Si se analiza concienzudamente la Ley 1581 se podrá concluir que, ésta plantea un número importante de exigencias encaminadas a la protección de datos personales, exigencias que la mayoría de veces implican renovar los enfoques tradicionales que muchas instituciones le han dado a la información personal que recaudan. Además, un examen de las diversas resoluciones de la Superintendencia de Industria y Comercio (SIC) muestra que la mayoría las incidencias relacionadas con protección de la información personal son producto de una ausencia o marginalidad en la ejecución de procedimientos y protocolos para el tratamiento y seguridad de los datos, de la presencia de vulnerabilidades dentro de los procesos tecnológicos, de una concentración de la información en cada institución y de un enorme volumen de datos que se maneja.
¿Qué tiene que ver lo anterior con las instituciones de salud?
De estudios a los procesos comunes en instituciones de salud se ha podido verificar la existencia de diversos vacíos de control a la gestión, vacíos en servicios habituales tales como almacenamiento, escaneo e impresión de documentos, manejo de las cuentas de ingreso de usuarios, movimiento de información electrónica, vínculo de datos provenientes de centros de diagnóstico y laboratorios, enlaces digitales con entidades que suministran o autorizan medicamentos entre otras.
Ahora bien, con tan solo ingresar a diferentes centros de salud se podrá detectar la ocurrencia de incidentes mayores y menores entre los que se encuentran: observar los monitores con los que se registra el ingreso pacientes con pantalla de cara al público, o acceder a las minutas de registro manual dónde aparecen todos los datos personales de los que han ingresado previamente, o tal vez el caso de un reconocido centro de imágenes diagnósticas en dónde infinidad de pacientes esperan a ser atendidos parados justo frente a la pantalla que muestra las imágenes diagnósticas y el balance de resultados del paciente que ha ingresado antes que ellos. Todos estos ejemplos sustentan las razones para afirmar que muchas instituciones de salud requieren cambios en sus procesos de tratamiento de la información personal en vista de que justo ahora, tales procesos permiten la afectación de la privacidad del titular quien exige que se mantengan en reserva sus datos sensibles
Frente a lo expuesto anteriormente se puede comprender por qué las instituciones de salud no solo tienen desafíos a nivel técnico, sino que también de tipo logístico y administrativo, desafíos que comprenden el control de acceso y la seguridad tanto de registros médicos como de bibliotecas de almacenamiento físico, los procesos de generación de políticas de tratamiento de datos, el control de cumplimiento de protocolos, la organización, capacitación y concientización del personal frente a la protección de datos personales y el sistema de atención a usuarios para que los mismos puedan acceder a sus derechos de actualizar, corregir o eliminar sus datos personales; realizando todo ello bajo las mejores prácticas de implementación y gestión.
Con lo descrito anteriormente, es necesario establecer que cualquier institución hospitalaria, clínica, centro de diagnóstico y rehabilitación, centro odontológico o consultorio médico está obligado a desarrollar un programa que administre las diferentes tareas de protección de datos personales, que controle las variables de riesgo y que permita verificar el cumplimiento de la protección de la información personal. Y es que se debe entender que, los datos médicos son de carácter sensible y requieren una administración con responsabilidad reforzada sin que importe el tamaño de la institución; esa es la razón por la cual la SIC, en el momento de verificar cualquier irregularidad dentro de una entidad de salud, examina con rigor los procedimientos, protocolos, políticas y sistemas de seguridad, buscando con ello encontrar señales que demuestren la responsabilidad de la gestión frente a los datos personales, de no existir estas señales se podrá establecer que hay un desdén y una falta de interés en proteger la información de cada titular lo que conlleva a una resolución sancionatoria con pena administrativa y económica.
Además de lo anterior, hay que ser objetivos y entender que los métodos de uso, protección y retención de datos han cambiado notablemente en los últimos años, producto de los avances tecnológicos y de la informática avanzada, que el nivel de sofisticación de la delincuencia y los cazadores de información personal ha desbordado muchas veces las capacidades técnicas de las empresas y que al final nuestros funcionarios son humanos y carecen de capacidad y conocimiento ilimitado.
Lo anterior conduce a nuestro deber de aceptar que sin importar su tipo, toda institución está expuesta a innumerables amenazas y que se hace necesario implementar procedimientos que mezclen la acción humana con la informática e incorporen mecanismos de control que guíen a nuestros funcionarios y que supervisen las operaciones de captura, tratamiento y almacenamiento de datos personales, todo ello en cumplimiento de los establecido por la Ley.
Adicionalmente debemos ser conscientes que la privacidad y la protección de la información personal es un derecho al que tiene acceso un titular y este requiere de acciones administrativas no opcionales, es decir que se realizan o se realizan, de lo contrario la institución que falle se expondrá a diverso tipo de sanciones que en muchos casos son bastante severas.
Un consultor especializado en protección de datos personales indicará a la institución médica cómo catalogar adecuadamente los archivos, ayudará al desarrollo de Políticas de Administración y gestión de datos, guiará en temas de seguridad, tratamiento de la información, registros electrónicos y alojamiento en la nube y lo instruirá para que pueda generar conciencia en el personal sobre la importancia de la PDP; así usted además de cumplir con la normativa dispondrá de estándares administrativos que mejoren todos sus procesos.
