eHealth
Tratamiento de Datos Personales en Salud
María Adriana Báez Ricárdez
Directora General de Autorregulación
IFAI
Retos
• Importancia de los servicios de salud.
• Multiplicidad de la normativa existente y
aplicable.
• Que la normativa haya sido emitida antes
de la existencia de la LFPDPPP.
• Diversidad de los actores involucrados.
Temas Básicos
¿Qué es un dato de salud?
(i) debe referir al estado de salud o
enfermedad física o mental, presente,
pasada y futura;
(ii) puede estar relacionada tanto a una
persona viva o fallecida;
(iii)considera la información genética, y
también la relativa al consumo de drogas
y la discapacidad.
Titularidad del expediente clínico:
Propietario v.s. titular: El IFAI ha resuelto
que el paciente es el propietario del
expediente clínico.
Reconocimiento de los derechos ARCO:
•
•
•
•
Acceso.
Rectificación.
Cancelación.
Oposición.
Consentimiento informado y aviso de
privacidad:
El consentimiento informado NO sustituye la
obligación de emitir y poner a disposición el
aviso de privacidad.
Transferencias:
Toda transferencia nacional o internacional requiere:
o El consentimiento del titular, salvo las excepciones previstas en el artículo 37 de la
LFPDPPP.
o Ser informada en el aviso de privacidad.
o Limitarse a la finalidad que la justifique.
Las transferencias nacionales deben:
o Formalizarse mediante algún mecanismo que permita demostrar que el responsable
transferente comunicó al responsable receptor las condiciones en las que el titular
consintió el tratamiento.
Para que una TID pueda llevarse a cabo requiere:
o Que el tercero receptor asuma las mismas obligaciones que corresponden al
responsable que transfirió los datos personales.
o Para ello, el responsable que transfirió los datos podrá valerse de cláusulas
contractuales u otros instrumentos jurídicos en los que se prevean:
 Al menos las mismas obligaciones a las que se encuentra sujeto el
responsable que transfiere los datos personales, y
 Las condiciones a las que el titular sujetó el tratamiento.
Información de personas fallecidas:
Lineamientos de clasificación y desclasificación de la información de las dependencias y
entidades de la APF (DOF 18 de agosto de 2013):
Se considerarán como confidenciales los datos personales referidos a una persona que
ha fallecido, a los cuales únicamente podrán tener acceso y derecho a pedir su
corrección, el cónyuge supérstite y/o los parientes en línea recta ascendente y
descendente sin limitación de grado, y en línea transversal hasta el segundo grado.
En caso de que no existan las personas a que se refiere el párrafo anterior, tendrán
acceso y derecho a pedir la corrección de datos personales del fallecido, sus parientes
en línea transversal hasta el cuarto grado.
Cuando el titular de los datos personales haya fallecido, y la dependencia o entidad
reciba una solicitud de acceso o corrección de los mismos presentada por una persona
distinta de las mencionadas en los párrafos anteriores, el Comité podrá solicitar el
consentimiento de cualquiera de éstas.
• Medidas de seguridad:
•
•
•
•
•
•
•
•
•
•
•
La gestión y resguardo de soportes físicos y electrónicos.
El uso de bitácoras para el registro de accesos y operaciones cotidianas.
El control de acceso a las instalaciones y a los centros de procesamientos de datos.
El establecimiento de controles de acceso y privilegios de las personas para acceder, consultar,
modificar o realizar cualquier operación con la información.
El traslado de datos personales de forma segura.
Los procedimientos de respaldo y recuperación de datos.
El plan de contingencia.
La realización periódica de revisiones y auditorías.
La capacitación al personal de salud y demás personas involucradas en el tratamiento de
información personal.
La construcción de una cultura institucional de seguridad integral.
El establecimiento de procedimientos de supresión de archivos y registros médicos.
• Roled Based Acces Control
GRACIAS
María Adriana Báez Ricárdez
[email protected]
Directora General de Autorregulación
Descargar

Diapositiva 1