eHealth

1. eHealth Tratamiento de Datos Personales en Salud María Adriana Báez Ricárdez Directora General de Autorregulación IFAI

2. Retos • Importancia de los servicios de salud. • Multiplicidad de la normativa existente y aplicable. • Que la normativa haya sido emitida antes de la existencia de la LFPDPPP. • Diversidad de los actores involucrados.

3. Temas Básicos ¿Qué es un dato de salud? • debe referir al estado de salud o enfermedad física o mental, presente, pasada y futura; • puede estar relacionada tanto a una persona viva o fallecida; • considera la información genética, y también la relativa al consumo de drogas y la discapacidad.

4. Titularidad del expediente clínico: Propietario v.s. titular: El IFAI ha resuelto que el paciente es el propietario del expediente clínico.

5. Reconocimiento de los derechos ARCO: • Acceso. • Rectificación. • Cancelación. • Oposición.

6. Consentimiento informado y aviso de privacidad: El consentimiento informado NO sustituye la obligación de emitir y poner a disposición el aviso de privacidad.

7. Transferencias: Toda transferencia nacional o internacional requiere: • El consentimiento del titular, salvo las excepciones previstas en el artículo 37 de la LFPDPPP. • Ser informada en el aviso de privacidad. • Limitarse a la finalidad que la justifique. Las transferencias nacionales deben: • Formalizarse mediante algún mecanismo que permita demostrar que el responsable transferente comunicó al responsable receptor las condiciones en las que el titular consintió el tratamiento. Para que una TID pueda llevarse a cabo requiere: • Que el tercero receptor asuma las mismas obligaciones que corresponden al responsable que transfirió los datos personales. • Para ello, el responsable que transfirió los datos podrá valerse de cláusulas contractuales u otros instrumentos jurídicos en los que se prevean: • Al menos las mismas obligaciones a las que se encuentra sujeto el responsable que transfiere los datos personales, y • Las condiciones a las que el titular sujetó el tratamiento.

8. Información de personas fallecidas: Lineamientos de clasificación y desclasificación de la información de las dependencias y entidades de la APF (DOF 18 de agosto de 2013): Se considerarán como confidenciales los datos personales referidos a una persona que ha fallecido, a los cuales únicamente podrán tener acceso y derecho a pedir su corrección, el cónyuge supérstite y/o los parientes en línea recta ascendente y descendente sin limitación de grado, y en línea transversal hasta el segundo grado. En caso de que no existan las personas a que se refiere el párrafo anterior, tendrán acceso y derecho a pedir la corrección de datos personales del fallecido, sus parientes en línea transversal hasta el cuarto grado. Cuando el titular de los datos personales haya fallecido, y la dependencia o entidad reciba una solicitud de acceso o corrección de los mismos presentada por una persona distinta de las mencionadas en los párrafos anteriores, el Comité podrá solicitar el consentimiento de cualquiera de éstas.

9. Medidas de seguridad: • La gestión y resguardo de soportes físicos y electrónicos. • El uso de bitácoras para el registro de accesos y operaciones cotidianas. • El control de acceso a las instalaciones y a los centros de procesamientos de datos. • El establecimiento de controles de acceso y privilegios de las personas para acceder, consultar, modificar o realizar cualquier operación con la información. • El traslado de datos personales de forma segura. • Los procedimientos de respaldo y recuperación de datos. • El plan de contingencia. • La realización periódica de revisiones y auditorías. • La capacitación al personal de salud y demás personas involucradas en el tratamiento de información personal. • La construcción de una cultura institucional de seguridad integral. • El establecimiento de procedimientos de supresión de archivos y registros médicos. • RoledBasedAcces Control

10. GRACIAS María Adriana Báez Ricárdez Adriana.baez@ifai.org.mx Directora General de Autorregulación