de por lo menos un testigo. 

Asimismo indica que el mismo sólo será válido cuando exista constancia fehaciente que el paciente ha sido informado de la confidencialidad de la información, de los objetivos, métodos, ventajas previstas, alternativas terapéuticas y posibles riesgos inherentes al estudio, así como de las incomodidades que éste pueda acarrearle, y que es libre de retirar su consentimiento de participación en cualquier momento sin explicar las causas, sin que ello le genere ningún tipo de perjuicio. 

La Ley de Protección de Datos Personales preve como regla general, que el tratamiento de datos de carácter personal requiere el consentimiento libre, expreso e informado del titular de los datos. El propósito del consentimiento requerido es el de proporcionar a la persona el derecho a elegir qué datos referidos a su persona pueden ser sujetos a tratamiento. El artículo 5º del Decreto 1558/2001 entiende en su primer párrafo que el consentimiento informado es aquél que está precedido de una explicación, al titular de los datos, en forma adecuada a su nivel social y cultural, de la información a la que se refiere el artículo 6º de la Ley.

De acuerdo a lo dispuesto por el mencionado artículo, las personas a las que se le soliciten datos de carácter personal tienen el derecho de ser previamente informadas de modo expreso, preciso e inequívoco de las siguientes circunstancias:

1) La finalidad para la que serán tratados y quiénes pueden ser sus destinatarios o clase de destinatarios;

2) La existencia del archivo, registro, banco de datos, electrónico o de cualquier otro tipo, de que se trate y la identidad y domicilio de su responsable;

3) El carácter obligatorio o facultativo de las respuestas al cuestionario que se le proponga, en especial en cuanto a los datos referidos en el artículo siguiente;

4) Las consecuencias de proporcionar los datos, de la negativa a hacerlo o de la inexactitud de los mismos;

5) La posibilidad del interesado de ejercer los derechos de acceso, rectificación y supresión de los datos.

En principio, el consentimiento debe constar por escrito. Si bien el artículo 5º de la Ley también permite que sea prestado por otro medio equiparable, el inciso 2º del Decreto 1558/2001 establece que será el órgano de control quien establecerá los requisitos para que el consentimiento pueda ser prestado por un medio distinto al escrito. 

Resulta importante destacar que una vez prestado el consentimiento, el titular de los datos puede revocarlo en cualquier momento, sin que se le puedan atribuir efectos retroactivos.

El inciso 2º del artículo 5º de la Ley enumera la excepciones al requerido consentimiento del titular de los datos para el tratamiento de sus datos personales. Los supuestos allí mencionados que resultan de interés a los fines de este trabajo son los siguientes:

1) Cuando los datos se obtengan de fuentes de acceso público irrestricto;

2) Cuando se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal;

3) Cuando se trate de listados cuyos datos se limiten a nombre, documento nacional de identidad, identificación tributaria o previsional, ocupación, fecha de nacimiento y domicilio;

4) Cuando deriven de una relación contractual, científica o profesional del titular de los datos, y resulten necesarios para su desarrollo o cumplimiento;

La exigencia del consentimiento previo también sufre excepciones en el caso de cesión a terceros. En efecto, además de las excepciones previstas en general por el inciso 2º del artículo 5º, el inciso 3º del artículo 11º establece que no debe exigirse el consentimiento cuando:

1) Así lo disponga una ley;

2) La cesión se realice entre dependencias de los órganos del Estado en forma directa, en la medida del cumplimiento de sus respectivas competencias;

3) Se trate de datos personales relativos a la salud, y sea necesario por razones de salud pública, de emergencia o para la realización de estudios epidemiológicos, en tanto se preserve la identidad de los titulares de los datos mediante mecanismos de disociación adecuados.

4) Se hubiera aplicado un procedimiento de disociación de la información, de modo que los titulares de los datos sean inidentificables. A tal fin, y de acuerdo a lo que establece el párrafo cuarto del artículo 11º del Decreto 1558/2001, la Dirección Nacional de Protección de Datos Personales deberá fijar los estándares de seguridad aplicables a los mecanismos de disociación de datos.

6. Derechos de los titulares de datos personales. Derechos del paciente.

Como enseña Cifuentes (22), multiplicadas son las facultades de la persona para reaccionar frente al manejo y apropiación del derecho a los datos personales. Por la importancia y la trascendencia que tienen como instrumentos para proteger la intimidad de las personas, es necesario estudiarlos separadamente, con la incidencia que la ley tiene en el reconocimiento de cada uno de ellos en particular. 

a) Derecho de oposición.

Este derecho permite al titular de los datos personales negarse a facilitar un dato de carácter personal en el caso de que no sea obligatorio hacerlo. Si bien no cuenta con un apartado especial como el resto de los derechos, la posibilidad de ejercerlo se desprende del texto del inciso 1º del artículo 7º que expresamente reza que ninguna persona puede ser obligada a proporcionar datos sensibles. 

b) Derecho de información.

Este derecho, presupuesto de los restantes, se convierte en el derecho básico del afectado para poder ejercitar, con ciertas garantías, los controles que la ley articula en los diversos momentos del tratamiento de datos.

Tal como fuera mencionado el punto 5 h), por aplicación del principio del consentimiento, las personas a las que se le soliciten datos de carácter personal tienen derecho a ser informadas de modo expreso, preciso e inequívoco, previamente a la recogida de datos, de una serie de cuestiones que le permitan decidir si aceptan que sus datos personales sean recogidos o no.

Esta información deberá aparecer en los todos los formularios que se utilicen para recoger datos de carácter personal, y cuando la recolección se realice verbalmente, el titular de los datos deberá ser informado previamente. 

En lo que al tratamiento de datos de salud se refiere, los pacientes deben ser informados de las siguientes cuestiones:

1)  Existencia de un archivo que contiene sus datos de salud, tipo y categoría de datos recogidos o que se recogerán.

2) Finalidad de la incorporación de los datos en dicho archivo, que no es otra que la de su atención médica.

3) Personas u organismos a los cuales podrán comunicarse los datos, y motivos de dicha posible comunicación.

4) Posibilidad del paciente de no dar su consentimiento o retirarlo, y consecuencias de dicho proceder.

5) Identidad del responsable del archivo y forma de ejercer los derechos reconocidos por la Ley. 

c) Derecho de acceso.

El derecho de acceso reconocido por el artículo 14º se complementa con la obligación que el inciso 6º del artículo 4º le impone a los responsables de las bases de datos de almacenar los datos de modo que permitan el ejercicio del derecho de acceso de su titular y permite que cualquier persona pueda conocer no sólo si sus datos personales figuran en una base de datos, sino también cuáles son. Sólo si los datos se almacenan de tal forma, el titular de los datos personales registrados en un archivo o base de datos podrá ejercer el derecho de acceso reconocido por el artículo 14º. 

Entendido como la garantía de comprobación de que las informaciones que versan sobre las personas son veraces, actualizadas y delimitadas al fin para el cual fueron registradas, este derecho es la médula de lo que comunmente se conoce como habeas data o habeas scriptum. 

Tomando como fuente de inspiración lo que señala el artículo 8.b) del Convenio 108 del Consejo de Europa (23) puede decirse que el derecho de acceso no es más que el derecho que tienen los ciudadanos a obtener en intervalos razonables y sin demoras o gastos excesivos la confirmación de la existencia o inexistencia de información relativa a su persona en una base de datos, así como la comunicación de tales datos en forma inteligible. 

Heredero Higueras (24) enseña que incluso antes de que se promulgaran las primeras leyes sobre Protección de Datos, este derecho habia sido bautizado como habeas data, por considerarlo una modalidad de acción exhibitoria análoga a la del hábeas corpus. Así lo entendieron la doctrina y jurisprudencia argentinas, aunque con mayor alcance que el mero acceso (25).

Del juego armónico de los artículos 14º y 15º de la ley, este derecho puede ser ejercido en forma gratuita y a intervalos no inferiores a seis meses por todos aquellos titulares de datos que acrediten previamente su identidad ante los responsables de los bancos de datos públicos, o privados destinados a proveer informes. Si el titular de los datos acredita un interés legítimo puede ejercer el derecho a intervalos menores. 

De acuerdo a lo establecido por el artículo 14º del Decreto 1558/2001, siempre que se garantice la identificación del titular o, en caso de personas fallecidas, el vínculo correspondiente con la presentación de la declaratoria de herederos, la solicitud de información no requiere de fórmulas específicas y puede efectuarse de manera directa, presentándose el interesado ante el responsable o usuario del archivo, registro, base o banco de datos, o de manera indirecta, a través de una intimación fehaciente por medio escrito que deje constancia de su recepción.

El acceso podrá consistir en la mera consulta de los archivos por medio de la visualización, o en la indicación de los datos objeto de tratamiento por escrito, por medios electrónicos, telefónicos, de imagen u otro idóneo a tal fin y, de acuerdo a lo establecido por el Decreto reglamentario, permitirá que el titular de los datos:

1) Conozca si se encuentra o no en el archivo, registro, base o banco de datos.

2) Conozca todos los datos relativos a su persona que consten en el archivo.

3) Solicite información sobre las fuentes y los medios a través de los cuales se obtuvieron sus datos.

4) Solicite las finalidades para las que sus datos fueron recabados.

5) Conozca el destino previsto para sus datos.

6) Sepa si el archivo se encuentra registrado en el registro habilitado por la Dirección Nacional de Protección de Datos Personales.

Ante el requerimiento del interesado y su opción en cuanto al medio preferido para conocer la respuesta, el responsable o usuario del banco de datos deberá proporcionar la información solicitada dentro de los diez días corridos de haber sido intimado fehacientemente.

Vencido el plazo sin que se satisfaga el pedido, o si evacuado el informe, éste se estimara insuficiente, el titular de los datos tendrá expedita la acción de protección de los datos personales o de hábeas data prevista en el Capítulo VII de la Ley y denunciar el hecho ante la Dirección Nacional de Protección de Datos Personales.

Resulta claro que todas las personas tienen derecho a tomar conocimiento de los datos médicos a ellas referidos, ya sea directamente o a través de un profesional de la salud, siendo obligatorio que la información sea proporcionada en forma comprensible.

Sin embargo, dicho derecho podrá ser negado o limitado por el titular del archivo cuando una ley así lo establezca, en caso que sea necesario para proteger la seguridad pública, si el conocimiento de la información pudiera originar un grave atentado contra la salud de la persona interesada, o si la información sobre el paciente permitiera dar a conocer al mismo tiempo datos relativos a terceros o, en lo referente a datos genéticos, si tales informaciones son susceptibles de originar un grave atentado contra los parientes consanguíneos o uterinos o contra una persona directamente vinculada con esta línea genética.

d) Derecho de rectificación, cancelación o supresión.

Como correlato lógico a los principios de finalidad, pertinencia y exactitud que en forma de deberes la ley impone a los responsables de los archivos o bases de datos que contengan datos de carácter personal, surgen los derechos autónomos que el artículo 16º reconoce a los titulares de los datos personales para exigir que cuando los mismos sean inexactos o incompletos, sean rectificados o actualizados, y cuando corresponda, suprimidos o sometidos a confidencialidad. 

El derecho de cancelación permite eliminar del archivo o base de datos a aquellos datos personales que, por diversas circunstancias, no deben figurar en el mismo. Es importante poner de manifiesto que el término "cancelación" debe ser entendido en forma amplia como la acción tendiente a hacer irreconocibles los datos archivados, ya sea anulando, destruyendo, borrando, tornando ilegibles o declarando su nulidad. La metodología empleada diferirá de acuerdo a las circunstancias. Demás está decir que existen casos en los que, por cuestiones de interés público, será imposible eliminar completamente una información. Prueba de ello es la excepción a la destrucción física de los datos que la ley contempla en diversos artículos al referirse al mecanismo de bloqueo de datos. 

De la misma manera que ocurre con el derecho de acceso, el artículo 19º establece que la rectificación, actualización o supresión de datos personales inexactos o incompletos que obren en registros públicos o privados se efectuará sin cargo alguno para el interesado.

En el caso de datos personales de salud, aunque existe el derecho de cancelar por parte del titular de los datos, este derecho se encuentra limitado en aquellos supuestos en los que exista un deber de conservación de los datos. 

Además, si bien a petición de la persona interesada, sus datos médicos deberían ser eliminados, ello puede evitarse si hubieran sido convertidos en anónimos o en el caso de que existan intereses superiores o legítimos u obligaciones de archivo que se opongan a ello.

6. Deberes y obligaciones de los usuarios y responsables de bases de datos que contengan datos relacionados con la salud de las personas. 

Además de los derechos de defensa legalmente reconocidos a los titulares de los datos de carácter personal, la ley prevee una serie de garantías específicas tendientes a asegurar su respeto, cuyo incumplimiento podrá ser penado con las sanciones previstas en el capítulo VI o desatar los mecanismos de tutela previstos en el capitulo VII. Estas garantías constituyen otros tantos deberes que pesan sobre la persona del responsable del archivo o base de datos, entre los que se destacan los siguientes:

a) Deber de Secreto. El Secreto Médico.

Definido por el artículo 10º como "deber de confidencialidad", el deber de secreto obliga al responsable y a las personas que intervengan en cualquier fase del tratamiento de datos personales a respetar el secreto profesional respecto de los mismos, exigencia que deberá subsistir aun después de finalizada la relación con el titular del archivo de datos. El inciso 2º del mencionado artículo releva el deber de secreto en caso de resolución judicial o cuando medien razones fundadas relativas a la seguridad pública, la defensa nacional o la salud pública.

El deber de secreto profesional responde a la finalidad de evitar que la información salga del círculo de personas a quienes está destinada, habida cuenta que sobre los archivos o bases de datos pesa una presunción de secreto. 

Desde antiguo la Medicina ha generado sus propios códigos de conducta adoptando un conjunto de normas éticas que universalmente han prevalecido y han regido, en mayor o menor medida, en la profesión. 

La mayoría tienen su origen o provienen de la primera formulación escrita en forma de código contenida en el juramento hipocrático que establece que: “El médico ha de guardar secreto de todo aquello que le hayan confiado, haya visto o deducido en el ejercicio de su profesión”. Sin lugar a dudas, y aunque en la actualidad gran parte del juramento hipocrático haya quedado desactualizado, ésta ha sido a lo largo de la historia de la Medicina la forma de preservar la intimidad del paciente sobre todo aquello que éste hubiera confiado al médico con motivo de su actuación (26).

En nuestro sistema, el deber deontológico y bioético del secreto médico ha sido receptado, entre otros, por los artículos 66º a 76º del Código de Etica Medica de la Confederación Medica Argentina del año 1955.

Siguiendo a Canals Miret y Buisán Espeleta (27), puede definirse como la obligación o deber del médico de no divulgar todo aquello que ha conocido por razón del ejercicio de su profesión, excepto en aquellos casos en que la no revelación suponga un perjuicio para terceras personas. De allí que comprenda no sólo aquello que el paciente le confía y cuenta, sino, además, todo aquello que el médico ve, descubre y deduce por el ejercicio de su profesión.

El artículo 66º de la Ley 17.132 de Ejercicio de la Medicina enseña que el secreto profesional es un deber que nace de la esencia misma de la profesión, y que el mismo es exigido por el interés público, la seguridad de los enfermos, la honra de las familias, la respetabilidad del profesional y la dignidad del arte. Es por ello que los profesionales del arte de curar tienen el deber de conservar como secreto y no divulgar todo cuanto vean, oigan o descubran en el ejercicio de la profesional. 

Dado que el secreto médico redunda en la preservación de la intimidad de sus pacientes, parece lógico afirmar que no corresponde al médico juzgar aquello que su paciente considera íntimo, ni lo que éste haga con dicha intimidad. Por tanto, no corresponde al médico calificar si una cosa es o no importante para poder decidir si puede o no ser divulgada.

El artículo 67º del mencionado cuerpo legal considera al secreto profesional como una obligación, considerando un delito (28), su revelación sin justa causa, causando o pudiendo causar daño a terceros.

Como excepciones al deber de secreto que deben respetar los profesionales de la medicina, el artículo 69º de la Ley mencionada establece las siguientes: 

a) Cuando actuen como peritos de una compañía de seguros, rindiendo informes sobre la salud de los candidatos derivados para su examen. En tal caso, el informe debe ser enviado en sobre cerrado al médico jefe de la compañía, quien a su vez tiene el deber de mantener en secrreto la información recibida. 

b) Cuando sean comisionados por una autoridad competente para reconocer el estado físico o mental de una persona. 

c) Cuando sean designados para practicar autopsias o pericias médico-legales de cualquier género, así en lo civil como en lo criminal. 

d) Cuando actuen en carácter de médico de sanidad nacional, militar, provincial o municipal. 

e) Cuando en su calidad de médicos tratantes hagan la declaración de enfermedades infectocontagiosas, ante la autoridad sanitaria y cuando expidan certificado de defunción.

f) Cuando se trate de denuncias destinadas a evitar que se cometa un error judicial.

g) Cuando se encuentren acusados o demandados bajo la imputación de un daño culposo en el ejercicio de su profesión.

h) Cuando sean citados ante un tribunal como testigos para declarar sobre hechos que han conocido en el ejercicio de su profesión (29) En estos casos el médico debe comportarse con mesura, limitándose a responder lo necesario, sin incurrir en excesos verbales. 

Finalmente, puede mencionarse el supuesto previsto por el artículo 75º de la mencionada Ley que permite que el médico comparta su secreto con cualquier otro colega que intervenga en el caso, quien, obviamente, estará obligado a mantener el secreto profesional. 

Como explican Ramon Canals Miret y Lydia Buisán Espeleta (30), la medicina en equipo obliga a que los secretos confiados por el paciente a su médico lleguen al conocimiento a veces de un indeterminado número de personas. Generalmente dicha posibilidad se cumple cuando la recopilación de datos de salud de un paciente se efectua en un establecimiento de salud, pues en esos casos suele intervenir, además del médico, personal administrativo, auxiliares de enfermería, asistentes, personal de limpieza, personal de mantenimiento, camilleros, etc., que pueden acceder por descuido o negligencia de los responsables sanitarios a los datos personales de cualquier historia clínica.

Así, pues, todo lo relativo a la información de datos personales de los enfermos que acuden a los hospitales o a los centros de salud ha de ser objeto de un total sigilo profesional por parte de todas aquellas personas que, rebasando ya a la estricta clase médica, tengan acceso a dicha información. En tales circunstancias, el secreto se convierte en secreto compartido por todos los integrantes del equipo y por colaboradores que muchas veces ni siquiera llegan a tener contacto directo con el titular del secreto. En última instancia, será el Director Médico del establecimiento quien responderá de la preservación del secreto profesional del personal que él dirige. 

b) Deber de Inscripción

Al tiempo del dictado de la Ley de Protección de Datos Personales existían dudas respecto al significado que debía dársele a la expresión "privados destinados a dar informes" y a la posibilidad de que a partir de su vaguedad, una gran cantidad de registros de datos pudieran quedar excluidos del régimen creado, o al menos de una buena parte de sus disposiciones. De allí que en un primer momento, lo único que resultaba claro era que el régimen establecido no se aplicaba a las fuentes de información periodística, ni a las bases de datos que registren datos anónimos o información de dominio público. 

Además de requerir precisiones respecto a los conceptos de bases de datos públicas y de bases de datos privadas destinadas a dar informes, otro concepto estrechamente ligado a los mencionados que necesitaba ser definido es el contemplado por el artículo 24º, referido a los “archivos, registros o bancos de datos formados por los particulares para un uso exclusivamente personal” (31).

Al redactar el artículo 43º de la Constitución, el constituyente advirtió la existencia de dos tipos de registros, archivos o bancos de datos: los públicos y los privados. En esta última categoría optó por limitar el derecho a ejercer la acción de amparo sólo a los bancos de datos privados cuya finalidad fuera la de proveer informes. Ello, en el entendimiento de que ampliando el ámbito de aplicación, en los casos de bancos de datos privados, se invadiría la esfera propia de la intimidad de los particulares o de las organizaciones civiles que desearan estructurar un "archivo personal" para su exclusivo uso, sin que nadie tuviera derecho sobre los datos allí contenidos. De tal forma, sólo en la medida en que las informaciones obrantes en los registros o bancos privados adquieren la finalidad de informar a terceros, nacería el derecho de los titulares de los datos en ellos registrados de acceder a la información a ellos referida.

En la Convención Constituyente, el despacho de la Comisión de Nuevos Derechos no hacía referencia a que los bancos privados deberían estar destinados a proveer informes. El agregado resultó de una propuesta de la convencional Adelina de Viola para evitar afectar a todos aquellos registros que no fueran utilizados para prestar servicios, sino como recopilación de documentos, como el caso de los archivos científicos o periodísticos.

En el debate producido en la asamblea, el convencional Cullen mocionó por agregar, después de las palabras "proveer informes", la expresión "de uso público" con el fin de evitar que a través de esta acción pudiera existir algún riesgo para el secreto profesional. No obstante ello, la moción no fue aceptada.

Más allá del texto constitucional, poco a poco fue abriéndose camino por vía jurisprudencial el criterio de incluir en el ámbito de la legitimación pasiva a las entidades privadas que posean archivos, registros o bancos de datos aunque no tengan como fin suministrar informes a terceros, sujeto a la condición de que quienes pretendieran acceder a la información recopilada demostraran tener interés legítimo para hacerlo.

Aún cuando de la lectura del artículo 1º de la Ley surja como necesaria la finalidad específica de proveer informes para que un registro de datos sea alcanzado por sus disposiciones, resulta claro que la finalidad de todo registro de datos es la de ser utilizado, y que sus titulares son potenciales suministradores de información a terceros. Y como manifestara en párrafos anteriores, es allí cuando nace derecho de los titulares de los datos a ejercer el debido control sobre la información a ellos referida. ¿Qué sucedería entonces con la información registrada en archivos, registros o bancos de datos particulares que no tienen una finalidad informativa pero que luego se difunde?.

Es aquí entonces cuando resulta necesario desentrañar cuál ha sido la intención del legislador al redactar el artículo 24º de la Ley. A falta de antecedentes parlamentarios que allanen el camino, queda interpretar la intención del legislador a la luz del frío texto legal. 

El artículo 24º de la Ley puntualiza: "Los particulares que formen archivos, registros o bancos de datos que no sean para un uso exclusivamente personal deberán registrarse conforme lo previsto en el artículo 21º"

Tal como surge del artículo en cuestión, sólo están exentos del deber de registro los archivos, registros o bancos de datos formados por los particulares para un uso exclusivamente personal, concepto éste que no ha sido incluido entre las definiciones que trae el artículo 2º. Deberemos también intentar determinar qué tipo de archivos, registros o bancos de datos ha tenido en mente el legislador al redactar este artículo.

Evidentemente, que los archivos, registros o bancos de datos privados que no tengan como finalidad brindar informes no hayan sido incluidos en los artículos 1º de la Ley y 43 de la Constitución, no significa que estén exentos de respetar los principios de finalidad, pertinencia, utilización no abusiva, exactitud, legalidad, publicidad, seguridad, control, consentimiento y defensa de los datos sensibles.

En efecto, existen numerosos archivos, registros o bancos privados que no tienen como finalidad suministrar informes a terceros, pero que recolectan información personal que puede resultar discriminatoria en perjuicio de sus titulares. Entre ellos, los que recopilan información relacionada con la salud de los pacientes.

Y no puede admitirse que los derechos de las personas sean vulnerados por el sólo hecho de estar sus datos personales registrados en un archivo, registro o banco de datos que no está destinado a dar informes.

Es por eso que, siguiendo esta línea de pensamiento, el deber de registro que exige el artículo 24º tiene como fin evitar que existan archivos, registros o bancos de datos que incumplan los principios básicos de la protección de datos mencionados en el párrafo anterior, estén destinados a proveer informes o no. 

Determinar cuando un registro, archivo o banco de datos está destinado a brindar informes o no, será tarea de la Dirección Nacional de Protección de Datos Personales, en la oportunidad en la que sus responsables procedan a inscribirlos en el registro que a tal efecto se habilite.

De acuerdo al artículo 21º, cuando el responsable de un archivo, registro o banco de datos proceda a registrarlo, deberá informar una serie de datos, a saber: nombre y domicilio del responsable; características y finalidad del archivo; naturaleza de los datos personales contenidos en cada archivo; forma de recolección y actualización de datos;  destino de los datos y personas físicas o de existencia ideal a las que pueden ser transmitidos; modo de interrelacionar la información registrada; medios utilizados para garantizar la seguridad de los datos, debiendo detallar la categoría de personas con acceso al tratamiento de la información; tiempo de conservación de los datos; y forma y condiciones en que las personas pueden acceder a los datos referidos a ellas y los procedimientos a realizar para la rectificación o actualización de los datos. Estos datos deberán ser ciertos y estar sujetos a las inspecciones que en su momento pueda realizar la Dirección Nacional de Protección de Datos Personales.

Dicho artículo establece además que ningún usuario de datos podrá poseer datos personales de naturaleza distinta a los declarados en el registro. De alli que, cuando el responsable de un registro, archivo o banco de datos privado no destinado a proveer informes decida comenzar a proveerlos, deberá informar al Registro que ha modificado su finalidad y, a partir de ese momento, será susceptible de recibir no sólo solicitudes de acceso, rectificacion, actualización, cancelación y supresión por parte de las personas interesadas, sino también de ser sujeto pasivo de la acción de proteccion de datos personales regulada en el Capítulo VII de la Ley.

Refuerza esta interpretación amplia respecto del alcance de lo establecido por el artículo 24º, el análisis del contenido del artículo 13º, referido al derecho de información de los titulares de datos. Allí el legislador ha establecido que “toda persona puede solicitar información al organismo de control (la Dirección Nacional de Protección de Datos Personales) relativa a la existencia de archivos, registros, bases o banco de datos personales, sus finalidades y la identidad de los sus responsables”, siendo dicho registro de consulta pública y gratuita. 

Nótese que la información puede versar sobre la existencia de cualquier tipo de archivo, registro o banco de datos, y no sólo respecto a aquellos taxativamente mencionados por el artículo 1º, razón por la cual entiendo que no existen motivos para eximir del deber de registro a los archivos, registros o bancos de datos privados que no estén destinados a proveer informes y no sean de uso exclusivamente personal.

Todas los restantes registros, archivos o bancos de datos privados, excepto aquellos que han sido formados por particulares para su exclusivo uso personal, están alcanzados por las diversas disposiciones de la Ley y deben cumplir con el deber de respeto a los principios generales de protección de los datos personales. 

En consecuencia, y por aplicación del artículo 24º, además de los enumerados en el artículo 1º, deben inscribirse en el Registro que a tal efecto habilite la Dirección Nacional de Protección de Datos Personales, todos aquellos registros, archivos o bases de datos que no tengan fines exclusivamente personales, estén destinados o no a proveer informes a terceros. 

Si bien entiendo que era esta la interpretación correcta del texto legal, no es menos cierto que se imponía una aclaración que evitara malentendidos. Fue así que el Poder Ejecutivo decidió poner fin a la incertidumbre generada por la Ley estableciendo en el artículo 1º del Decreto 1558/2001 que “quedan comprendidos en el concepto de archivos, registros, bases o bancos de datos privados destinados a dar informes, aquellos que exceden el uso exclusivamente personal y los que tienen como finalidad la cesión o transferencia de datos personales, independientemente de que la circulación del informe o la información producida sea a título oneroso o gratuito”.

No cabe dudas que hubiera sido conveniente aclarar también el significado que debe dársele a la expresión “uso exclusivamente personal”. A falta de ello, y siguiendo a Heredero Higueras[32], entiendo que se refiere a las bases de datos mantenidas por las personas físicas con fines exclusivamente particulares, como el caso de las agendas personales o las listas de teléfonos y direcciones, cuya inclusión supondría una clara intromisión ilegítima en la intimidad de las personas.

Va de suyo entonces, que todos aquellos archivos, registros, bancos o bases de datos personales que contengan información personal relacionada con la salud deberán inscribirse en el mencionado Registro, informando, como mínimo la siguiente información:

1) Nombre y domicilio del responsable;

2) Características y finalidad del archivo;

3) Naturaleza de los datos personales contenidos en cada archivo;

4) Forma de recolección y actualización de datos;

5) Destino de los datos y personas físicas o de existencia ideal a las que pueden ser transmitidos;

6) Modo de interrelacionar la información registrada;

7) Medios utilizados para garantizar la seguridad de los datos, debiendo detallar la categoría de personas con acceso al tratamiento de la información;

8) Tiempo de conservación de los datos;

9) Forma y condiciones en que las personas pueden acceder a los datos referidos a ellas y los procedimientos a realizar para la rectificación o actualización de los datos.

c) Deber de Informacion

Contracara del derecho de información analizado en el punto 6 b), la Ley 25.326 exige que cuando se recolecten datos de carácter personal que requieran el consentimiento de sus titulares, el responsable del tratamiento ponga a disposición de los mismos una serie de informaciones que le permitan decidir en forma libre la conveniencia de proporcionar datos referidos a su persona. Dicha información deberá indicar qué se va a hacer con los datos, quienes serán los destinatarios de la información, así como la identidad y dirección del responsable del archivo o base de datos. 

Este deber se pone de manifiesto nuevamente en el artículo 11º dedicado a la cesión de datos, cuyo inciso 1º exige que el titular de los datos sea informado sobre la finalidad de la cesión, la identidad del cesionario y los elementos que permiten realizar dicha cesión. 

d) Deber de Seguridad

El responsable del tratamiento debe adoptar medidas técnicas y organizativas adecuadas a los riesgos que presenta el tratamiento. Así lo establece el artículo 9º, inciso 1º de la Ley cuando al referirse a la seguridad de los datos señala que el responsable o usuario del archivo de datos debe adoptar las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad y confidencialidad de los datos personales, de modo de evitar su adulteración, pérdida, consulta o tratamiento no autorizado, y que permitan detectar desviaciones, intencionales o no, de información, ya sea que los riesgos provengan de la acción humana o del medio técnico utilizado. Además, en su inciso 2º prohibe registrar datos personales en archivos, registros o bancos que no reúnan condiciones técnicas de integridad y seguridad.

Más allá que como adelantara al hacer referencia al principio de seguridad, los titulares de los archivos, registros, bancos o bases de datos, entre ellos los que contengan información relacionada con la salud, deberán aguardar que la Dirección Nacional de Protección de Datos Personales establezca las medidas de seguridad que deberán garantizar, dependiendo del tipo de datos personales que sometan a tratamiento, va de suyo que por su especiales características, los profesionales de la salud y los establecimientos sanitarios debe tomar medidas técnicas y de organización adecuadas que protejan los datos suministrados por sus pacientes evitando no sólo su destrucción, alteración o pérdida accidental, sino también su lectura, copia, modificación o eliminación por personas no autorizadas.

Estas medidas deberán garantizar un nivel de seguridad apropiado, habida cuenta, por una parte, de las condiciones técnicas y, por otra parte, de la sensible naturaleza de los datos médicos y de la evaluación de riesgos potenciales.

En el caso de los profesionales de la salud que ejercen su profesión de forma independiente, el deber recaerá sobre su persona. Por su parte, en el caso de los establecimientos asistenciales, y de acuerdo a lo establecido por el artículo 40º, inciso m) del Decreto 6.216/67, dicha obligación recaeráa sobre su Director (33)

e) Deber de velar por la calidad de los datos.

Este deber consiste en el necesario respeto por parte del responsable y los usuarios de los archivos o bases de datos, de las reglas establecidas para la recogida, tratamiento, uso, conservación, almacenamiento y cesión de datos, conjugadas con los principios generales de protección de datos. De esta forma, la calidad estará medida de acuerdo a los parámetros de la pertinencia, proporcionalidad, lealtad, congruencia, exactitud y accesibilidad por parte del titular de los datos.

f) Deber de dar acceso a los datos.

El deber de dar acceso a los datos que la ley coloca en cabeza del responsable de la base de datos en el artículo 14º, se apoya en el deber previo impuesto por el inciso 6º del artículo 4º que exige que los responsables de las bases de datos almacenen la información de forma tal que el ejercicio del derecho de acceso de su titular esté garantizado. 

En virtud a lo establecido por el artículo 15º, el responsable de la base de datos debe suministrar información amplia sobre la totalidad del registro perteneciente al titular de los datos personales. Además, el deber se complementa con la obligación de que el informe sea claro, exento de codificaciones y, en caso de ser necesario, que se entregue acompañado de una explicación escrita en lenguaje accesible al conocimiento medio de la población.

Si bien el inciso 3º del artículo 15º de la Ley establece que la información podrá suministrarse por escrito, por medios electrónicos, telefónicos, de imagen u otro medio idóneo a tal fin, a opción del titular, el artículo 15º del Decreto 1558/2001 aclara que a los efectos de responder el requerimiento formulado por el titular de los datos, podrán ofrecerse los siguientes medios alternativos de información:

1) Visualización en pantalla.

2) Informe escrito entregado en el domicilio del requerido.

3) Informe escrito remitido al domicilio denunciado por el requirente.

4) Transmisión electrónica de la respuesta, siempre que esté garantizada la identidad del interesado y la confidencialidad, integridad y recepción de la información (34).

5) Cualquier otro procedimiento que sea adecuado a la configuración e implantación material del archivo, registro, base o banco de datos, ofrecido por el responsable o usuario al mismo.

Este deber de dar acceso a los datos cuenta con una clara excepción en el texto del articulo 17º, inciso 2º, que permite que los responsables o usuarios de bancos de datos públicos puedan denegar, mediante resolución fundada, la información solicitada por los titulares de datos de carácter personal, cuando por intermedio de ello se pudieran obstaculizar actuaciones judiciales o administrativas en curso vinculadas a la investigación sobre el cumplimiento de obligaciones tributarias o previsionales, el desarrollo de funciones de control de la salud y del medio ambiente, la investigación de delitos penales y la verificación de infracciones administrativas. 

g) Deber de rectificación, cancelación y supresión.

De acuerdo a lo que establece el artículo 16º, luego de recibir un reclamo efectuado por una persona cuyos datos personales se encuentren registrados en un archivo o banco de datos, o al advertir el error o falsedad en la información, el responsable o usuario del mismo debe proceder a la rectificación, supresión o actualización de la información registrada dentro de un plazo máximo de cinco días hábiles. El incumplimiento de esta obligación habilita al titular de los datos a promover sin más la acción de protección de los datos personales o de hábeas data prevista en la ley.

Evidentemente, como explica Salom (35), este deber es la consecuencia lógica del principio de pertinencia, pues si sólo pueden tratarse los datos que sean adecuados a la finalidad que lo justifica, aquellos que hayan dejado de serlo, por los motivos que fuere, no pueden seguir siendo objeto de tratamiento.

Cabe destacar que el deber establecido es este artículo cuenta con varias excepciones, ya que de acuerdo a lo que establece el inciso 5º del artículo 16º, la supresión no procede cuando pudiese causar perjuicios a derechos o intereses legítimos de terceros, o cuando existiera una obligación legal de conservar los datos.

Asimismo, el artículo 17º indica que los responsables o usuarios de bancos de datos públicos pueden, mediante decisión fundada, denegar el acceso, rectificación o la supresión en función de la protección de la defensa de la Nación, del orden y la seguridad públicos, o de la protección de los derechos e intereses de terceros.

h) Deber de bloqueo.

Al tratar el derecho de rectificación, actualización o supresión, el inciso 6º del artículo 16º, exige que durante el proceso de verificación y rectificación del error o falsedad de la información que se trate, el responsable o usuario del banco de datos proceda a bloquear el archivo, o consignar, al proveer información relativa al mismo, la circunstancia de que se encuentra sometida a revisión.

i) Deber de controlar la cesión de datos a terceros.

El deber de controlar la cesión a terceros de los datos, consagrado en el art 11º, constituye el requisito último y fundamental de la pretensión legal de preservar la intimidad de los datos incorporados en archivos o bases de datos. 

La regla general parte de la imposibilidad de ceder tales datos. Las excepciones, previstas en el inciso 1º, requieren la concurrencia de un triple requisito: 

1) El consentimiento del afectado, salvo supuestos específicamente contemplados en el inciso 3º.

2) Que la cesión constituya un requisito para el cumplimiento de los fines directamente relacionados con las funciones legítimas del cedente y del cesionario.

3) Que la cesión le sea informada al titular de los datos, indicándose además la finalidad de la cesión, la identidad del cesionario y los elementos que permitan hacerlo.

Frente al principio general que exige el previo consentimiento del afectado para poder ceder a un tercero los datos de carácter personal que hayan sido objeto de tratamiento, el art. 11º de la Ley establece que el consentimiento no será preciso cuando se trate de datos personales relativos a la salud y la cesión sea necesaria por razones de salud pública, de emergencia o para la realización de estudios epidemiológicos, en tanto se preserve la identidad de los titulares de los datos mediante mecanismos de disociación adecuados, esto es, de forma tal que la información obtenida no pueda ser asociada con una persona determinada o determinable.

Por su parte, frente al principio general que prohibe la transferencia internacional de datos a terceros países que no proporcionen niveles de protección adecuados, el inciso 12º, inciso 2º, apartado b) establece que la prohibición no rige cuando se transfieran datos de carácter médico requeridos para el tratamiento de su titular o por una investigación epidemiológica, en tanto se hubiera aplicado un procedimiento de disociación de la información de modo que los titulares de los datos sean inidentificables.

Asimismo, el artículo 27º, cuarto párrafo, del Decreto 1558/2001 referido a la realización de ofertas de bienes y servicios, establece que los datos vinculados a la salud sólo podrán transferirse a terceros si quien pretende cederlos obtiene previamente el consentimiento expreso e informado del titular de los datos. A dicho fin, este último debe recibir una noticia clara del carácter sensible de los datos que proporciona y de que no está obligado a suministrarlos, junto con la información de los artículos 6º y 11º, inciso 1º, de la Ley Nº 25.326 y la mención de su derecho a solicitar el retiro de la base de datos.

Cabe destacar a esta altura del relato, que las excepciones mediantes las cuales la Ley 25.326 de Protección de los Datos Personales flexibiliza el principio general que prohibe la cesión de datos a terceros sin el consentimiento de su titular, no son las únicas en lo que a los datos de salud se refiere. 

En efecto, Ley 17.132 de Ejercicio de la Medicina, Odontología y Actividades de Colaboración en su artículo 74º expresamente permite que el profesional de la salud suministre informes respecto al diagnóstico, pronóstico o tratamiento de un paciente a los allegados más inmediatos del mismo, pudiendo proceder de otra forma únicamente con la autorización expresa del paciente. Ello, como indican Blanco y Wainer[36] forma parte del rol asistencial que cumple el médico, frente al paciente, sus familiares y la sociedad toda de informar sobre el estado del paciente, en el momento en el que lo está atendiendo, acerca de su diagnóstico, su pronóstico y sus posibilidades terapéuticas, teniendo en cuenta las peculiaridades propias de la enfermedad de que se trate. 

j) Deber de información al cesionario.

El deber mencionado en el punto anterior no termina con la cesión, sino que se extiende en el tiempo. Ello, porque tal como establece el inciso 4º del artículo 16º, el responsable o usuario del banco de datos que proceda a rectificar, cancelar o suprimir información de carácter personal previamente cedida a terceros, debe notificar dicha rectificación o supresión al cesionario dentro del quinto día hábil de efectuado el tratamiento del dato. 

7. Casos especiales de tratamiento de datos personales de salud. Datos genéticos e investigación clínica.

a) Datos Genéticos.

Los datos genéticos son todos aquellos relacionados con los caracteres hereditarios de un individuo o que, vinculados a dichos caracteres, componen el patrimonio de un grupo de individuos emparentados. Hacen referencia de la misma manera a todos los datos que afecten a intercambios de información genética (genes) de un individuo o línea genética, con relación a cualquier aspecto de la salud o de una enfermedad, constituya o no un carácter identificable.

El tratamiento de este tipo de datos constituye sin duda uno de los supuestos de tratamiento de datos personales más conflictivos, sobre todo porque en la actualidad se está logrando la realización del mapa genético en su totalidad. 

Si bien la información que puede obtenerse permite predecir enfermendades, debilidades organicas de un individuo o ciertos aspectos de su comportamiento, con el consecuente beneficio para el paciente, el riesgo que supone que terceros ajenos a su titular puedan acceder a dicha informacion supone una peligrosa amenaza.

Existen en la actualidad una serie de genes correlacionados con un conjunto importante de enfermedades que permiten estimar una predisposición, es decir, un aumento de la probablidad de que una persona pueda contraer una enfermedad. Como la gran mayoría de las enfermedades obedecen tanto a factores genéticos como ambientales, el conocimiento acabado del perfil genético de un individuo ofrecerá una estimación probabilística mucho más precisa de la que ya puede realizarse desde hace tiempo sobre la base de los antecedentes familiares.

Como dice Rivera López (37), la existencia de ese conocimiento, generalmente probabilístico, lanza varios desafíos éticos y jurídicos, especialmente en relación con el problema de quién tiene, o tendrá, derecho a acceder a esa información y usarla, y bajo qué condiciones. 

La Organización Mundial de las Naciones Unidas ha mostrado su preocupación al respecto. Así, el artículo 7º de la Declaración Universal sobre el Genoma Humano y los Derechos Humanos (38) dispone que los datos genéticos asociados con una persona identificable, conservados o tratados con fines de investigación o cualquier otra finalidad deberan protegerse en las condiciones estipuladas por las leyes de confidencialidad.

La misma preocupación ha mostrado Europa. En efecto, la recomendación Nº R (97) del Comité de Ministros de Europa a los Estados miembros de la Unión Europea relativa a la protección de datos médicos (39) aconseja que los datos genéticos recogidos y tratados con fines preventivos, de diagnóstico o terapéuticos o con un objetivo de investigación científica, sólo deben utilizarse con esas finalidades o para permitir que la persona referida por dicha información pueda tomar una decisión libre y fundamentada al respecto: y que en todos aquellos casos en que la finalidad de a recogida y tratamiento de datos genéticos no sea de las mencionadas precedentemente, sólo deben autorizarse por motivos sanitarios, con el fin de evitar cualquier perjuicio serio para la salud del paciente o de terceros, y en caso de que se encuentren en juego intereses superiores, con la condición de que existan garantías apropiadas y definidas por la ley.

En nuestro país, la Ley 23.511 creó el Banco Nacional de Datos Genéticos, con asiento en el Servicio de Inmunología del Hospital Durand, siendo su finalidad la de entender en conflictos de filiación (40). El artículo 8º de su decreto reglamentario (41) consagra la protección de la personalidad y la inviolabilidad de los datos genéticos y el artículo 14º expresamente señala que el Banco Nacional de Datos Genéticos no proporcionará información a particulares sobre los datos registrados, ni tampoco a entidades públicas o privadas, cualquiera sea la índole de las razones alegadas, pudiendo solamente ser suministrada por requerimiento judicial, en causa determinada.

Más allá de ello, y coincidiendo con Arribere (42), entiendo que por más que se sancione una buena legislación que proteja específicamente la privacidad en materia genómica, de nada servirá si no se modifican simultáneamente los métodos y la forma de obtener, guardar y comunicar la información derivada de estudios genéticos, o no se arbitran procedimientos especiales de codificación de la información que permitan garantizar el anonimato de las personas que realizan estudios genéticos, aún después de la muerte del individuo. Que eso ocurra dependerá, en buena medida, de la labor de la Dirección Nacional de Protección de Datos en cuanto al establecimiento de severos requisitos de seguridad para el tratamiento y conservación de este tipo de datos.

b) Investigación Clínica:

Desde el comienzo de la etapa clínica, durante el desarrollo del medicamento y a lo largo de toda la vida comercial del mismo, los profesionales de la medicina o los establecimiento industriales ligados a la salud tienen oportunidad y, en buena parte de los casos, necesitan tratar datos referidos a la salud de las personas que se someten a sus investigaciones, ya que los mismos desempeñan un valioso papel en las investigaciones científicas. 

En líneas generales, las fases de la investigación clínica son las siguientes:

Fase 1: Primeros estudios en humanos (voluntarios sanos), excepción con drogas tóxicas (oncología). Establecen máxima dosis tolerada; absorción, eliminación, concentraciones sanguineas; y si se puede, efectos farmacologicos.

Fase 2: Estudios en pacientes con la patología para la cual la droga está indicada (de pocos -siglo XX- a muchos –siglo XXI-). Establecen eficacia; mínima dosis efectiva; seguridad y tolerabilidad.

Fase 3: Estudios en mayor número de pacientes. De carácter comparativo, costo/beneficio. Confirman si la droga es segura y efectiva, y si tiene ventajas que le dan viabilidad comercial. Establecen nuevas indicaciones.

Fase 4: Estudios en alto número de pacientes. Comparativos, costo/beneficio, nuevas posologías, asociaciones, farmacovigilancia. Establecen el perfil definitivo de la droga.

Fase 5: Estudios en condiciones de práctica clínica real con mínima intervención. Miden “outcome measures”, idealmente “in silico”. Confirman costo/beneficio comparativo.

Como se ve, la investigación clínica puede proporcionar información relevante sobre las enfermedades, su prevención, diagnóstico y tratamiento, y las historias clínicas constituyen una fuente de información muy importante a tal fin. Pero también pueden afectar de forma negativa a las personas y su entorno, si la información que se obtiene no se conserva bajo estrictas medidas de seguridad y reserva, o se revela a terceros sin respetar el derecho de intimidad de sus titulares, el principio de confidencialidad y el deber de secreto del profesional de la salud.

Durante la etapa clínica de la investigación farmacológica, es decir, en aquella donde se indaga sobre la seguridad del medicamento, sus efectos biológicos, su metabolismo, la farmacocinética, las interacciones con otros medicamentos, su eficacia terapéutica y/o el ajuste de dosis, suelen incorporarse, suele recolectarse, entre otra información, datos históricos de las personas que se someten a estudios y pruebas analíticas, datos de personas que padecen alguna patología en particular, y datos estadísticos de pacientes sometidos a tratamiento o que padecen alguna patología determinada.

De allí la necesidad de establecer pautas claras de actuación con el fin de proteger la intimidad de los individuos que se ofrecen voluntariamente a participar en los ensayos clínicos.

El principio general mundialmente aceptado es que en la investigación clínica, es deber del médico proteger la vida, la salud, la intimidad y la dignidad del ser humano. Y así se ha establecido en el artículo 10º de la Declaración de Helsinski de Asociación Medica Mundial (WMA), que enumera los principios eticos que deben respetarse en las investigaciones en seres humanos (43)

En el plano nacional, resulta necesario destacar que la Disposición Nº 5330/97 de la Administración Nacional de Medicamenos, Alimentos y Tecnología Médica (ANMAT), que establece el Régimen de Buenas Prácticas de Investigación Clínica, dispone en su capítulo IV que el investigador debe asegurar la confidencialidad de la información en las etapas de preparación, ejecución y finalización del estudio, así como de la identidad  de las personas incorporadas al mismo.

Más recientemente, mediante el dictado de la Disposición Nº 2438/2000 que establece las bases para la ampliación de la participación de la industria farmacéutica en el Sistema Nacional de Farmacovigilancia, la ANMAT dispuso que los laboratorios también deberán respetar la confidencialidad al notificar las reacciones adversas (44).

En consecuencia, resulta claro que en la medida de lo posible, y tal como lo aconseja el Comité de Ministros de Europa a los Estados miembros de la Unión Europea en la Recomendación Nº R (97) relativa a la protección de datos médicos antes mencionada (45), los datos médicos empleados con fines de investigación científica deben, en todos los casos, ser anónimos, debiendo las organizaciones profesionales y científicas, así como las autoridades públicas, promover el desarrollo de técnicas o de procedimientos que garanticen el anonimato.

Nuevamente, y tal como se manifestara en el punto anterior, que eso ocurra dependerá, en buena medida, del pronto establecimiento de exigencias de seguridad por parte de la Dirección Nacional de Protección de Datos.

Sin embargo, entiendo que si el anonimato convirtiera en imposible un proyecto de investigación científica y el proyecto hubiera de llevarse a la práctica con un objetivo legítimo, la investigación podría realizarse con datos de carácter personal, siempre y cuando la persona interesada, o su representante legal en caso de tratarse de una persona legalmente incapaz, preste su consentimiento previo recibir la información indicada por el artículo 6º de la Ley. 

Finalmente, y en cuanto a las posibilidades de publicación, considero que en todos los casos, los datos de carácter personal empleados con fines de investigación científica sólo podrán publicarse si lo permite una Ley y sus titulares prestan su consentimiento. En los demás casos, la publicación no deberá permitir que el titular de los datos pueda ser identificado.

7.-Comentarios Finales:

Como hemos visto, si bien la Ley 25.326 de Protección de los Datos Personales contempla varias cuestiones vinculadas con la protección de los datos médicos y de salud y gran parte de su articulado es aplicable al tratamiento de datos médicos que realizan los profesionales de la salud y los establecimientos sanitarios, resulta evidente que su alcance no cubre todas las peculiaridades que plantea este especial tipo de tratamiento. 

Además de ello, teniendo en cuenta que el tratamiento de datos de salud mediante sistemas de información automatizados se encuentra cada vez más extendido, no sólo en materia de cuidados médicos, investigación clínica, gestión hospitalaria y sanidad pública, sino también fuera del sector de los cuidados sanitarios, cuestiones tales como la forma de confeccionar una historia clínica, la información que debe y no debe integrarse en dicho documento, su régimen de uso por parte de los profesionales de la salud o por terceros y el derecho del paciente a poder disponer de la misma, merecen ser regulados en forma específica y de manera integral.  

Gustavo Daniel Tanús

(*) Artículo publicado en Revista Derecho y Nuevas Tecnologías, Nº 4-5, Editorial Ad-Hoc. 2003. Buenos Aires, Argentina.


(1) Correa, Carlos María y otros. “Derecho Informático”, Editorial Depalma, Buenos Aires, 1994, pág. 250.

(2) Davara Rodríguez, Miguel Angel. “Manual de Derecho Informático”, Editorial Aranzadi. Pamplona, España, 1997, pág. 47.

(3) Alvarez-Cienfuegos Suarez, José María. “La Defensa de la Intimidad de los Ciudadanos y la Tecnología Informática”, Editorial Aranzadi, Pamplona, España, 1999, página 25.

(4) Murillo de la Cueva, Pablo Lucas. “El derecho a la autodeterminación informativa”. Editorial Tecnos. Madrid, España, 1990.

(5) Ley 17.132 de Ejercicio de la Medicina, Odontología y Actividades de Colaboración (Artículo 11º) y Ley 17.565 de Ejercicio de la Farmacia (Artículo 23º): “Todo aquello que llegare a conocimiento de las personas cuya actividad se reglamenta en la presente ley, con motivo o en razón de su ejercicio, no podrá darse a conocer –salvo los casos que otras leyes así lo determinen o cuando se trate de evitar un mal mayor y sin perjuicio de lo establecido en el Código Penal- sino a instituciones, sociedades, revistas o publicaciones científicas, prohibiéndose facilitarlo o utilizarlo con fines de propaganda, publicidad, lucro o beneficio personal”.

(6) Ley 3.076 de Salud Pública de la Provincia de Río Negro, por ejemplo.

(7) Canals Miret, Ramón y Buisán Espeleta, Lydia, “El Secreto Médico” en Bioética, Derecho y Sociedad, presentacion y coordinación: Maria Casado. Editorial Trotta. 1998. Madrid., págs. 151 y 152.

(8) Citada por Roberto Vazquez Ferreyra, en "Daños y Perjuicios en el ejercicio de la medicina" (Ed. Hammurabi, 1992, pág 224).

(9) Registros Médicos y de Salud, Serie PALTEX, de la OPS, 1991, Módulo 1, pág. 20.

(10) Gobato, Alan Carlos. “Contrato de asistencia médica. Análisis iusprivatista de la relación contractual médico-paciente”, en “Cuadernos de Bioética Nros. 2-3”, Editorial Ad-Hoc, Buenos Aires, 1998, págs. 151 a 155.

(11) CNCom., Sala B, noviembre 11-1998, “R., S. y otro c. Sanatorio M. y otro” (ED, 185-64).

(12) Gobato, Alan Carlos. Op. cit. Págs. 151 a 155.

(13) Garay, Oscar Ernesto. “ De la historia clínica tradicional a la historia clínica informatizada. El cambio se debe dar a través de una ley”, en Cuadenos de Bioética, Editorial Ad-Hoc, Buenos Aires, 1999, pág. 173.

(14) Historia previa de las enfermedades de un paciente.

(15) Informe preparado por el médico al egreso del paciente que resume el cuadro de la enfermedad, del examen físico, de los análisis, estudios e interconsultas realizados, del tratamiento indicado, de los diagnósticos definitivos y los procedimientos quirúrgicos, y un comentario sobre el estado del paciente al egresar del hospital y las recomendaciones para su atención futura.

(16) Gobato, Alan Carlos. Op. cit. Págs. 161.

(17) Salom, Jaiver Aparicio, "Estudio sobre la Ley Orgánica de Protección de Datos de Carácter Personal", Editorial Aranzadi. Pamplona, España, 2000, pág.95.

(18) Del Peso Navarro, Emilio, "Ley de Protección de Datos. La Nueva LORTAD", Editorial Diaz de Santos. Madrid, España, 2000, pág. 18.

(19) Correa, Carlos María y otros. op. cit., pág. 260.

(20) Resolución 648/86 (SS), del 11 de septiembre de 1986. B.O. 28/10/86.

(21) Correa, Carlos María y otros. op. cit., pág. 258.

(22) Cifuentes, Santos. "Derecho personalísimo a los datos personales". La ley, 1997-E-1330.

(23) Convenio de Estrasburgo del 28 de enero de 1981 para la protección de las personas con respecto al tratamiento automatizado de datos de carácter personal.

(24) Heredero Higueras, Manuel. op. cit., pág. 96.

(25) "Siguiendo la opinión de Sagües se ha sostenido que "el habeas data tiene cinco objetivos principales: a) que una persona pueda acceder a la información que sobre ella conste en un registro o banco de datos; b) que se actualicen datos atrasados; c) que rectifiquen los datos inexactos; d) que se asegure la confidencialidad de cierta información legalmente obtenida para evitar su conocimiento por terceros, y e) supresión del requisito de la llamada "información sensible", tal como la referida a la vida íntima, ideas políticas, religiosas o gremiales". (CNCont. Adm., Sala 4º, 5/9/95, "Farrel Desmond A. c/ Banco Central", JA. 1995-IV-350, con nota de Sagües, Néstor; Palazzi, Pablo A.: "El hábeas data en la Constitución Nacional - La protección de la privacidad en la era de la información-", LL. 1995-IV-710; Ekmekdjian, Miguel Angel: "El hábeas data en la reforma constitucional", ED. 1995-E-946).

(26) Canals Miret, Ramón y Buisán Espeleta, Lydia. “El Secreto Médico”, en “Bioética, Derecho y Sociedad”, presentación y coordinación: María Casado. Editorial Trotta. 1998. Madrid, pág. 153.

(27) Canals Miret, Ramón y Buisán Espeleta, Lydia. Op. cit., pág. 153.

(28) Artículo 156 del Código Penal.

(29) Artículo 72 de la Ley 17.132 de Ejercicio de la Medicina, Odontología y Actividades de Colaboración.

(30) Canals Miret, Ramón y Buisán Espeleta, Lydia. Op. cit., pág. 176

(31) El texto del artículo 24 dice: "Los particulares que formen archivos, registros o bancos de datos que no sean para un uso exclusivamente personal deberán registrarse conforme lo previsto en el artículo 21".

(32) Heredero Higueras, Manuel. "La ley Orgánica 5/1992, de Regulación del Tratamiento Automatizado de los Datos de Carácter Personal. Comentarios y Textos. Editorial Tecnos, Madrid, España, 1996, págs. 54 y 55.

(33) Decreto 6.216/67, artículo 40, m): “Son deberes del Director de un establecimiento asistencial adoptar las medidas necesarias para una adeucada conservación y archivo de las historias clínicas y de que no se vulnere el secreto profesional.

(34) En este punto, entiendo que el reglamentador ha querido referirse a un mensaje de datos enviado utilizando el procedimiento de firma digital regulado por la Ley 25.506, sancionada el 14 de noviembre de 2001 y promulgada de hecho el 11 de diciembre de ese mismo año.

(35) Salom, Jaiver Aparicio, op. cit.,  pág. 96.

(36) Blanco, Luis Guillermo y Wainer, Gerardo Guido. “Reflexiones acerca de la información que se suministra al paciente oncológico” en Cuadernos de Bioética Nº 1, Editorial Ad-Hoc, Buenos Aires, 1997, pág. 26.

(37) Rivera López, Eduardo. “El derecho a la salud y la información genética. Aspectos éticos y jurídicos”, en 1º Jornadas de Bioética y Derecho. Buenos Aires, agosto de 2000.

(38) UNESCO, ONU, noviembre 11 de 1997.

(39) Adoptada por el Comité de Ministros el 13 de febrero de 1997, durante la 584ª reunión de los delegados de los Ministros.

(40) Entre ellos, los casos de hijos de desaparecidos en la última Dictadura Militar, de niños cambiados en nurseries, o de ex-combatientes de Malvinas aparecidos en hospitales.

(41) Decreto Nº 700/89.

(42) Arribere, Roberto. “El deber de información y confidencialidad en la genética. Aportes para una legislación que preserve la intimidad de la persona y evite la discriminación”, en 1º Jornadas Nacionales de Bioética y Derecho. Buenos Aires, agosto de 2000.

(43) Adoptada en el año 1964 por la 18ª Asamblea Médica Mundial reunida en Helsinski, Finlandia, enmendada por al 29ª Asamblea Médica Mundial reunida en Tokio, Japón, en octubre de 1975, y reiterada por la 35ª Asamblea Médica Mundial reunida en Venecia, Italia, en octubre de 1983, la 41ª Asamblea Médica Mundial reunida en Hong Kong en septiembre de 1989, la 48ª Asamblea Médica Mundial, reunida en Somerset West, Sudáfica, en octubre de 1996, y por la 52ª Asamblea Médica Mundial, reunida en Edimburgo, Escocia, en octubre del año 2000.

(44)Disposición Nº 2438/2000, Anexo I, Punto 6, inciso b).

(45) Ver nota 35.