SUPERINTENDENCIA DE SERVICIOS DE SALUD
Resolución 1614/2020
RESOL-2020-1614-APN-SSS#MS
Ciudad de Buenos Aires, 02/12/2020
VISTO el Expediente del Registro de la SUPERINTENDENCIA DE SERVICIOS DE SALUD Nº EX-2020-59712532-APN-GG#SSS, las Leyes Nº 23.660, Nº 23.661, N° 25.326, N° 26.529 y N° 27.275, los Decretos N° 1615 de fecha 23 de diciembre de 1996 y Nº 2710 de fecha 28 de diciembre de 2012, las Resoluciones del Registro de la SUPERINTENDENCIA DE SERVICIOS DE SALUD Nº 220 de fecha 10 de mayo de 2006, Nº 695 de fecha 13 de agosto de 2008, Nº 1006-E de fecha 16 de noviembre de 2017 y N° 642 de fecha 20 de julio de 2018, la Disposición del Registro de la Oficina Nacional de Tecnologías de Información Nº 1 de fecha 19 de febrero de 2015, y
CONSIDERANDO:
Que el Decreto N° 1615/1996 ordenó la fusión de la ADMINISTRACIÓN NACIONAL DEL SEGURO DE SALUD (ANSSAL), el INSTITUTO NACIONAL DE OBRAS SOCIALES (INOS) y la DIRECCIÓN NACIONAL DE OBRAS SOCIALES (DINOS), constituyendo la SUPERINTENDENCIA DE SERVICIOS DE SALUD como organismo descentralizado de la ADMINISTRACIÓN PÚBLICA NACIONAL y en jurisdicción del MINISTERIO DE SALUD.
Que mediante el Decreto Nº 2710/2012 se aprobó la estructura organizativa de la SUPERINTENDENCIA DE SERVICIOS DE SALUD, cuyo Anexo II define sus objetivos, entre los que se encuentra “efectuar el contralor del cumplimiento de las obligaciones éticas correspondientes al organismo y a todos sus dependientes y desarrollar mecanismos de control y procesos contra fraude y corrupción”.
Que la Resolución del Registro de la SUPERINTENDENCIA DE SERVICIOS DE SALUD Nº 220/2006 creó el Comité de Seguridad de la Información, integrado por los Gerentes de todas las áreas sustantivas del Organismo, a los efectos de proyectar y delinear las propuestas para conformar el Modelo de Política de Seguridad de la Información a adoptar.
Que mediante la Resolución del Registro de la SUPERINTENDENCIA DE SERVICIOS DE SALUD Nº 695/2008 se aprobaron los lineamientos básicos propuestos por el citado Comité para integrar el Modelo de Política de Seguridad de la Información a adoptar por este Organismo, así como el Reglamento de Funcionamiento del Comité de Seguridad de la Información y la Política de Privacidad para entidades usuarias del sitio web.
Que por la Disposición del Registro de la Oficina Nacional de Tecnologías de Información (ONTI) Nº 1/2015 se aprobó la Política de Seguridad de la Información, modelo actualmente vigente.
Que la Resolución del Registro de la SUPERINTENDENCIA DE SERVICIOS DE SALUD Nº 642/2018 aprobó el Reglamento de Funcionamiento del Comité de Seguridad de la Información del Organismo, los Principios Básicos del Modelo de Política de Seguridad de la Información, la Política de Control de Acceso a la Información en Formato Papel y la Política de Control de Acceso a la Información Web.
Que el Anexo II del reglamento mencionado determinó que la clasificación de la información corresponde que sea realizada por cada Unidad Organizativa del Organismo, según el caso, en pública, reservada de uso interno, reservada confidencial y reservada secreta, aplicando -de corresponder- la Ley de Protección de Datos Personales.
Que el Comité de Seguridad de la Información celebró su asamblea anual ordinaria con fecha 4 de diciembre de 2019, en la que se decidió dar comienzo con el proceso de clasificación de la información del Organismo durante el año 2020.
Que la Gerencia de Atención y Servicios al Usuario del Sistema de Salud realizó una propuesta para clasificar la información contenida en las actuaciones iniciadas en el marco de la Resolución N° 75/1998, que contienen datos personales e información referente a la salud o a la vida sexual de los ciudadanos.
Que los datos que componen dichas actuaciones son entregados por sus propietarios a esta SUPERINTENDENCIA DE SERVICIOS DE SALUD en virtud de la posición de ente regulador, con el fin específico de tramitar los procedimientos destinados a dar solución a los reclamos que se formulan, garantizando celeridad y asegurando los derechos de los reclamantes.
Que los datos que recibe el Organismo se encuentran resguardados por los profesionales de la salud bajo el secreto médico.
Que la Ley N 25.326 tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, entendiendo por datos personales la información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables, y como datos sensibles los que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.
Que la norma citada en el párrafo precedente prevé en su artículo 8°, con respecto a los datos relativos a la salud, que “Los establecimientos sanitarios públicos o privados y los profesionales vinculados a las ciencias de la salud pueden recolectar y tratar los datos personales relativos a la salud física o mental de los pacientes que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquéllos, respetando los principios del secreto profesional”.
Que dicha Ley consagra principios de finalidad, confidencialidad y excepciones de entrega al mencionar que “los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención” (artículo 4º); “1. El responsable y las personas que intervengan en cualquier fase del tratamiento de datos personales están obligados al secreto profesional respecto de los mismos. Tal obligación subsistirá aun después de finalizada su relación con el titular del archivo de datos. 2. El obligado podrá ser relevado del deber de secreto por resolución judicial y cuando medien razones fundadas relativas a la seguridad pública, la defensa nacional o la salud pública” (artículo 10); y “la información sobre datos personales también puede ser denegada por los responsables o usuarios de bancos de datos públicos, cuando de tal modo se pudieran obstaculizar actuaciones judiciales o administrativas en curso vinculadas a (...) el desarrollo de funciones de control de la salud y del medio ambiente…” (artículo 17).
Que estos principios hallan su correlato en lo previsto en el artículo 38 del Decreto Nº 1759/1972 (t.o. 2017), al establecer que “La parte interesada, su apoderado o letrado patrocinante, podrán tomar vista del expediente durante todo su trámite, con excepción de actuaciones, diligencias, informes o dictámenes que a pedido del órgano competente y previo asesoramiento del servicio jurídico correspondiente, fueren declarados reservados o secretos mediante decisión fundada del respectivo Subsecretario del Ministerio o del titular del ente descentralizado de que se trate”.
Que la Ley N° 26.529 de derechos del paciente en su relación con los Profesionales e Instituciones de la Salud establece en su artículo 2º los derechos a la intimidad, donde toda actividad médico-asistencial tendiente a obtener, clasificar, utilizar, administrar, custodiar y transmitir información y documentación clínica del paciente debe observar el estricto respeto por la dignidad humana y la autonomía de la voluntad, así como el debido resguardo de su intimidad y la confidencialidad de sus datos sensibles; y a la confidencialidad, en función del cual el paciente tiene derecho a que toda persona que participe en la elaboración o manipulación de la documentación clínica, o bien tenga acceso a su contenido, guarde la debida reserva, salvo expresa disposición en contrario emanada de autoridad judicial competente o autorización del propio paciente.
Que la Ley N° 27.275 tiene por objeto garantizar el efectivo ejercicio del derecho de acceso a la información pública, promover la participación ciudadana y la transparencia de la gestión pública.
Que la norma referida establece un límite al ejercicio del derecho de Acceso a la Información Pública, afirmando que los sujetos obligados podrán exceptuarse de proveer la información (artículo 8º) cuando comprometa los derechos o intereses legítimos de un tercero obtenida en carácter confidencial, esté protegida por el secreto profesional y cuando contenga datos personales y no pueda brindarse aplicando procedimientos de disociación, salvo que se cumpla con las condiciones de licitud previstas en la Ley Nº 25.326, de protección de datos personales y sus modificatorias.
Que a la luz de la totalidad de la normativa mencionada y la sensibilidad de los datos que forman parte de ciertas actuaciones, corresponde resguardarlas del acceso por parte de terceros ajenos a su trámite.
Que la Gerencia de Atención y Servicios al Usuario del Sistema de Salud sostiene que las actuaciones cuya clasificación propone contienen datos personales y sensibles, cuyo resguardo es obligatorio, y que corresponde tratarlos conforme su carácter reservado de uso interno.
Que los responsables del Comité de Seguridad de la Información han analizado la propuesta de clasificación de la información formulada por la Gerencia de Atención y Servicios al Usuario del Sistema de Salud y han concluido que los datos personales y sensibles que se pretende reservar pertenecen a los ciudadanos y son entregados al Organismo con la confianza de que serán resguardados y utilizados solamente para el fin específico de los reclamos realizados.
Que la clasificación que se propone no afecta en modo alguno a la transparencia en la gestión pública y el control ciudadano de los actos de la administración, que resulta ejercido por las propias partes intervinientes en los procedimientos que se sustancian en tales actuaciones.
Que la Gerencia de Sistemas de Información toma la intervención de su competencia e informa que no posee el alcance ni los medios para arbitrar lo necesario que garantice el resguardo de la información de los Expedientes en el Sistema de Gestión Documental Electrónica, ya que los datos y documentos vinculados en esta herramienta es provista y gestionada por la Dirección Nacional de Gestión Documental Electrónica.
Que el área referida adjunta el Instructivo para “Solicitar Documentos y Trámites con Carácter Reservado”, basado en la Resolución N° RESOL-2019-43-APN-SECMA#JGM, Anexo I. El inciso A refiere al método de solicitar documentos reservados y el inciso B indica cómo proceder para solicitar códigos de trámite reservados en el Sistema de Gestión Documental Electrónica.
Que agrega que tampoco posee los medios para arbitrar lo necesario que garanticen el resguardo de la información de los Expedientes en formato papel.
Que con respecto a otros sistemas de gestión de actuaciones que le hubieran precedido, en lo que se mantengan vigentes, existe el aplicativo de Intranet, por el cual se cargan datos de gestión de reclamos. El acceso a éste se hace mediante usuario y contraseña otorgados a los agentes de los sectores correspondiente a la gestión y solo en el ambiente protegido de la Intranet del Organismo.
Que las Gerencias de Gestión Estratégica, de Atención y Servicios al Usuario del Sistema de Salud, de Sistemas de Información, de Asuntos Jurídicos y la Gerencia General han tomado la intervención de sus respectivas competencias.
Que la presente se dicta en uso de las facultades conferidas por los Decretos Nº 1615 de fecha 23 de diciembre de 1996, Nº 2710 de fecha 28 de diciembre de 2012 y N° 34 de fecha 07 de enero de 2020.
Por ello
EL SUPERINTENDENTE DE SERVICIOS DE SALUD
RESUELVE:
ARTÍCULO 1º.- Decláranse sensibles los datos personales contenidos en las actuaciones por las que tramitan reclamos de beneficiarios y/o usuarios en el marco del procedimiento previsto en la Resolución N° 75/1998, sus modificatorias y complementarias, y/o la normativa que en el futuro la sustituya.
ARTÍCULO 2°.- Declárase reservada de uso interno toda información contenida en las actuaciones referidas en el artículo anterior.
ARTÍCULO 3º.- Regístrese, comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y, oportunamente, archívese.
Eugenio Daniel Zanarini
Resolución 1614/2020
RESOL-2020-1614-APN-SSS#MS
Ciudad de Buenos Aires, 02/12/2020
VISTO el Expediente del Registro de la SUPERINTENDENCIA DE SERVICIOS DE SALUD Nº EX-2020-59712532-APN-GG#SSS, las Leyes Nº 23.660, Nº 23.661, N° 25.326, N° 26.529 y N° 27.275, los Decretos N° 1615 de fecha 23 de diciembre de 1996 y Nº 2710 de fecha 28 de diciembre de 2012, las Resoluciones del Registro de la SUPERINTENDENCIA DE SERVICIOS DE SALUD Nº 220 de fecha 10 de mayo de 2006, Nº 695 de fecha 13 de agosto de 2008, Nº 1006-E de fecha 16 de noviembre de 2017 y N° 642 de fecha 20 de julio de 2018, la Disposición del Registro de la Oficina Nacional de Tecnologías de Información Nº 1 de fecha 19 de febrero de 2015, y
CONSIDERANDO:
Que el Decreto N° 1615/1996 ordenó la fusión de la ADMINISTRACIÓN NACIONAL DEL SEGURO DE SALUD (ANSSAL), el INSTITUTO NACIONAL DE OBRAS SOCIALES (INOS) y la DIRECCIÓN NACIONAL DE OBRAS SOCIALES (DINOS), constituyendo la SUPERINTENDENCIA DE SERVICIOS DE SALUD como organismo descentralizado de la ADMINISTRACIÓN PÚBLICA NACIONAL y en jurisdicción del MINISTERIO DE SALUD.
Que mediante el Decreto Nº 2710/2012 se aprobó la estructura organizativa de la SUPERINTENDENCIA DE SERVICIOS DE SALUD, cuyo Anexo II define sus objetivos, entre los que se encuentra “efectuar el contralor del cumplimiento de las obligaciones éticas correspondientes al organismo y a todos sus dependientes y desarrollar mecanismos de control y procesos contra fraude y corrupción”.
Que la Resolución del Registro de la SUPERINTENDENCIA DE SERVICIOS DE SALUD Nº 220/2006 creó el Comité de Seguridad de la Información, integrado por los Gerentes de todas las áreas sustantivas del Organismo, a los efectos de proyectar y delinear las propuestas para conformar el Modelo de Política de Seguridad de la Información a adoptar.
Que mediante la Resolución del Registro de la SUPERINTENDENCIA DE SERVICIOS DE SALUD Nº 695/2008 se aprobaron los lineamientos básicos propuestos por el citado Comité para integrar el Modelo de Política de Seguridad de la Información a adoptar por este Organismo, así como el Reglamento de Funcionamiento del Comité de Seguridad de la Información y la Política de Privacidad para entidades usuarias del sitio web.
Que por la Disposición del Registro de la Oficina Nacional de Tecnologías de Información (ONTI) Nº 1/2015 se aprobó la Política de Seguridad de la Información, modelo actualmente vigente.
Que la Resolución del Registro de la SUPERINTENDENCIA DE SERVICIOS DE SALUD Nº 642/2018 aprobó el Reglamento de Funcionamiento del Comité de Seguridad de la Información del Organismo, los Principios Básicos del Modelo de Política de Seguridad de la Información, la Política de Control de Acceso a la Información en Formato Papel y la Política de Control de Acceso a la Información Web.
Que el Anexo II del reglamento mencionado determinó que la clasificación de la información corresponde que sea realizada por cada Unidad Organizativa del Organismo, según el caso, en pública, reservada de uso interno, reservada confidencial y reservada secreta, aplicando -de corresponder- la Ley de Protección de Datos Personales.
Que el Comité de Seguridad de la Información celebró su asamblea anual ordinaria con fecha 4 de diciembre de 2019, en la que se decidió dar comienzo con el proceso de clasificación de la información del Organismo durante el año 2020.
Que la Gerencia de Atención y Servicios al Usuario del Sistema de Salud realizó una propuesta para clasificar la información contenida en las actuaciones iniciadas en el marco de la Resolución N° 75/1998, que contienen datos personales e información referente a la salud o a la vida sexual de los ciudadanos.
Que los datos que componen dichas actuaciones son entregados por sus propietarios a esta SUPERINTENDENCIA DE SERVICIOS DE SALUD en virtud de la posición de ente regulador, con el fin específico de tramitar los procedimientos destinados a dar solución a los reclamos que se formulan, garantizando celeridad y asegurando los derechos de los reclamantes.
Que los datos que recibe el Organismo se encuentran resguardados por los profesionales de la salud bajo el secreto médico.
Que la Ley N 25.326 tiene por objeto la protección integral de los datos personales asentados en archivos, registros, bancos de datos, u otros medios técnicos de tratamiento de datos, entendiendo por datos personales la información de cualquier tipo referida a personas físicas o de existencia ideal determinadas o determinables, y como datos sensibles los que revelan origen racial y étnico, opiniones políticas, convicciones religiosas, filosóficas o morales, afiliación sindical e información referente a la salud o a la vida sexual.
Que la norma citada en el párrafo precedente prevé en su artículo 8°, con respecto a los datos relativos a la salud, que “Los establecimientos sanitarios públicos o privados y los profesionales vinculados a las ciencias de la salud pueden recolectar y tratar los datos personales relativos a la salud física o mental de los pacientes que acudan a los mismos o que estén o hubieren estado bajo tratamiento de aquéllos, respetando los principios del secreto profesional”.
Que dicha Ley consagra principios de finalidad, confidencialidad y excepciones de entrega al mencionar que “los datos objeto de tratamiento no pueden ser utilizados para finalidades distintas o incompatibles con aquellas que motivaron su obtención” (artículo 4º); “1. El responsable y las personas que intervengan en cualquier fase del tratamiento de datos personales están obligados al secreto profesional respecto de los mismos. Tal obligación subsistirá aun después de finalizada su relación con el titular del archivo de datos. 2. El obligado podrá ser relevado del deber de secreto por resolución judicial y cuando medien razones fundadas relativas a la seguridad pública, la defensa nacional o la salud pública” (artículo 10); y “la información sobre datos personales también puede ser denegada por los responsables o usuarios de bancos de datos públicos, cuando de tal modo se pudieran obstaculizar actuaciones judiciales o administrativas en curso vinculadas a (...) el desarrollo de funciones de control de la salud y del medio ambiente…” (artículo 17).
Que estos principios hallan su correlato en lo previsto en el artículo 38 del Decreto Nº 1759/1972 (t.o. 2017), al establecer que “La parte interesada, su apoderado o letrado patrocinante, podrán tomar vista del expediente durante todo su trámite, con excepción de actuaciones, diligencias, informes o dictámenes que a pedido del órgano competente y previo asesoramiento del servicio jurídico correspondiente, fueren declarados reservados o secretos mediante decisión fundada del respectivo Subsecretario del Ministerio o del titular del ente descentralizado de que se trate”.
Que la Ley N° 26.529 de derechos del paciente en su relación con los Profesionales e Instituciones de la Salud establece en su artículo 2º los derechos a la intimidad, donde toda actividad médico-asistencial tendiente a obtener, clasificar, utilizar, administrar, custodiar y transmitir información y documentación clínica del paciente debe observar el estricto respeto por la dignidad humana y la autonomía de la voluntad, así como el debido resguardo de su intimidad y la confidencialidad de sus datos sensibles; y a la confidencialidad, en función del cual el paciente tiene derecho a que toda persona que participe en la elaboración o manipulación de la documentación clínica, o bien tenga acceso a su contenido, guarde la debida reserva, salvo expresa disposición en contrario emanada de autoridad judicial competente o autorización del propio paciente.
Que la Ley N° 27.275 tiene por objeto garantizar el efectivo ejercicio del derecho de acceso a la información pública, promover la participación ciudadana y la transparencia de la gestión pública.
Que la norma referida establece un límite al ejercicio del derecho de Acceso a la Información Pública, afirmando que los sujetos obligados podrán exceptuarse de proveer la información (artículo 8º) cuando comprometa los derechos o intereses legítimos de un tercero obtenida en carácter confidencial, esté protegida por el secreto profesional y cuando contenga datos personales y no pueda brindarse aplicando procedimientos de disociación, salvo que se cumpla con las condiciones de licitud previstas en la Ley Nº 25.326, de protección de datos personales y sus modificatorias.
Que a la luz de la totalidad de la normativa mencionada y la sensibilidad de los datos que forman parte de ciertas actuaciones, corresponde resguardarlas del acceso por parte de terceros ajenos a su trámite.
Que la Gerencia de Atención y Servicios al Usuario del Sistema de Salud sostiene que las actuaciones cuya clasificación propone contienen datos personales y sensibles, cuyo resguardo es obligatorio, y que corresponde tratarlos conforme su carácter reservado de uso interno.
Que los responsables del Comité de Seguridad de la Información han analizado la propuesta de clasificación de la información formulada por la Gerencia de Atención y Servicios al Usuario del Sistema de Salud y han concluido que los datos personales y sensibles que se pretende reservar pertenecen a los ciudadanos y son entregados al Organismo con la confianza de que serán resguardados y utilizados solamente para el fin específico de los reclamos realizados.
Que la clasificación que se propone no afecta en modo alguno a la transparencia en la gestión pública y el control ciudadano de los actos de la administración, que resulta ejercido por las propias partes intervinientes en los procedimientos que se sustancian en tales actuaciones.
Que la Gerencia de Sistemas de Información toma la intervención de su competencia e informa que no posee el alcance ni los medios para arbitrar lo necesario que garantice el resguardo de la información de los Expedientes en el Sistema de Gestión Documental Electrónica, ya que los datos y documentos vinculados en esta herramienta es provista y gestionada por la Dirección Nacional de Gestión Documental Electrónica.
Que el área referida adjunta el Instructivo para “Solicitar Documentos y Trámites con Carácter Reservado”, basado en la Resolución N° RESOL-2019-43-APN-SECMA#JGM, Anexo I. El inciso A refiere al método de solicitar documentos reservados y el inciso B indica cómo proceder para solicitar códigos de trámite reservados en el Sistema de Gestión Documental Electrónica.
Que agrega que tampoco posee los medios para arbitrar lo necesario que garanticen el resguardo de la información de los Expedientes en formato papel.
Que con respecto a otros sistemas de gestión de actuaciones que le hubieran precedido, en lo que se mantengan vigentes, existe el aplicativo de Intranet, por el cual se cargan datos de gestión de reclamos. El acceso a éste se hace mediante usuario y contraseña otorgados a los agentes de los sectores correspondiente a la gestión y solo en el ambiente protegido de la Intranet del Organismo.
Que las Gerencias de Gestión Estratégica, de Atención y Servicios al Usuario del Sistema de Salud, de Sistemas de Información, de Asuntos Jurídicos y la Gerencia General han tomado la intervención de sus respectivas competencias.
Que la presente se dicta en uso de las facultades conferidas por los Decretos Nº 1615 de fecha 23 de diciembre de 1996, Nº 2710 de fecha 28 de diciembre de 2012 y N° 34 de fecha 07 de enero de 2020.
Por ello
EL SUPERINTENDENTE DE SERVICIOS DE SALUD
RESUELVE:
ARTÍCULO 1º.- Decláranse sensibles los datos personales contenidos en las actuaciones por las que tramitan reclamos de beneficiarios y/o usuarios en el marco del procedimiento previsto en la Resolución N° 75/1998, sus modificatorias y complementarias, y/o la normativa que en el futuro la sustituya.
ARTÍCULO 2°.- Declárase reservada de uso interno toda información contenida en las actuaciones referidas en el artículo anterior.
ARTÍCULO 3º.- Regístrese, comuníquese, publíquese, dese a la DIRECCIÓN NACIONAL DEL REGISTRO OFICIAL y, oportunamente, archívese.
Eugenio Daniel Zanarini
e. 09/12/2020 N° 61599/20 v. 09/12/2020