El pasado 9 de agosto de 2023, mientras en Panamá celebrábamos el día del Abogado, la Tercera Sala de la Corte Suprema de Chile, integrada por los Ministros (as) Sergio Manuel Muñoz G., Angela Vivanco M., Adelita Inés Ravanales A., Mario Carroza E. Santiago, emitieron un pronunciamiento histórico, en materia de protección de datos personales en el sector salud.

La controversia tiene su origen en la compra por internet de un dispositivo de medición de actividad eléctrica cerebral, que almacena todos los datos que se generan durante su uso; facilitando a su propietario acceder a los mismos a través de portales electrónicos para su respectiva lectura e interpretación.

Al ingresar al portal electrónico indicado, se percata que el acceso a sus datos es restringido, toda vez que requiere del pago de una licencia (pago adicional) para tener acceso completo a su información de salud.

En virtud de lo anterior, el propietario del dispositivo médico cuestiona el tratamiento que le están dando a sus datos personales y decide presentar una reclamación formal en este sentido, a fin de reivindicar sus derechos e impedir que la compañía fabricante utilice sus datos personales para fines distintos a los autorizados por el, consistentes en el almacenamiento de sus datos neurológicos registrados y generados por el uso del dispositivo médico; toda vez que la compañía los estaba utilizando como respaldo de eficacia de la tecnología.

Desde mi punto de vista, dicha reclamación refleja el nivel de conciencia que como sociedad hemos ido alcanzando, respecto a la protección de nuestros datos personales, de nuestra privacidad y de ese derecho humano tan personalísimo que es el derecho a la intimidad.

Muchas veces compramos dispositivos sin comprender realmente el alcance de los datos que se generan y lo más preocupante aun, es que desconocemos por completo, el tratamiento que le dan a los mismos mientras permanecen almacenados en sus nubes o plataformas.

Vivimos con la superficialidad de que somos los dueños del dispositivo, sin comprender, en la mayoría de los casos, que toda nuestra información está en manos de terceros cuyas intenciones no controlamos.  Por tanto, si no estamos suficientemente consientes de las autorizaciones que emitimos, seremos vulnerables.

En este sentido, el Tribunal Chileno es contundente al exigirle al fabricante que el manejo de datos que de obtengan de su dispositivo se debe ajustar estrictamente a la normativa aplicable de protección de datos personales.

Aunado a lo anterior, le ordena eliminar toda la información que se hubiera almacenado en su nube o portales, en relación con el uso del dispositivo por parte del recurrente.

Esta decisión es histórica, primero, porque exige a los fabricantes de dispositivos médicos el cumplimiento de las normas que regulan la protección de datos personales; y segundo, porque reconoce la vulnerabilidad en la que se encuentran los pacientes, que, por su condición de salud, confían en las nuevas tecnologías, sin tener pleno conocimiento de la magnitud de los datos personales que se generan y cuál será su tratamiento.

Luego de analizar este importantísimo precedente jurisprudencial, es obligatorio reflexionar sobre la protección de datos personales que se generan en los dispositivos médicos.

En Panamá, contamos con una Dirección Nacional de Dispositivos Médicos, que forma parte del Ministerio de Salud; y es la oficina encargada, entre otras cosas, de emitir las licencias de operaciones, permisos de comercialización y supervisar a los distribuidores de dispositivos médicos en el territorio nacional.

¿Será que llegó el momento de exigir a los fabricantes que incluyan dentro de su ficha técnica, la declaración del tratamiento que le darán a los datos personales que se generen por el uso de sus dispositivos médicos?

Para mí, la respuesta es SI.  

Lo anterior, exige que no solo la autoridad rectora valide que el fabricante cumple con este requisito, sino que, de una manera indirecta, involucra a los médicos tratantes que ordenan o recomienden el uso de dispositivos médicos que almacenan datos personales.

Involucra a los médicos, porque en Panamá, la normativa vigente en materia de derechos y deberes de los pacientes, Ley 68/2003, reconoce el derecho a la información, el cual recae sobre la figura del médico y exige que los consentimientos informados sean específicos.  Por tanto, si un médico ordena el uso de dispositivos médicos que almacenen datos personales de sus pacientes, mínimamente, deben informarse del tratamiento que se les dará a esos datos, más allá de su mera interpretación clínica para la atención de su paciente.

De ser posible, el consentimiento específico, debe incluir que los datos generados por el uso del dispositivo serán almacenados por un tercero (fabricante -distribuidor); y que la responsabilidad del médico recae en la interpretación de los mismos, relevando así su responsabilidad sobre un uso inadecuado de los mismos; y brindándole la oportunidad al paciente de conocer la mayor información posible del dispositivo que estará utilizando, valorando sus riesgos y beneficios antes de autorizar su uso.

En esto se basa la autonomía del paciente y la oportunidad del acceso a la información, que le permitirá tomar decisiones relacionadas a su salud, de manera libre e informada, tal como no establece la normativa panameña.

Es esa misma autonomía la que también se manifiesta en materia de protección de datos personales, ya que el titular de los datos, tiene el derecho de decidir el uso, tratamiento, rectificación que desea aplicar sobre sus datos personales.

Siendo la autonomía el común denominador, es necesario que hagamos uso responsable de la misma y nos informemos antes de utilizar dispositivos digitales, compartir nuestros datos, ya que una vez autorizado, damos acceso a que un tercero tenga oportunidad de vulnerar uno de los derechos más preciados que tenemos como seres humanos, que es nuestro derecho a la privacidad.

Retomando el criterio vertido por el Tribunal Chileno en su sentencia, concluimos que es necesario contar con el consentimiento expreso, respecto al uso de datos personales generados por dispositivos médicos; de tal modo que la información obtenida con diversos propósitos, no puede tener finalmente una utilización diversa sin que su titular lo conozca y lo apruebe.