Buscar:
 PGR - SINALEVI >> Pronunciamientos >> Resultados >> Dictamen 090 del 28/05/2013
Internet
Año:
Buscar en:
Menú de Búsquedas Avanzadas
Texto del pronunciamiento
Resumen
Normativa relacionada
Relación con otros pronunciamientos
Jurisprudencia Judicial
Audiencias dadas
Descriptores
Publicación del pronunciamiento
Opciones:
Guardar
Imprimir

Ficha del Pronunciamiento
ß&Ø¥ß%
Texto Dictamen 090
 
  Dictamen : 090 del 28/05/2013   

28 de mayo, 2013


C-090-2013


 


Doctora


Daisy María Corrales Díaz


Ministra


Ministerio de Salud


 


Estimada señora Ministra:


 


            Nos referimos a su atento oficio N. DM-EC-1097-2013 de 21 de enero del presente año, por medio del cual consulta el criterio de la Procuraduría General en relación con el deber de las instituciones descentralizadas y, en concreto, de la Caja Costarricense de Seguro Social, de brindar información relacionada con eventos de notificación obligatoria y vacunas, de conformidad con el Decreto Ejecutivo N. 37306-S de 27 de agosto de 2012, que es Reglamento de Vigilancia de la Salud.


 


            Como fundamento para consultar, anota Ud. que la Dirección de Red de Servicios de Salud de la Caja, ha girado directriz para no cumplir el citado Decreto. En apoyo de la posición del Ministerio transcribe oficio N. DAJ-UAL-EC-126-2013 de 18 de enero de 2013, de la Unidad de Asesoría Legal de su Dirección de Asuntos Jurídicos. Dicho criterio hace referencia a las potestades del Ministerio como rector en materia de salud y a la sujeción de las instituciones públicas a la potestad reglamentaria del Ministerio. Agrega que, conforme al Reglamento Orgánico del Ministerio, corresponde a la Dirección de Vigilancia de la Salud abocarse a dar seguimiento y a llevar a cabo un análisis integral del estado de salud de la población, de sus determinantes y tendencias. De lo que se deduce que todos los actores sociales, sean públicos o privados, que brinden servicios de salud están vinculados a las disposiciones legales y reglamentarias que el Ministerio dicte en el ejercicio de su competencia y en el desarrollo de su función rectora del sector salud. El Reglamento de Vigilancia de la Salud establece la obligatoriedad de entregar información al Ministerio de Salud. Se ha pedido a la Caja Costarricense de Seguro Social que la información de los eventos de notificación obligatoria y vacunas sea enviada en forma digital y nominal, a efecto de que no se realice dos veces una misma función de digitación, evitándose la incorporación de posibles errores humanos, gasto de recursos humanos, materiales, temporales y económicos y garantizando la calidad de la información y una mejora sustancial en la oportunidad de ésta. Expone que para el Ministerio el contar con información oportuna y de alta calidad sobre el estado de salud de la población, sus determinantes y tendencias es vital para tomar decisiones inteligentes, basadas en la evidencia, que contribuyan a proteger y mejorar la salud individual, familiar y colectiva, de la que son responsables o garantes, según sus potestades. Información que es importante porque el abordaje de los problemas de salud pública que presenta la población parte del análisis de la situación de salud que se presenta basado en el tratamiento estadístico y epidemiológico de la información, a efecto de desarrollar análisis científicos de causalidad, consecuencias, carga de enfermedad, estimación de daños no pecuniarios, identificación de inequidades y la formulación de estrategias para la vigilancia, atenuación y control. En cuanto a la autonomía de la Caja de Seguro Social sostiene que esta es muy específica y no la exime de someterse a la ley en las demás áreas de su competencia, que no sea la administración y gobierno de los seguros sociales. Concluye que la Caja está obligada a brindar información al Ministerio, rector en materia de salud.


 


            Por oficio N. PGA-005-2013 de 30 de enero siguiente, esta Procuraduría otorgó audiencia a la Caja Costarricense de Seguro Social para que se refiriera a la consulta.


 


            Mediante oficio N. 17.839 de 8 de febrero siguiente, la Caja Costarricense de Seguro Social manifiesta que tiene vigente un convenio de cooperación con el Ministerio de Salud, para definir las condiciones y áreas de cooperación entre las partes, que permitan desarrollar y potenciar las capacidades institucionales para la organización, gestión y prestación de servicios de salud. Existe una autorización de un órgano competente, la Gerencia Médica, para intercambiar información con el Ministerio de Salud. Para la cesión de datos personales se hace necesario que la solicitud tenga relación con fines directamente relacionados con las funciones del cedente y del cesionario y el consentimiento del afectado. Por lo que la información solicitada por instituciones públicas se podrá entregar únicamente si es información pública y para efectos de propósitos de interés público. La información privada o sensible no puede ser entregada, salvo si el dueño autoriza la entrega.  Se concluye que el Ministerio de Salud puede solicitar y tener acceso a la información de carácter público que conste en los registros de la Caja relacionada con eventos de notificación obligatoria y vacunas pero esa facultad está restringida cuando la solicitud se refiera a información de datos personales de carácter confidencial o de naturaleza sensible de los derechos habientes, caso en que se requerirá de su autorización.


 


            Por oficio N.DM-RC-1415-13 de 12 de abril siguiente, el Ministerio de Salud adiciona la consulta, reiterando que el hecho de que la Caja no aporte información nominal obstaculiza la función rectora, ya que puede existir el riesgo de tomar como real y veraz información duplicada. Lo anterior dado que un mismo paciente puede ser atendido en varios centros de atención médica, por una misma enfermedad, caso en el cual cada centro hará un reporte y la información se incluirá como si se tratara de varios casos. Se señala que la vigilancia de la salud es la función rectora que realiza el Ministerio con la participación de los actores del sistema de producción social de la salud, que consiste en seleccionar, recopilar, integrar, analizar y difundir información sobre el estado de salud, sus determinantes y tendencias, a fin de seleccionar las medidas más apropiadas para proteger y mejorar la salud de la población. Además de que le corresponde la planificación de planes y proyectos, sectoriales e intersectoriales, dirigidos a proteger y mejorar la salud de la población, a partir de las políticas nacionales de salud y la información sobre el estado de salud, sus determinantes y tendencias. Regulación en salud es una función que elabora y controla el marco normativo que debe acatar toda persona física o jurídica que provea o reciba bienes y servicios de interés sanitario; o que realice actividades o mantenga conductas que, por su naturaleza, puedan afectar la salud de las personas a fin de garantizar la calidad, seguridad, eficacia e inocuidad de los bienes, servicios, actividades y conductas de interés o impacto sanitario. El objetivo de la acción de la Dirección de Vigilancia de la Salud es garantizar que la ejecución del proceso de vigilancia de la salud se realice de manera articulada, eficaz y con calidad, para lo cual define directrices técnicas, formula planes y proyectos, establece procedimientos, desarrolla sistemas y ejecuta directamente actividades operativas. 


 


            Conforme lo expuesto, el Ministerio de Salud consulta porque considera que de acuerdo a las disposiciones establecidas en la Ley General de Salud y en su Ley Orgánica y los reglamentos dictados al efecto, como rector en la materia de salud, está facultado para requerir de los sujetos públicos y privados que presten servicios de salud, la información que necesite, incluyendo datos personales calificados como sensibles por la legislación. Pretensión que la Caja Costarricense del Seguro Social no comparte porque sostiene que el suministro de información privada o sensible sobre los usuarios de sus servicios, que conste en sus registros, requiere el consentimiento del derecho habiente, además de darse la concurrencia de un interés público.


 


La Procuraduría es así llamada a determinar si datos sensibles, como lo es el de la salud de una persona, pueden ser comunicados al Ministerio de Salud en los términos en que este lo solicita. Al efecto, debe tomarse en cuenta que, no obstante el carácter fundamental del derecho de autodeterminación informativa, la debida satisfacción del interés público puede justificar tanto el acopio como la cesión de los datos personales, inclusive de datos sensibles, a un organismo público para el cumplimiento de sus funciones. Tomando en cuenta esa circunstancia, en primer término, debemos analizar los alcances y regulación del derecho de autodeterminación informativa, a efecto de dilucidar en un segundo plano, si el Ministerio de Salud se encuentra facultado para solicitar a los centros privados e instituciones públicas que prestan servicios de salud, incluida la Caja, información relativa a los usuarios de esos servicios y bajo qué condiciones.


 


A-. LOS DATOS PERSONALES REFERENTES A LA SALUD ESTÁN PROTEGIDOS POR EL DERECHO FUNDAMENTAL A LA AUTODETERMINACION INFORMATIVA


 


El derecho de autodeterminación informativa es uno de los derechos fundamentales derivados del artículo 24 de la Constitución Política. Dicho derecho asegura el respeto de la intimidad y de la dignidad humana por medio de una efectiva protección a los datos personales que consten en ficheros, archivos, registros o bases de datos, independientemente de que estos sean de carácter privado o público.


 


La autodeterminación informativa faculta a toda persona a conocer quién posee registrada información sobre ella, el tipo de información que se mantiene y con qué objeto, además, concurrentemente implica la posibilidad de rectificación, bloqueo y eliminación de esa información.


 


La Sala Constitucional desarrolló y protegió ese derecho a través de un abundante y remarcado desarrollo jurisprudencial. No obstante, en distintos sectores de la opinión pública e incluso de dicho Tribunal se enfatizó en la necesidad de que se emitiera una ley que viniera a positivizar los principios derivados de la jurisprudencia, al mismo tiempo que reforzara la protección de los habitantes del país frente a cualquier indebida vulneración de este derecho. Una expectativa que se concretizó en el año 2011 con la promulgación de la Ley de Protección de la Persona frente al tratamiento de sus datos personales, LP Data, (Ley N° 8968 del 7 de julio del 2011);  norma que recientemente se ha reforzado con la implementación de su Reglamento (Decreto Ejecutivo N° 37554-JP del 30 de octubre del 2012). Normativa que, como dijimos, sigue los parámetros establecidos por el Tribunal Constitucional y a partir de la cual se puede tener más claro cuál es el alcance de este derecho así como de los límites o restricciones que pueden encontrarse para su tutela y efectivo ejercicio. Con ello remarcamos que la Ley no solo refuerza el derecho sino que también establece restricciones o excepciones a su ejercicio. Y que estos son fundamentales en el examen de lo consultado. Por ende, la protección de este derecho no lo configura como un derecho absoluto.


 


            1-.  La Ley protege los datos sensibles, entre ellos la salud


 


            La Ley de Protección de la persona frente al tratamiento de sus datos personales garantiza a cualquier persona, independientemente de su nacionalidad, residencia o domicilio, el respeto de su derecho a la autodeterminación informativa en relación con su vida o actividad privada y demás derechos de la personalidad, así como la defensa de su libertad e igualdad con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona o bienes, según lo dispone el artículo 1. La calificación de “orden público” remarca la trascendencia del bien jurídico tutelado y la necesidad de su acatamiento obligatorio por todos los sujetos tanto de derecho privado como público.


El artículo 2 de dicho cuerpo normativo establece su marco de acción, disponiéndose que abarca las bases de datos, automatizadas o manuales, sea que pertenezcan a organismos públicos o privados; además, contempla cualquier modalidad de uso posterior que se haga de esa información. Exceptúa de su aplicación a las bases de datos mantenidas por personas físicas o jurídicas con fines exclusivamente internos, personales o domésticos. No obstante, si estas bases son objeto de comercialización deberán sujetarse a las disposiciones de la Ley.


 


La protección está referida a los datos concernientes a una persona o bien. En este sentido, a datos personales, sea datos pertenecientes a una persona identificada e identificable. En términos del artículo 3, inciso b) son datos personales:


 


“b) Datos personales: cualquier dato relativo a una persona física identificada o identificable”.


Datos que pueden constar en bases de datos, sea  “… cualquier archivo, fichero, registro u otro conjunto estructurado de datos personales, que sean objeto de tratamiento o procesamiento, automatizado o manuales, cualquiera que sea la modalidad de su elaboración, organización o acceso”, definición legal del artículo 3 inciso a).


 


            El concepto de datos personales es amplio, ya que comprende cualquier dato de una persona identificada e identificable. No obstante, para efectos de su protección, la Ley diferencia entre varias categorías de datos personales. Ya en el artículo 3, al momento de definir los datos personales se diferencian tres categorías:


“ARTÍCULO 3.- Definiciones


Para los efectos de la presente ley se define lo siguiente:


            (…).


c) Datos personales de acceso irrestricto: los contenidos en bases de datos públicas de acceso general, según dispongan leyes especiales y de conformidad con la finalidad para la cual estos datos fueron recabados.


d) Datos personales de acceso restringido: los que, aun formando parte de registros de acceso al público, no son de acceso irrestricto por ser de interés solo para su titular o para la Administración Pública.


e) Datos sensibles: información relativa al fuero íntimo de la persona, como por ejemplo los que revelen origen racial, opiniones políticas, convicciones religiosas o espirituales, condición socioeconómica, información biomédica o genética, vida y orientación sexual, entre otros”.


            Al establecer el marco regulador de esas categorías, el numeral 9 agrega una cuarta, para referirse a los datos crediticios, los cuales –como es sabido-generaron una copiosa jurisprudencia constitucional, y determinaron en mucho la distinta protección acordada a través de la vía de Amparo a los datos personales.


 


De acuerdo con lo allí dispuesto:     


 


·        Datos sensibles: son aquellos que puedan revelar el origen racial o étnico, opiniones políticas, convicciones religiosas, espirituales o filosóficas, así como los relativos a la salud, la vida y la orientación sexual, entre otros.


 


·        Datos personales de acceso restringido son los que aún formando parte de registros de acceso público, no son de acceso irrestricto por ser de interés solo para su titular o para la Administración Pública. El tratamiento de datos personales de acceso restringido sólo es permitido para fines públicos o si se cuenta con el consentimiento expreso del titular.


 


·        Datos de acceso irrestricto: son los contenidos en las bases de datos públicas de acceso general, según se haya dispuesto a través de leyes especiales y de conformidad con la finalidad para la cual fueron recabados. Se excluye a priori de esta categoría la dirección exacta de la residencia (excepto si su uso es producto de un mandato, citación o notificación administrativa o judicial, o de una operación bancaria o financiera), la fotografía, los números de teléfonos privados y otros de igual naturaleza cuyo tratamiento pueda afectar los derechos y los intereses de la persona titular.


 


·        Datos referentes al comportamiento crediticio: son los que permiten garantizar un grado de riesgo aceptable por parte de las entidades financieras, y que se rigen por las normas que regulan el Sistema Financiero Nacional; lo anterior, sin impedir el pleno ejercicio del derecho a la autodeterminación informativa ni exceder los límites estipulados en la Ley.


 


Así, siguiendo la doctrina y la jurisprudencia de la Sala Constitucional, los datos relativos a la salud se califican de sensibles; como tales sujetos a un mayor grado de protección. Baste recordar que, como regla general, hay una prohibición para el tratamiento de datos sensibles; las personas no están obligadas a suministrar este tipo de información, lo que no excluye que legalmente se establezcan excepciones sobre las que ahondaremos infra.


 


Con el objeto de materializar el derecho de autodeterminación informativa, el legislador, siguiendo las pautas establecidas jurisprudencialmente por la Sala Constitucional en torno a los principios de consentimiento informado y de calidad de información, impuso como requerimientos básicos para la recopilación de datos, la obligación de informar acerca de la base de datos y de contar con el consentimiento del titular de los datos o su representante, así como el velar por la calidad de la información (artículos 5, 6 y 7, LPData).


 


De esta forma quien solicite o recopile para su procesamiento datos personales sobre una persona inexorablemente debe observar como mínimo, las siguientes pautas obligatorias:


 


·                   Informar de previo a las personas titulares o a sus representantes de modo expreso, preciso e inequívoco la existencia de una base de datos de carácter personal; los fines que se persiguen con la recolección de los datos; los destinatarios de la información y quiénes podrán acceder a ella; la obligatoriedad o no de brindar las respuestas a las preguntas que se le formulen durante la recolección de los datos; el tratamiento que se dará a los datos solicitados; las consecuencias de la negativa de suministrar los datos; la posibilidad de ejercer los derechos que le asisten; la dirección del responsable de la base de datos (artículo 5, acápite primero, LPData).


 


·                   Obtener el consentimiento expreso de la persona titular de los datos o de su representante, consentimiento que debe constar por escrito, en documento ya sea físico o electrónico (artículo 5, acápite segundo, LPData).


 


·                   Velar por la calidad de la información, esto es, constatar que los datos sean actuales, veraces, exactos y que se adecúen a fines determinados, explícitos y legítimos.


Aunado a lo anterior, al responsable de la base de datos se le impone un deber de adoptar las medidas de índole técnica y de organización necesarias con el objeto de garantizar la seguridad de los datos personales y evitar su alteración, destrucción accidental o ilícita, pérdida, tratamiento o acceso no autorizado, así como cualquier otra acción contraria a la Ley en mención, contemplando como mínimo dentro de esas medidas, los mecanismos de seguridad física y lógica más adecuados acordes con el desarrollo tecnológico que impere en el momento dado. Asimismo, sobre dichos responsables y quienes participen en cualquier fase del proceso de tratamiento de datos personales, recae en correspondencia con esa información, un deber de confidencialidad sea por su condición profesional o funcional (artículo 11 LPData). Disposiciones todas que responden a la jurisprudencia constitucional. En efecto, la Sala sistematizó los principios a que se sujeta la autodeterminación informativa. Así, en la resolución 910-2009 de 13:36 hrs. de 23 de enero de 2009, dicho Tribunal manifestó:


“La ampliación del ámbito protector del derecho a la intimidad surge como una respuesta al ambiente global de fluidez informativa actual, ambiente que ha puesto en entredicho las fórmulas tradicionales de protección a los datos personales, para evolucionar en atención a la necesidad de utilizar nuevas herramientas que permitan garantizar el derecho fundamental de los ciudadanos a decidir quién, cuándo, dónde y bajo qué y cuáles circunstancias tiene contacto con sus datos. Es reconocido así el derecho fundamental de toda persona física o jurídica a conocer lo que conste sobre ella, sus bienes o derechos en cualquier registro o archivo, de toda naturaleza, incluso mecánica, electrónica o informatizada, sea pública o privada; así como la finalidad a que esa información se destine y a que sea empleada únicamente para dicho fin, el cual dependerá de la naturaleza del registro en cuestión. Da derecho también a que la información sea rectificada, actualizada, complementada o suprimida, cuando la misma sea incorrecta o inexacta, o esté siendo empleada para fin distinto del que legítimamente puede cumplir. Es la llamada protección a la autodeterminación informativa de las personas, la cual rebasa su simple ámbito de intimidad. Se concede al ciudadano el derecho a estar informado del procesamiento de los datos y de los fines que con él se pretende alcanzar, junto con el derecho de acceso, corrección o eliminación en caso el que se le cause un perjuicio ilegítimo. El derecho de autodeterminación informativa tiene como base los siguientes principios: el de transparencia sobre el tipo, dimensión o fines del procesamiento de los datos guardados; el de correspondencia entre los fines y el uso del almacenamiento y empleo de la información; el de exactitud, veracidad, actualidad y plena identificación de los datos guardados; de prohibición del procesamiento de datos relativos a la esfera íntima del ciudadano (raza, creencias religiosas, afinidad política, preferencias sexuales, entre otras) por parte de entidades no expresamente autorizadas para ello; y de todos modos, el uso que la información se haga debe acorde con lo que con ella se persigue; la destrucción de datos personales una vez que haya sido cumplidos el fin para el que fueron recopilados; entre otros. La esfera privada ya no se reduce al domicilio o a las comunicaciones, sino que es factible preguntarse si es comprensible incluir "la protección de la información" para reconocerle al ciudadano una tutela a la intimidad que implique la posibilidad de controlar la información que lo pueda afectar. La tutela a la intimidad implica, la posibilidad real y efectiva para el ciudadano de saber cuáles datos suyos están siendo tratados, con qué fines, por cuáles personas, bajo qué circunstancias, para que pueda ejercer el control correspondiente sobre la información que se distribuye y que lo afecta (artículos 24 de la Constitución Política y 13 inciso 1 de la Convención Americana de Derechos Humanos). En resumen se deduce entonces que la autodeterminación informativa es una ampliación del derecho a la intimidad y que su protección surge a partir del desarrollo de mecanismos informáticos y tecnológicos globales que manejan bases de datos que contienen información de las personas. Respecto de la delimitación del contenido del derecho de autodeterminación informativa es importante acotar que para que la información sea almacenada de forma legítima, debe cumplir al menos con los siguientes requisitos: primero no debe versar sobre información de carácter estrictamente privado o de la esfera íntima de las personas; segundo debe ser información exacta y veraz (v. sentencia #2000-1119 de las 18:51 horas del 1° de febrero de 2000) y tercero la persona tiene el derecho de conocer la información y exigir que sea rectificada, actualizada, complementada o suprimida, cuando sea incorrecta o inexacta, o esté siendo empleada para fin distinto del que legítimamente puede cumplir (v. sentencias #2007-6793 de las 11:24 horas del 18 de mayo del 2007 y #2008-10114 de las 19:18 horas del 17 de junio de 2008)”.


            Entre los principios fundamentales de protección de los datos personales encontramos el de consentimiento del afectado. Un principio calificado “de capital importancia” por la Sala Constitucional en resolución 8996-2002 de las 10:38 hrs. del 13 de septiembre de 2002. En dicha resolución sostuvo la Sala que “el titular de los datos deberá dar por sí o por su representante legal o apoderado el consentimiento para la entrega de los datos”; agregando de inmediato “salvo que la Ley disponga otra cosa dentro de límites razonables”. Lo que significa que la ley puede exceptuar la necesidad de ese consentimiento, permitiendo la recolección y entrega de datos en determinados casos.


            Aspecto que nos conduce a los límites o restricciones al ejercicio de la autodeterminación informativa, en particular, en tratándose de los datos sensibles.


2-. El régimen de excepciones de la Ley permite excepciones y limitaciones al consentimiento


            El principio en materia de transferencia de datos personales es el consentimiento o autorización expresa de parte del titular del derecho o de su representante. Sin embargo, como bien lo indica el artículo 14 de LPData, lo ahí establecido constituye la regla general; por lo que, a contrario sensu, pueden darse casos especiales en los que no opere esa regla ya que, en efecto, la misma ley contempla  limitaciones a la autodeterminación informativa, previéndose supuestos bajo los cuales no se requiere contar con el consentimiento del titular de los datos personales para su tratamiento, incorporándose incluso dentro de esas excepciones los datos sensibles. Por ello, no puede considerarse ni que el derecho de autodeterminación informativa sea absoluto ni que el principio del consentimiento del derecho habiente presente tampoco ese carácter.


 


En el sentido indicado en el párrafo precedente, al conocer del entonces el proyecto de ley de la normativa ahora objeto de análisis, este Órgano en Opinión Jurídica N° OJ-103-2010 del 13 de diciembre de 2010, apuntó lo siguiente:


 


Fundamental es el principio de consentimiento: las personas deben consentir no sólo la recopilación de sus datos personales sino también la cesión que de ellos haga el titular del registro  o archivo o bien, su uso para otros fines. Para que dicho consentimiento dejare de ser necesario, se requeriría que el legislador dispusiera expresamente que los datos en cuestión puedan ser suministrados a terceros bajo determinadas condiciones o en su caso, para fines diferentes a aquéllos para los que se suministró. Si no existe consentimiento o bien, un fin legalmente definido, la cesión y un tratamiento posterior de esos datos no podría considerarse como lícito. Simplemente no respondería al fin legal por el cual los datos fueron recolectados.” (La negrita no es del original).


 


Por tanto, habrá supuestos en los cuales para el tratamiento de datos personales, así como para su cesión a terceros no será necesario el consentimiento del titular o de su representante y ello en el tanto así lo haya dispuesto el legislador.


 


            De este modo, en relación con el otorgamiento del consentimiento encontramos una primera excepción en el numeral 5, acápite segundo, de la LPData, que  estipula lo siguiente:


1.-      (…)


2.-        Otorgamiento del consentimiento


Quien recopile datos personales deberá obtener el consentimiento expreso de la persona titular de los datos o de su representante. Este consentimiento deberá constar por escrito, ya sea en un documento físico o electrónico, el cual podrá ser revocado de la misma forma, sin efecto retroactivo.


No será necesario el consentimiento expreso cuando:


a) Exista orden fundamentada, dictada por autoridad judicial competente o acuerdo adoptado por una comisión especial de investigación de la Asamblea Legislativa en el ejercicio de su cargo.


b) Se trate de datos personales de acceso irrestricto, obtenidos de fuentes de acceso público general.


c) Los datos deban ser entregados por disposición constitucional o legal.”


            En los supuestos indicados, la recopilación de los datos personales no requiere el consentimiento del titular de los datos o su representante. Por ende, la existencia de una disposición legal que así lo disponga permite exceptuar consentimiento del derecho habiente. Una segunda excepción, y de mayor envergadura, por hacer referencia a los principios, derechos y garantías contempladas en la misma ley, se establece en el artículo 8 de la LPData, al disponer que: 


 


“ARTÍCULO 8.- Excepciones a la autodeterminación informativa del ciudadano


Los principios, los derechos y las garantías aquí establecidos podrán ser limitados de manera justa, razonable y acorde con el principio de transparencia administrativa, cuando se persigan los siguientes fines:


a) La seguridad del Estado.


b) La seguridad y el ejercicio de la autoridad pública.


c) La prevención, persecución, investigación, detención y represión de las infracciones penales, o de las infracciones de la deontología en las profesiones.


d) El funcionamiento de bases de datos que se utilicen con fines estadísticos, históricos o de investigación científica, cuando no exista riesgo de que las personas sean identificadas.


e) La adecuada prestación de servicios públicos.


f) La eficaz actividad ordinaria de la Administración, por parte de las autoridades oficiales.” (La negrita no es del original).


            Los incisos a) a e) fundamentan limitaciones a los principios, derechos y garantías del derecho de una persona a la autodeterminación informativa.  Estas limitaciones deben ser establecidas en consonancia con el principio de transparencia administrativa y deben constituir una limitación justa y razonable. Lo que implica que deben ser conformes con los principios de razonabilidad y proporcionalidad que rigen la actuación pública y al principio de transparencia, que aquí hace referencia a la posibilidad de que aún con la restricción del derecho, los titulares de los datos o sus representantes deben poder conocer la existencia del archivo y de los datos que en este conste y el tratamiento que recibirán. Si bien la justicia y razonabilidad de una limitación puede requerir una precisión expresa, la frase nos señala que la restricción no puede ser arbitraria ni desproporcionada respecto de los fines que persigue. Y en lo que aquí respecta, en relación con la debida prestación del servicio público concernido.


 


Por último, en el artículo 9, acápites primero y segundo, encontramos dos excepciones en concreto para el tratamiento de datos sensibles y de datos personales de acceso restringido. Dicho precepto legal indica en relación con la prohibición de tratamiento de los datos sensibles, que:


 


ARTÍCULO 9.- Categorías particulares de los datos


(…)


Esta prohibición no se aplicará cuando:


a) El tratamiento de los datos sea necesario para salvaguardar el interés vital del interesado o de otra persona, en el supuesto de que la persona interesada esté física o jurídicamente incapacitada para dar su consentimiento.


b) El tratamiento de los datos sea efectuado en el curso de sus actividades legítimas y con las debidas garantías por una fundación, una asociación o cualquier otro organismo, cuya finalidad sea política, filosófica, religiosa o sindical, siempre que se refiera exclusivamente a sus miembros o a las personas que mantengan contactos regulares con la fundación, la asociación o el organismo, por razón de su finalidad y con tal de que los datos no se comuniquen a terceros sin el consentimiento de las personas interesadas.


c) El tratamiento se refiera a datos que la persona interesada haya hecho públicos voluntariamente o sean necesarios para el reconocimiento, el ejercicio o la defensa de un derecho en un procedimiento judicial.


d) El tratamiento de los datos resulte necesario para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos, o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos sea realizado por un funcionario o funcionaria del área de la salud, sujeto al secreto profesional o propio de su función, o por otra persona sujeta, asimismo, a una obligación equivalente de secreto”.


Para efectos del objeto de análisis y por tener total vinculación, resaltamos el inciso d) de dicho artículo, por autorizar el tratamiento de datos sensibles cuando resulte necesario para la prestación de asistencia sanitaria o la gestión de servicios sanitarios y, en general, la prevención o diagnóstico médico, con la condición de que su tratamiento se dé por parte de un funcionario o funcionaria del área de salud y que este esté sujeto a secreto profesional o funcional.


 


Como ya se indicó, la Ley autorizó, en su artículo 9, el tratamiento de los datos personales de acceso restringido para fines públicos o si se cuenta con el consentimiento expreso del titular. El fin público, recalcamos, justifica una derogación al principio del consentimiento.


 


Pues bien, fijadas legalmente las limitaciones al derecho de autodeterminación informativa conforme a su marco regulatorio, dado que son los alcances de este derecho la razón principal que alude la Caja Costarricense del Seguro Social para no suministrar la información requerida por el Ministerio de Salud, procede analizar si el suministro de  los datos que este Ministerio solicita a esa Institución transgrede o no la Ley de Protección de la Persona frente al tratamiento de sus datos personales. Para lo cual se requiere tomar en consideración la competencia del Ministerio en materia de protección y vigilancia de la salud de la población.


 


B-. UNA INFORMACION PARA EL EFECTIVO EJERCICIO DE LAS COMPETENCIAS RECTORAS EN MATERIA DE SALUD


 


            Autoridad rectora en materia de salud pública, el Ministerio de Salud detenta no solo el poder de policía en materia de salud sino que asume diversos servicios sanitarios, lo que le permite no solo tratar datos de salud sino también requerir de los organismos que participan directamente en la prestación de servicios médicos el traslado de datos personales en dicha materia.


 


1-.  Una rectoría y vigilancia del sector salud


 


Conforme la Ley General de Salud, el Ministerio de Salud asume una función planificadora, directiva y rectora de la salud, descartándose su actuación en el ámbito curativo o preventivo, particularmente a partir de la Ley 7374 de 3 de  diciembre de 1993.      Esa función planificadora, rectora del sector, asegura al Ministerio el ejercicio del poder de policía en materia de salud y, en concreto, el dictado de diversas disposiciones en la materia que vinculan a los distintos organismos, públicos y privados, miembros del sector y encargados de las prestaciones curativas y preventivas, incluida la Caja Costarricense de Seguro Social. En el dictamen C-130-2006 del 30 de marzo de 2006  señalamos sobre la titularidad y ejercicio de este poder en materia de salud:


 


   “La policía en materia de salud


A efecto de mantener el orden público en materia de salud pública, el legislador emitió la Ley General de Salud, N° 5395 de 30 de octubre de 1973. En razón de los valores que dicha Ley protege y los fines a que tiende, debe entenderse que aún en el supuesto en que el legislador no hubiese calificado expresamente a dicha norma como de orden público, habría que entender que integra dicho orden en el sentido antes establecido. Preceptúa al efecto el artículo 7, primer párrafo:


“ARTICULO 7º.-


La presente y demás leyes, reglamentos y disposiciones administrativas relativas a la salud son de orden público y en caso de conflicto prevalecen sobre cualesquiera otras disposiciones de igual validez formal, sin perjuicio de las atribuciones que la ley confiere a las instituciones autónomas del sector salud”.


Dicha Ley parte de la salud de la población como un “bien de interés público tutelado por el Estado”, artículo 1, el cual deviene obligado a velar por dicha salud. Para ese efecto, la Ley otorga competencias al Poder Ejecutivo por medio del Ministerio de Salud. Dispone el artículo 2 de la citada Ley:


ARTICULO 2º.-


Es función esencial del Estado velar por la salud de la población. Corresponde al Poder Ejecutivo por medio del Ministerio de Salubridad Pública, al cual se referirá abreviadamente la presente ley como "Ministerio", la definición de la política nacional de salud, la formación, planificación y coordinación de todas las actividades públicas y privadas relativas a salud, así como la ejecución de aquellas actividades que le competen conforme a la ley. Tendrá potestades para dictar reglamentos autónomos en estas materias”.


Se reconoce al Poder Ejecutivo el carácter rector de la política nacional en materia de salud, atribución que va de suyo en virtud del principio de unidad estatal y el poder directivo que de él deriva. Pero también se reconocen potestades de policía y un poder normativo o de regulación. Poderes a los cuales, en principio, queda sujeta toda persona natural o jurídica, pública o privada (artículo 4).


Sometimiento a la ley que implica sujeción de las distintas actividades directa o indirectamente relacionadas con la salud de los individuos a las disposiciones de la ley, de sus reglamentos o normas generales o particulares “que la autoridad de salud dicte a fin de proteger la salud de la población“ (artículo 38). Disposiciones que tienden a la ordenación de la actividad sanitaria en aras de mantener la salud y los derechos fundamentales de las personas. La salud pública a cargo del Ministerio le obliga a adoptar las medidas destinadas a prevenir o impedir las enfermedades, mejorar la calidad de vida de las personas, fomentando la salud a través de acciones relacionadas con la educación para la higiene personal, el control de las enfermedades transmisibles, la organización de los servicios médicos y el saneamiento del medio, entre otros”.


            Agregándose:


“El poder de policía administrativa se ejerce a través de distintas potestades: la reglamentación, la medida individual y la coerción.”


La función rectora se encuentra contenida igualmente en la Ley Orgánica del  Ministerio de Salud. Su artículo 1 dispone:


“Artículo 1º.- La definición de la política nacional de salud, y la organización, coordinación y suprema dirección de los servicios de salud del país, corresponden al Poder Ejecutivo, el que ejercerá tales funciones por medio del Ministerio de Salud…”


 


De modo que tanto la Ley General de Salud como la del Ministerio le reconocen importantes funciones gubernamentales en relación con la salud de la población, así como una función de vigilancia que se traduce necesariamente en la responsabilidad de velar por dicha salud. Para ese fin, el Ministerio es titular de un poder de reglamentación de las actividades relacionadas directa o indirectamente con la salud. Poder que abarca la emisión de las normas técnicas en la materia, según lo dispuesto en los artículos 342 y 343 de la Ley General de Salud.


 


 La emisión de esas normas técnicas en materia de salud pública vincula a las personas físicas o jurídicas, públicas o privadas. El artículo 343 de la Ley General de Salud dispone en orden a la sujeción de las entidades públicas a las normas técnicas emitidas por el Ministerio de Salud:


“ARTICULO 343.- Toda institución o establecimiento público, semipúblico o privado que realice acciones de salud sean éstas de promoción, conservación o recuperación de la salud en las personas o de rehabilitación del paciente queda sujeto a las normas técnicas que el Ministerio dicte dentro de sus atribuciones y al control y supervigilancia técnica de las autoridades de salud.”


            Dado el carácter vinculante de la norma y su alcance general, no puede existir duda alguna en cuanto a su aplicación a la Caja Costarricense de Seguro Social. Esta Entidad asume plenamente la función preventiva que antes también realizaba el Ministerio y que este perdió al derogarse el artículo 6 de la Ley de Universalización del Seguro de Enfermedad y Maternidad,  Ley 5349 de 24 de setiembre de 1973, por la Ley 7374 antes citada. De esa forma, la totalidad de las acciones en materia de medicina preventiva que ejercía el Ministerio de Salud pasan a la Caja Costarricense de Seguro Social. En tanto que la función rectora del sector a cargo del Ministerio se refuerza, a efecto de permitir una prestación de servicios más eficaz y eficiente y un enfoque más racional de los recursos (anexo A del Programa de Servicios Salud y Construcción Hospital Alajuela, Ley 7374 antes citada).


            De ese modo corresponde al Ministerio, conforme al numeral 2 de la Ley Orgánica del Ministerio de Salud, entre otras funciones:


 


·        Dirigir y orientar las acciones en materia de medicina preventiva a cargo de organismos públicos y privados.


 


·        Ejercer el control y fiscalización de las actividades de las personas físicas y jurídicas, en materia de salud, velando por el cumplimiento de las leyes, reglamentos y normas pertinentes.


 


·        Mantener un sistema de información y estadística, relativo a la materia de salud, para cuyos efectos todas la instituciones que realicen acciones de salud pública y privada, están obligadas a remitir los datos que el Ministerio solicite, todo conforme al reglamento.


 


·        Cualquier otra que señalen la ley o los reglamentos, sin perjuicio de las atribuciones que la ley confiere a las instituciones autónomas del sector salud.


Funciones que precisa el Reglamento Orgánico del Ministerio (en adelante, ROMS), artículo 3, bajo el término de rectoría de la producción social de la salud, según se indica a continuación:


 


·        Vigilancia de la salud. Entendida como aquella función rectora que realiza el Ministerio, con la participación de los actores del Sistema de Producción Social de la Salud, que consiste en seleccionar, recopilar, integrar, analizar y difundir información sobre el estado de salud, sus determinantes y tendencias, con el objeto de seleccionar las medidas más apropiadas para proteger y mejorar la salud de la población (artículo 3, inciso c), ROMS).


 


·        Planificación Estratégica de la Salud. Que es la función rectora que realiza el Ministerio, y que se refiere a formular y ejecutar, con participación de los actores del Sistema de Producción Social de la Salud, planes y proyectos, sectoriales e intersectoriales, dirigidos a proteger y mejorar la salud de la población a partir de las políticas nacionales de salud y la información sobre el estado de salud, sus determinantes y tendencias (artículo 3, inciso d), ROMS).


 


·        Regulación en salud. Entendida como la función rectora que realiza el Ministerio de Salud con la participación de los actores del Sistema de Producción Social de la Salud, y que consiste en elaborar y controlar el marco normativo que debe acatar toda persona física y jurídica que provea o reciba bienes y servicios de interés sanitario; o que realice actividades o mantenga conductas que, por su naturaleza, puedan afectar la salud de las personas, a fin de garantizar la calidad, seguridad, eficacia e inocuidad, según corresponda, de los bienes, servicios, actividades y conductas, de interés o impacto sanitario (artículo 3, inciso g), ROMS).


 


2-. La vigilancia epidemiológica justifica el acceso a datos personales en materia de salud


 


La diferencia entre el Ministerio de Salud y la Caja Costarricense de Seguro Social concierne fundamentalmente el suministro de información de la salud de pacientes identificables. Es decir, la circunstancia de que los datos de salud no se requieren en forma global o de una manera anónima sino que, por el contrario, el Ministerio solicita que se identifique a la persona a quien corresponde la información. Pretensión que ampara en sus competencias y en la necesidad de contar con datos veraces, ciertos, de calidad. Y, como ya se ha indicado, la Caja argumenta su negativa del suministro de datos nominativos en el respeto debido al derecho de autodeterminación informativa, ya que en su criterio impediría suministrar los datos cuando no media el consentimiento del derecho habiente.


 


De lo indicado hasta ahora se deriva que el suministro de datos de salud está permitido cuando se dan los supuestos del artículo 9, inciso d) de la Ley de Protección de la Persona frente al tratamiento de sus datos personales.  Y, efectivamente, en el caso que nos ocupa se verifican dichos supuestos.


 


            Como se ha indicado anteriormente, para el ejercicio de la rectoría en el ámbito de la salud, el Ministerio está autorizado a seleccionar, recopilar, integrar, analizar y difundir información sobre el estado de salud, sus determinantes y tendencias, con el objeto de seleccionar las medidas más apropiadas para proteger y mejorar la salud de la población. Una potestad que deriva de lo dispuesto en la Ley General de Salud.  Pero, además, no puede dejar de considerarse que esa Ley   establece una obligación general para todo habitante del país,  relativa al suministro de la información que las autoridades de salud requieran para el cumplimiento de sus funciones. Una obligación que en modo alguno puede considerarse modificada por la Ley de Protección de la Persona frente al tratamiento de sus datos personales. Por consiguiente, cabe considerar que en resguardo de la salud pública, todo individuo está obligado por el artículo 5 mencionado, a suministrar, de manera cierta y oportuna, los datos necesarios para que el Ministerio no solo elabore las estadísticas vitales, sino también aquellos para la evaluación de los recursos de salud (términos que obviamente se refieren a todos los recursos humanos, técnicos, infraestructura, financieros, etc) y los estudios necesarios para conocer los problemas de salud y formular las medidas correspondientes. Ergo, para definir las políticas públicas en dicho ámbito. En tanto que por el artículo 6 de la Ley toda persona debe declarar sobre cualquier asunto relacionado con la salud pública.


 


Puesto que el tema tiene relación con la vigilancia epidemiológica, cabe citar lo dispuesto por dicha Ley  de Salud en orden a las enfermedades transmisibles:


“ARTICULO 147.- Toda persona deberá cumplir con las disposiciones legales o reglamentarias y las prácticas destinadas a prevenir la aparición y propagación de enfermedades transmisibles.


Queda especialmente obligada a cumplir:


a) Las disposiciones que el Ministerio dicte sobre notificación de enfermedades declaradas de denuncia obligatoria.


b) Las medidas preventivas que la autoridad de salud ordene cuando se presente una enfermedad en forma esporádica, endémica o epidémica.


c) Las medidas preventivas que la autoridad sanitaria ordene a fin de ubicar y controlar focos infecciosos, vehículos de transmisión, huéspedes y vectores de enfermedades contagiosas o para proceder a la destrucción de tales focos y vectores, según proceda”.


            Definir cuáles son las enfermedades de denuncia obligatoria es potestad del Ministerio, según lo definen los numerales 158 y siguientes del referido cuerpo normativo. Disposiciones que, en alto grado, están dirigidas a impedir la propagación o difundir las citadas enfermedades, entre las cuales se encuentran las transmisibles, numerales 75 y 76 ibidem.


Asimismo, debe considerarse que la citada Ley impone obligaciones específicas a todos los intervinientes en el campo de la salud pública, sean personas físicas o jurídicas, de derecho público o privado, lo que incluye a la Caja Costarricense de Seguro Social. En este sentido observamos, entre otras, las siguientes obligaciones:


·        Obligación de condicionar las actividades directamente relacionadas con la salud de los individuos o que puedan influir en ella o afectarla, a las disposiciones de dicha ley, sus reglamentos o de las normas generales y particulares que la autoridad de salud dicte a fin de proteger la salud de la población (artículo 38).


 


·        Específicamente para los directores y administradores de los establecimientos de atención médica, entregar al Ministerio, en la oportunidad y dentro del plazo que determine el reglamento o la autoridad de salud competente, las informaciones estadísticas requeridas en torno al sistema de ingresos y egresos de pacientes (artículo 74).


 


·        Obligación de acatar las disposiciones que el Ministerio dicte sobre notificación de enfermedades declaradas de denuncia obligatoria; de cumplir con las medidas preventivas que la autoridad de salud ordene cuando se presente una enfermedad en forma esporádica, endémica o epidémica; observar las medidas preventivas que la autoridad sanitaria ordene a fin de ubicar y controlar focos infecciosos, vehículos de transmisión, huéspedes y vectores de enfermedades contagiosas o para proceder a la destrucción de tales focos y vectores, según proceda (artículo 147).


 


·        Para las instituciones o establecimientos públicos, semipúblicos o privados que realicen acciones de salud (sea de promoción, conservación o recuperación de la salud en las personas o de rehabilitación del paciente), sujeción a las normas técnicas que dicte dentro de su competencia el Ministerio, y al control y vigilancia técnica de las autoridades de salud (artículo 343).


 


·        Sujeción a las regulaciones establecidas legalmente, así como las dispuestas a nivel reglamentario y por medio de órdenes generales y particulares, ordinarias y de emergencia, que las autoridades de salud dicten en el ejercicio de sus competencias orgánicas (artículo 4).


·                    Al igual que al resto de los habitantes del país, cumplir con lo dispuesto en el artículo 5 de la Ley a que ya hicimos referencia, en orden al suministro de la información requerida no solo para las estadísticas vitales, sino para la elaboración de todo estudio que requieran los problemas de salud del país y su efectiva solución o atención.


Se sigue de lo expuesto que las entidades de salud, incluida la Caja, están obligadas a notificar al Ministerio los eventos que este determine como de denuncia obligatoria y, por ende, en los supuestos de enfermedades que determine la autoridad de salud.


 


Obligación que debe retenerse ya que la consulta está directamente relacionada con eventos de notificación obligatoria y vacunas de acuerdo con lo establecido en el Decreto Ejecutivo N° 37306-S del 27 de agosto del 2012, denominado Reglamento de Vigilancia de la Salud. Este último cuerpo normativo determina la información que los sujetos de derecho público y privado que prestan servicios de salud deben suministrar al Ministerio de Salud. Es de advertir que la información que solicita entregar el Ministerio, implica la transmisión de datos personales incluyendo algunos de tipo sensible. Debe tenerse presente que, en virtud de la fuerza normativa del Reglamento y su conformidad con la Ley, las autoridades de salud pueden pedir la información que se indica, sin que se requiera que el Ministerio y la entidad de salud suscriban un convenio para tal efecto. Convenio que sí bien podría suscribirse para una mejor coordinación, no condiciona -repetimos- la competencia del Ministerio para exigir información.


Para los efectos del artículo 9 inciso d) de la Ley de Protección de la Persona frente al tratamiento de sus datos personales resultan relevantes las consideraciones que tuvo el Ejecutivo para emitir el Decreto, regulando el suministro de la información. Esta información, que debe ser oportuna y de alta calidad, sobre el estado de salud de la población, sus determinantes y tendencias, es vital para poder tomar decisiones basadas en la evidencia, que contribuyan a proteger y mejorar la salud individual, familiar y colectiva, de la que son responsables o garantes, según las potestades y ámbitos de acción asignados; que el abordaje de los problemas de salud pública que presenta la población y el país parte del análisis de la situación de salud que se presenta, basado en el tratamiento estadístico y epidemiológico de la información relativa al mismo, lo que permite desarrollar análisis científicos de causalidad, consecuencias, carga económica, estimación de daños no pecuniarios, identificación de inequidades y la formulación de estrategias científicamente fundamentadas para su vigilancia, atenuación y control; asimismo, el Ministerio necesita contar con registros de notificación obligatoria, mortalidad, resultados de laboratorios y sobre determinantes de la salud (ambientales, socioeconómicos y culturales, biológicos, y de servicios de salud), los cuales deben ser completos, oportunos y actualizados, para tomar decisiones oportunas y efectivas que permitan avanzar en el mejoramiento de la salud de la población. Además, para efecto de  las estrategias de inmunización se debe conocer con precisión las coberturas reales de vacunación, el detalle del historial de vacunación de cada persona, para determinar cuáles individuos requieren vacuna o bien, cuál es la población en riesgo de adquirir alguna enfermedad prevenible por vacunación y evitar el que se formen bolsones susceptibles de poner en riesgo la salud pública. Para el logro de esos objetivos se constituye un sistema automatizado e integrado de información, que reúna los requisitos de oportuna y ágil, que facilite el intercambio y uso de datos de calidad para apoyar la toma de decisiones en salud pública en sus diversos niveles de gestión (local, regional y nacional). La obligación de notificar una serie de determinantes, riesgos y eventos de salud tiende a la protección y mejoramiento efectivos de la salud de la población.


Dentro de esta nueva sistematización de la información reglamentada por el Ejecutivo sobresalen tres conceptos fundamentales, cuya definición se encuentra en el artículo 1 del  Reglamento:


·        Determinantes de salud: refiere a aquellos elementos, situaciones o circunstancias de naturaleza biosicosocial, cultural y ambiental, que de forma individual o asociada, son la causa directa o indirecta de algún efecto positivo o negativo en el estado de salud de la población.


 


·        Indicador de vigilancia: es aquel parámetro que permite valorar la tendencia, gravedad, magnitud, grupos vulnerables, distribución espacial entre otros de los eventos y determinantes sujetos a la vigilancia.


 


·        Eventos de Salud: Problemas, condiciones, hechos vitales o acontecimientos de relevancia en la salud de las personas, que son generados por la influencia de uno o más determinantes. Por lo común se expresan en términos de enfermedad, discapacidad, deficiencia, minusvalía, muerte o daño biosicosocial; pero también, son eventos de interés para la salud algunas condiciones especiales del organismo como el embarazo.


Bajo este marco normativo, comprensivo de los fines indicados, se impone la obligación de suministrar información sobre la salud de las personas, suministro que incluye datos nominales de las personas; así, el numeral 29 dispone:


 


“Artículo 29°- De la obligatoriedad de entregar información al Ministerio de Salud.


1. Los entes públicos y privados del país que presten servicios de salud a las personas así como todos los organismos públicos y privados que produzcan, manipulen o concentren información que tenga relación con las determinantes de salud del país, deberán de notificar de manera oportuna todos los eventos de salud incluidos en el presente decreto, así como otra información requerida por el ente Rector en Salud del país a través de la DVS del Ministerio de Salud.


2. Esta notificación deberá de cumplir los parámetros de calidad de la información, oportunidad y ser remitidos por medios electrónicos de acuerdo a los formatos, periodicidad y estándares establecidos por el Ministerio de Salud, de manera que se garanticen los criterios de confidencialidad y seguridad requeridos para el envío de datos nominales de las personas.


3. La periodicidad, el formato y el medio de comunicación y todo lo relacionado con la organización técnica-operativa del proceso será facilitado y coordinado por el Ministerio de Salud y deberá ser de cumplimiento obligatorio por los entes notificadores.


4. Los entes públicos y privados prestarán toda la colaboración necesaria a los funcionarios del Ministerio de Salud cuando se requiere completar, ampliar, corregir o verificar información de los casos atendidos por ellos o de la información suministrada.


Lo anterior sin menoscabo de las obligaciones legales que dichas instituciones tengan en materia de seguridad y confidencialidad de la información que administren.”


Asimismo, en el numeral 30 se estipula que:


 


“Todos los establecimientos de salud, públicos y privados, que posean camas hospitalarias deberán entregar al Ministerio de Salud, la información epidemiológica y estadística general sobre sus egresos hospitalarios de manera digital con la forma y periodicidad que éste determine.”


 


La información a la que se hace referencia en los artículos 29 y 30 antes transcritos es determinada en el artículo 33 del mismo Reglamento, especificándose en primer orden los determinantes, riesgos y eventos de salud que resultan de notificación obligatoria; asimismo se clasifican en cuatro grupos según la importancia que de su conocimiento se requiera, estableciendo para los dos primeros grupos la notificación por la denominada boleta individual. Conforme el artículo 34, para los dos primeros grupos se deben consignar datos específicos tales como: número de cédula de identidad, nacionalidad, nombre completo del paciente, fecha de inicio de síntomas, diagnóstico, fecha de diagnóstico, sexo, etnia, fecha de nacimiento, edad, nombre del encargado (en caso de que el paciente sea menor de edad o discapacitado), residencia, número de teléfono de casa de habitación, lugar de trabajo, establecimiento que informa y nombre de la persona que informa. Como se observa estos datos no solo son personales, sino que califican como de carácter sensible o están relacionados con ellos.


 


En síntesis, con el objeto de que el Estado pueda velar por la salud pública como componente fundamental del orden público pero también como servicio público, el Ministerio de Salud requiere de información sobre la salud de los habitantes del país y a este deber se encuentran sometidos todos ellos pero también cualquier entidad, pública o privada que realice acciones en este ámbito, comprendida la Caja Costarricense del Seguro Social. Un requerimiento que se funda y tiende a satisfacer intereses públicos  y en general, el orden público en materia de salud pública.


 


Al marco normativo del sector salud, se une ahora lo dispuesto en el artículo 9 inciso d) de la Ley de Protección de la Persona frente al tratamiento de sus datos personales. Disposición que, repetimos, permite que el Ministerio requiera el suministro de datos sobre la salud de personas determinadas cuando está de por medio la prevención médica, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, todo sujeto al deber de confidencialidad que se aplica también a las autoridades de salud y demás funcionarios de dicha área. Por consiguiente, el suministro de los datos no contraviene la protección de los datos sensibles, ya que es conforme con lo dispuesto en el artículo 9 de la Ley de Protección de la Persona frente al tratamiento de sus datos personales. Y, por ende, el tratamiento y cesión de los datos, fundado en el interés público, no requiere el consentimiento de la persona a quien conciernen.


 


      De lo antes expuesto, se deriva que ni la Caja ni ningún otro organismo encargado de actividades en materia de salud cumple con sus obligaciones proporcionando datos globales y que no les es dable argumentar que para la elaboración de las estadísticas en materia de salud es suficiente el suministro de los datos en forma global, aun cuando ello sea lo normal en materia estadística según lo dispuesto en el artículo 4 de la Ley del Sistema de Estadística Nacional (Ley N° 7839 del 15 de octubre de 1998). Disposición que, ciertamente, establece que los datos se suministrarán en grupos de tres y en todo caso, de manera que no sea posible identificar al titular de los mismos. Empero, hay un elemento que no puede dejar de tomarse en cuenta y que refiere a la veracidad de la información como elemento para la adopción de las políticas públicas y sobre todo para la determinación del estado de salud de la población.


 


      Evidentemente, no aportar datos nominales para los casos en los que así se ha establecido por la relevancia del evento, podría tener como consecuencia lógica una alteración de los indicadores de salud que maneja el Ministerio, la adopción de decisiones inoportunas o indebidas, con afectación de la salud pública por derivar de conclusiones inexactas; sin dejar de considerar un riesgo para el ejercicio efectivo de los poderes de policía en materia de salud, derivados entre otros de los artículos 147 y 341 de la Ley General de Salud. Todo lo anterior, desde luego que tendría un impacto negativo en el mantenimiento del orden público en materia de salud, al no poder ejercer ese Ministerio en forma adecuada la vigilancia de la salud de la población.


 


            Pero además no puede obviarse que los datos deben ser ciertos, fidedignos y para que se cumpla con dicho requisito se deben evitar las duplicidades. El punto es cómo lograrlo sin necesidad de registrar el nombre y número de identificación de una persona concreta. Máxime cuando una misma persona puede ser atendida en diversos centros de salud, públicos y privados, por el mismo problema de salud. Incluso en diversos centros de la propia Caja Costarricense de Seguro Social, con el agravante de que esos centros estarían obligados a remitir la información sobre esa misma persona a las autoridades del Ministerio. Cabría admitir que en el seno de la Caja una duplicidad de la información dejaría de presentarse cuando exista un único expediente para el paciente, independientemente del centro y nivel que lo atienda, para lo cual tendría que generalizarse y aplicarse debidamente el expediente electrónico.  Empero, aún en ese supuesto subsistiría la posibilidad de que la información sea duplicada, ya que nada excluye que una misma persona tratada en alguno de los niveles de atención de la Caja sea atendida simultáneamente en un centro privado, obligado también a remitir la información. Y simplemente está excluido que esos centros privados tengan acceso al expediente del paciente de la CCSS, y menos aun la existencia de un expediente único, ya que podría ser totalmente lesivo al derecho fundamental aquí cuestionado y a la dignidad del paciente.


 


En último término, respecto del suministro de la información requerida a la Caja Costarricense del Seguro Social por parte del Ministerio de Salud, debe tenerse en cuenta el deber de coordinar que hay entre las Administraciones Públicas (que abarca tanto a la Administración Central como a la Descentralizada) con competencias que tiendan a un mismo fin o que resulten complementarias, el cual se encuentra contemplado en los artículos 8 y 9 de la Ley de Protección del Ciudadano del Exceso de Requisitos  y Trámites Administrativos (Ley N° 8220 del 11 de marzo de 2002), un deber de coordinación que impone incluso el compartir información (ver dictámenes N° C-145-2009 del 25 de mayo del 2009 y N° 155-2010 del 4 de agosto del 2010). En el caso específico, no cabe duda acerca de la complementariedad de las competencias de la Caja Costarricense del Seguro Social encargada de la medicina preventiva y del Ministerio de Salud órgano rector en materia de salud, por lo que impera entre ambas Administraciones, el deber de coordinar.


 


El suministro de información de datos de salud obliga a las autoridades y a todo funcionario del Ministerio a cumplir estrictamente con el deber de confidencialidad. Deber que el Reglamento de Vigilancia de Salud no ha desconocido. El artículo 28 alude a las condiciones de seguridad y confidencialidad de la información que deberán adoptarse y observarse. Es responsabilidad del Ministerio vigilar por el respeto efectivo del deber de confidencialidad, conforme lo dispuesto en el artículo 10 de la Ley de Protección de la Persona frente al tratamiento de sus datos personales.


 


CONCLUSION:


 


            Por lo antes expuesto, es criterio de la Procuraduría General de la República, que:


 


1-. La Ley de Protección de la Persona frente al tratamiento de sus datos personales, Ley N° 8968 del 7 de julio del 2011, garantiza a toda persona física en el país el respeto de su derecho a la autodeterminación informativa en relación con su vida o actividad privada y demás derechos de la personalidad, así como la defensa de su libertad e igualdad con respecto al tratamiento automatizado o manual de los datos correspondientes a su persona o bienes, según lo dispone su artículo 1.


2-.Constituye un principio fundamental de la protección acordada a los datos personales la necesidad del consentimiento expreso de la persona titular de los datos o de su representante.


 


3-.No obstante, el artículo 5 de la citada Ley exceptúa la necesidad de dicho consentimiento, entre otros supuestos, cuando la Constitución o la ley así lo disponen.


           


4-Asimismo, el artículo 8 de la Ley permite limitar los principios, derechos y garantías establecidos en ese cuerpo normativo cuando sea necesario para la adecuada prestación de los servicios públicos. Supuesto en el cual la limitación debe ser razonable y proporcionada respecto del fin público perseguido (debida prestación del servicio público de que se trate).


 


5-. Limitaciones legales que también pueden imponerse respecto de los datos sensibles, incluyendo entre ellos la salud de una persona.


 


6-. El artículo 9 de la citada Ley establece que la prohibición de suministrar datos sensibles o del tratamiento de datos sensibles, entre ellos la salud,  no se aplicará cuando el tratamiento de ellos sea necesario para la prevención o diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios. Caso en el cual el tratamiento debe ser realizado por un funcionario del área de salud, que esté sujeto a secreto profesional o al propio de la función que desempeñe u otra persona sujeta a una obligación equivalente de secreto.


 


7-. Para la debida tutela de la salud de la población del país y, en particular, para la debida formulación de las políticas públicas en la materia, la Ley General de Salud otorga al Ministerio de Salud, órgano rector y regulador en la materia, diversas potestades que requieren el acceso a la información sobre la salud de la población en general y de personas determinadas a las que afecten eventos concretos.


 


8-. Entre esas potestades se encuentran el dirigir y orientar las acciones en materia de medicina preventiva a cargo de organismos públicos y privados; controlar y fiscalizar las actividades de las personas físicas y jurídicas en materia de salud y velar por que estos y en general, todas las personas sujeten su actuación a las leyes, reglamentos y normas pertinentes. Así como mantener un sistema de información y estadística, relativo a la materia de salud, para cuyos efectos todas las instituciones que realicen acciones de salud pública y privada, están obligadas a remitir los datos que el Ministerio solicite, según lo dispone el artículo 2, inciso i) de Ley Orgánica del Ministerio de Salud.


 


9-.Información que debe ser suministrada, sea por las personas físicas en los supuestos de los numerales 5 y 6 de la Ley General de Salud, sea por estas y las entidades que integran el sector salud, lo que incluye necesariamente a la Caja Costarricense de Seguro Social.


 


10-. Como consecuencia de las potestades propias del Ministerio, todos los  intervinientes en el campo de la salud pública, sean personas físicas o jurídicas, de derecho público o privado, incluida la Caja Costarricense de Seguro Social, deben sujetar su actuación no solo a las leyes y reglamentos en la materia, sino a otras disposiciones generales o particulares, comprendidas las normas técnicas dirigidas a proteger la salud de la población, dictadas por las autoridades de salud.


 


11-.Dentro de esas obligaciones impuestas por la Ley General de Salud y sus reglamentos a los intervinientes en el campo de la salud, son fundamentales las relativas a la notificación de enfermedades declaradas de denuncia obligatoria; el cumplimiento de las medidas preventivas ordenadas por la autoridad de salud en caso de que se presente una enfermedad en forma esporádica, endémica o epidémica; o bien, dirigidas a ubicar y controlar focos infecciosos, vehículos de transmisión, huéspedes y vectores de enfermedades contagiosas o para proceder a la destrucción de tales focos y vectores.


 


12-. Como consecuencia de esa obligación legal, el Reglamento de Vigilancia de la Salud, Decreto Ejecutivo, N ° 37306-S del 27 de agosto del 2012, dispone el suministro de información de datos personales sobre todo acerca de los eventos de notificación obligatoria y vacunas.


 


13-. La información que así se suministre y que trate el Ministerio debe ser oportuna, actual y de alta calidad, que dé debida y oportuna cuenta sobre el estado de salud de la población, sus determinantes y tendencias, a efecto de permitir un análisis científico, estadístico y epidemiológico. Análisis que pueda constituirse en la base para la adopción de decisiones que contribuyan a proteger y mejorar la salud individual, familiar y colectiva de la población del país.


 


14-. Parte de ese requerimiento concierne la obligación de notificar los determinantes (elementos, situaciones causante directa o indirectamente de un efecto positivo o negativo en la salud de la población), riesgos y eventos (problemas, condiciones o acontecimientos de relevancia para la salud generados por las determinadas estrategias de inmunización, particularmente respecto de poblaciones en riesgo).


 


15-. La notificación que se realice consigna datos personales específicos relativos a una persona identificada por su nombre completo y número de identificación, dirección, sexo, etnia y detalles referente al evento de salud que motiva la notificación. Es decir, concierne datos personales calificados por la jurisprudencia constitucional y la Ley de Protección de la persona frente al tratamiento de sus datos personales como datos sensibles.


 


16-. El suministro de los datos nominales permite, entre otros elementos, descartar la duplicidad de la información y, por ende, asegura indicadores más exactos para fundar la adopción de las políticas públicas y las medidas sanitarias que sean procedentes.


 


17-. Dicho suministro y tratamiento de datos sensibles encuentra fundamento en la Ley General de Salud, en el artículo 9 inciso d) de la Ley de Protección de la Persona frente a sus datos personales y tiende a satisfacer el interés público.


 


18-. Todo funcionario del Ministerio de Salud que reciba, registre o trate datos sensibles como los indicados en el Reglamento está obligado a cumplir estrictamente con el deber de confidencialidad, en los términos del artículo 10 de la Ley de Protección de la Persona frente al tratamiento de sus datos personales y el artículo 28 del Reglamento de Vigilancia.


 


                                             Atentamente,


 


 


 


 


Dra. Magda Inés Rojas Chaves                                    Lic. Luis Fernando Cartin G.


PROCURADORA GENERAL ADJUNTA                    ABOGADO ASISTENTE


 


MIRCH/lfcg/gap


 


C. I.: Presidenta Ejecutiva Caja Costarricense de Seguro Social