Sistema Costarricense de Información Jurídica

Ficha del Pronunciamiento

Dictamen : 199 del 9/9/2024
Consultante:	Navas Alvarado Lissette
Cargo:	Directora General
Institución:	Instituto Costarricense de Investigación y Enseñanza en Nutrición y Salud
Funcionario:	Silvia Patiño Cruz

ß&Ø¥ß%

Texto Dictamen 199

Dictamen : 199 del 09/09/2024

09 de setiembre del 2024

PGR-C-199-2024

Doctora

Lissette Navas Alvarado

Directora General

Instituto Costarricense de Investigación y Enseñanza en Nutrición y Salud (INCIENSA)

Estimada señora:

Con aprobación del señor Procurador General de la República, me refiero a su oficio INCIENSA-DG-of-2024-120 del 21 de marzo de 2024, mediante el cual solicita que nos pronunciemos sobre lo siguiente:

“Si una institución de salud con delegación del ente rector mediante ley y decretos para ejecutar funciones de vigilancia epidemiológica tiene la potestad y es competente para tener acceso y acceso sin intermediación a la información producida por otra institución del sector salud, que contiene datos sensibles necesarios para ejecutar la función de vigilancia epidemiológica en salud pública en beneficio de la población nacional.”

En cumplimiento de lo dispuesto en el numeral 4 de la Ley Orgánica de la Procuraduría General de la República, se acompaña la presente consulta del criterio emitido por la Asesoría Legal del INCIENSA.

Asimismo, debemos señalar que mediante oficio DPB -OFI-5790-2024 del 19 de agosto del 2024, esta Procuraduría otorgó audiencia a la Presidencia Ejecutiva de la Caja Costarricense de Seguro Social (CCSS) para que, en un plazo de tres días, se refiriera a la presente consulta. Sin embargo, vencido de sobra el plazo otorgado, no fue recibida respuesta alguna, por lo que procedemos a evacuarla sin las posición de dicha institución.

I. SOBRE LAS FUNCIONES Y NATURALEZA JURÍDICA DEL INCIENSA

El INCIENSA tiene como antecedente a la Clínica Nacional de Nutrición creada mediante la Ley N.° 4508 del 26 de diciembre de 1969, que se encontraba bajo la administración de la Junta de Protección Social. Posteriormente, mediante la Ley N.° 5838 del 4 de noviembre de 1975, pasó a manos de una Junta Directiva nombrada por el Ministro de Salud.

Fue mediante la Ley N.° 6088 del 7 de octubre de 1977, que se crea el Instituto Costarricense Investigación y Enseñanza Salud Nutrición (INCIENSA), en sustitución de la Clínica Nacional de Nutrición. En dicha ley, se le reconoce como un organismo adscrito al Ministerio de Salud.

Posteriormente, mediante Ley N.° 8270 del 2 de mayo de 2002, se realizaron nuevas modificaciones, otorgándole al INCIENSA personalidad jurídica instrumental, por lo que actualmente el artículo 1 de su Ley de Creación dispone:

“Artículo 1º-Créase el Instituto Costarricense de Investigación y Enseñanza en Nutrición y Salud (INCIENSA), que será un organismo responsable de la vigilancia epidemiológica base en laboratorios, de las investigaciones prioritarias en salud pública y de los procesos de enseñanza en salud derivados de su quehacer. Para ello, tendrá personalidad jurídica instrumental; estará exento del pago de toda clase de impuestos y estará sujeto a la fiscalización de la Contraloría General de la República. La Dirección Técnica y Administrativa del Instituto estará a cargo de un director general, quien será el representante legal de la Institución y agotará la vía administrativa. “(Así reformado por el artículo 3 de la Ley N° 8270 de 02 de mayo de 2002).

De lo indicado, debemos señalar que el INCIENSA fue concebido como un órgano adscrito que forma parte de la estructura del Ministerio de Salud, cuyo objetivo es la vigilancia epidemiológica base en laboratorios, la investigación prioritaria en salud pública y los procesos de enseñanza en salud derivados de su quehacer, para cuyos efectos se le otorgó personalidad jurídica instrumental.

Analizando su naturaleza jurídica, este órgano asesor ha indicado que la personalidad jurídica instrumental que le fue otorgada se limita al manejo de determinados fondos señalados por el legislador, que permite la realización de actos y contratos con cargo a ellos, pero que no comporta una descentralización funcional verdadera.

Sin embargo, de conformidad con el artículo 1 de la ley N.° 4508 y sus reformas, debe entenderse que el Director Técnico y Administrativo del INCIENSA tiene la potestad de agotar la vía administrativa, razón por la que “el interés legal es considerarlo un órgano desconcentrado”, esto obviamente “en el tanto en que la investigación en materia de salud y la vigilancia epidemiológica se realice en ejercicio de un poder propio, no imputable al Ministerio” (dictamen N° C-217-2007).

En cuanto a esa desconcentración funcional, este órgano asesor ha considerado que se trata de una desconcentración mínima para el ejercicio de sus funciones (ver dictámenes C-270-2006 del 04 de julio del 2006, N.° C-217-2007 del 03 de julio del 2007 y C-030-2008 del 31 de enero de 2008), y debe descartarse la existencia de una desconcentración en grado máximo.

Debe recordarse que el Instituto no se encuentra sustraído de órdenes, circulares o instrucciones de su superior, por lo que a la luz de lo dispuesto en el numeral 83 inciso 5) de la Ley General de la Administración Pública, las normas que crean la desconcentración mínima son de aplicación restrictiva en contra de la competencia del órgano desconcentrado, razón por la cual, ante la falta de regulación al respecto, ha de entenderse que su desconcentración es en grado mínimo.

Asimismo, el Decreto Ejecutivo 36406 del 3 de enero de 2011, que es el Reglamento Orgánico del Instituto Costarricense de Investigación y Enseñanza en Nutrición y Salud establece como misión del INCIENSA apoyar al Ministerio de Salud en el ejercicio de la rectoría para proteger y mejorar el estado de salud de la población mediante la vigilancia epidemiológica especializada y la basada en laboratorio, el aseguramiento de la calidad de los diagnósticos de la red nacional de laboratorios públicos y privados, el análisis de laboratorio de productos de interés sanitario, la realización de investigaciones prioritarias en salud pública y procesos de enseñanza en su ámbito de especialización, lo cual refuerza la idea de la desconcentración mínima.

Así las cosas, el hecho de que el INCIENSA ostente personalidad jurídica instrumental no implica por sí misma la existencia de desconcentración máxima, ya que dicha condición únicamente se refiere a la posibilidad de manejar determinados fondos a fin de realizar su actividad de manera más eficiente.

Por lo anterior, debemos concluir que el INCIENSA es un órgano de desconcentración mínima del Ministerio de Salud, que coadyuva de manera activa con las funciones de rectoría que ejerce dicho ministerio, lo cual resulta de especial relevancia cuando analicemos las interrogantes que se plantean en la presente consulta.

II. SOBRE EL DERECHO A LA AUTODETERMINACIÓN INFORMATIVA Y SUS LÍMITES

El artículo 24 de la Constitución Política garantiza el derecho a la intimidad, a la libertad y al secreto de las comunicaciones, de cuyo contenido derivan otros derechos reconocidos en el ámbito constitucional como el derecho a la imagen, la inviolabilidad de los documentos privados y de autodeterminación informativa.

Específicamente el derecho a la autodeterminación informativa comprende el derecho del individuo a estar informado sobre el procesamiento de sus datos, sobre el fin que se persigue con su acceso, así como la posibilidad de tener control sobre los datos que contiene un registro y corregirlos o eliminarlos en caso de que le cause algún perjuicio.

En relación con este derecho, la Sala Constitucional ha señalado que constituye una ampliación del ámbito protector del derecho a la intimidad, que surge como respuesta a los cambios en la fluidez de la información, evolucionando a nuevas herramientas de comunicación y distribución de la información, por lo que se debe garantizar el derecho fundamental de los ciudadanos a decidir quién, cuándo, dónde y bajo qué circunstancias se puede tener contacto con sus datos (dictamen C-412-2020 del 21 de octubre de 2020 de la PGR y sentencia de la Sala Constitucional 910-2009 de las 13:36 horas de 23 de enero de 2009).

En el año 2011, se emite la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales, N.° 8968 del 5 de setiembre, cuya finalidad es garantizar a cualquier persona, sin discriminación alguna, el respeto a su derecho a la autodeterminación informativa en relación con su vida o actividad privada y demás derechos de la personalidad, así como la defensa de su libertad e igualdad, con respecto al tratamiento automatizado o manual de los datos sobre su persona o bienes (artículo 1). Adicionalmente, fue emitido el Decreto Ejecutivo N° 37554 del 30 de octubre de 2012, Reglamento a la Ley de Protección de la Persona frente al Tratamiento de sus Datos Personales.

Respecto a su ámbito de aplicación, la citada ley contempla todos aquellos datos que figuren en bases de datos automatizadas o manuales, de organismos públicos o privados y a toda modalidad de uso posterior de estos datos, excluyéndose a las bases de datos mantenidas por personas físicas o jurídicas con fines exclusivamente internos, personales o domésticos, siempre y cuando estas no sean vendidas o de cualquier otra manera comercializadas (artículo 2 de la Ley).

Concretamente, sobre el derecho a la autodeterminación informativa, para el adecuado tratamiento de los datos personales, el numeral 4 señala:

“ARTÍCULO 4.- Autodeterminación informativa

Toda persona tiene derecho a la autodeterminación informativa, la cual abarca el conjunto de principios y garantías relativas al legítimo tratamiento de sus datos personales reconocidos en esta sección.

Se reconoce también la autodeterminación informativa como un derecho fundamental, con el objeto de controlar el flujo de informaciones que conciernen a cada persona, derivado del derecho a la privacidad, evitando que se propicien acciones discriminatorias.”

A partir del reconocimiento de dicho derecho, constituye un principio fundamental de la protección acordada a los datos personales, la necesidad del consentimiento expreso de la persona titular de los datos o de su representante, salvo las excepciones establecidas constitucional o legalmente, en los términos dispuestos en el numeral 5 de la Ley N.° 8968.

Un aspecto importante a resaltar es que, para efectos de determinar el tratamiento o restricción de acceso que se le debe dar a la información de los particulares, la Ley en comentario, así como su reglamento, clasifican los datos en diferentes categorías (artículo 9): los datos sensibles o personales, son aquellos que el individuo no tiene la obligación de revelar por ser información de carácter personal (relacionados con origen étnico, religión, salud, orientación sexual, etc), por lo que se prohíbe su tratamiento por parte de terceros (con las excepciones contenida en el artículo 9.1 de la Ley); los datos personales de acceso restringido, los cuales, aún y cuando consten en registros de acceso al público, no pueden ser de acceso irrestricto, de allí que, su tratamiento está permitido sólo para el titular de la Administración Pública interesada, cuando persiga fines públicos, o bien, se cuente con el consentimiento expreso del titular, en ese sentido, aún y cuando se encuentre en poder de la Administración, está protegida por el artículo 24 de la Constitución Política y, por ende, no tendrían acceso indiscriminado y; lo datos personales de acceso irrestricto, los cuales son aquellos que forman parte de las bases de datos públicas de acceso general, por disposición de ley especial y para la finalidad para lo cual fueron recabados.

Adicionalmente, al responsable de la base de datos se le impone un deber de adoptar las medidas de índole técnica y de organización necesarias con el objeto de garantizar la seguridad de los datos personales y evitar su alteración, destrucción accidental o ilícita, pérdida, tratamiento o acceso no autorizado, así como cualquier otra acción contraria a la Ley en mención, contemplando como mínimo dentro de esas medidas, los mecanismos de seguridad física y lógica más adecuados acordes con el desarrollo tecnológico que impere en el momento. Asimismo, sobre dichos responsables y quienes participen en cualquier fase del proceso de tratamiento de datos personales, recae en correspondencia con esa información, un deber de confidencialidad sea por su condición profesional o funcional (artículo 11).

En la legislación actual, se establecen también excepciones a la autodeterminación informativa, entendiendo que este derecho puede ser limitado cuando se persigan ciertos fines. Señala el artículo 8 de la Ley N.° 8968:

“ARTÍCULO 8.- Excepciones a la autodeterminación informativa del ciudadano

Los principios, los derechos y las garantías aquí establecidos podrán ser limitados de manera justa, razonable y acorde con el principio de transparencia administrativa, cuando se persigan los siguientes fines:

a) La seguridad del Estado.

b) La seguridad y el ejercicio de la autoridad pública.

c) La prevención, persecución, investigación, detención y represión de las infracciones penales, o de las infracciones de la deontología en las profesiones.

d) El funcionamiento de bases de datos que se utilicen con fines estadísticos, históricos o de investigación científica, cuando no exista riesgo de que las personas sean identificadas.

e) La adecuada prestación de servicios públicos.

f) La eficaz actividad ordinaria de la Administración, por parte de las autoridades oficiales.”

Como se observa, dentro de los límites a la autodeterminación informativa está el correcto ejercicio de la autoridad pública, la correcta prestación de los servicios públicos y la actividad ordinaria de la Administración por parte de las autoridades oficiales.

Adicionalmente, en lo que se refiere específicamente al tratamiento de los datos sensibles, se establecen excepciones específicas en el artículo 9 de la Ley, indicando en lo que interesa:

“ARTÍCULO 9.- Categorías particulares de los datos

Además de las reglas generales establecidas en esta ley, para el tratamiento de los datos personales, las categorías particulares de los datos que se mencionarán, se regirán por las siguientes disposiciones:

1.- Datos sensibles

Ninguna persona estará obligada a suministrar datos sensibles. Se prohíbe el tratamiento de datos de carácter personal que revelen el origen racial o étnico, opiniones políticas, convicciones religiosas, espirituales o filosóficas, así como los relativos a la salud, la vida y la orientación sexual, entre otros.

Esta prohibición no se aplicará cuando:

(…)

d) El tratamiento de los datos resulte necesario para la prevención o para el diagnóstico médico, la prestación de asistencia sanitaria o tratamientos médicos, o la gestión de servicios sanitarios, siempre que dicho tratamiento de datos sea realizado por un funcionario o funcionaria del área de la salud, sujeto al secreto profesional o propio de su función, o por otra persona sujeta, asimismo, a una obligación equivalente de secreto.” (La negrita no forma parte del original)

Como se observa, las actividades relacionadas con la prevención y asistencia sanitaria o diagnóstico médico, así como la gestión de servicios sanitarios, constituyen un límite válido para la utilización de datos de naturaleza sensible, siempre que estos sean tratados por un funcionario o funcionaria del área de salud sujeto al secreto profesional.

En ese sentido, este órgano asesor ha señalado que, dichas limitaciones deben ser establecidas en consonancia con el principio de transparencia administrativa y deben constituir una limitación justa y razonable. Consecuentemente, deben ser conformes con los principios de razonabilidad y proporcionalidad que rigen la actuación pública y al principio de transparencia (no puede ser arbitraria ni desproporcionada respecto de los fines que persigue), lo cual implica que, aún y cuando se restrinja el derecho a la autodeterminación informativa, los titulares de los datos o sus representantes puedan conocer sobre la existencia del archivo, los datos que constan allí y el tratamiento que recibirán (dictamen C-090-2013 del 28 de mayo de 2013).

La existencia de dichos límites resulta de especial relevancia en el caso concreto, ante las interrogantes que plantea la directora general del INCIENSA, lo cual pasaremos a abordar en el siguiente apartado.

III. LA SALUD PÚBLICA COMO EXCEPCIÓN AL DERECHO A LA AUTODETERMINACIÓN INFORMATIVA Y EL MANEJO DE DATOS SENSIBLES

Sin perjuicio de lo ya indicado en el apartado anterior, debemos señalar que esta Procuraduría ya abordó en el pasado un tema muy similar al que ahora se plantea, específicamente en cuanto a la posibilidad del Ministerio de Salud de acceder a información de carácter sensible, identificando a las personas que constan en las bases de datos de la Caja Costarricense de Seguro Social, con el fin de cumplir con las funciones de interés público que le competen.

Al tratarse el INCIENSA, como indicamos, de un órgano desconcentrado en grado mínimo del Ministerio de Salud, que realiza funciones de vigilancia epidemiológica, coadyuvando con la rectoría de dicho ministerio, estimamos que los razonamientos dados en aquella oportunidad resultan de plena aplicación a lo que ahora se consulta.

Específicamente en el dictamen C-090-2013 del 28 de mayo de 2013, nos referimos a la excepción contenida en el artículo 9 inciso d) de la N.° 8968, arriba citada, indicando en lo que interesa para esta consulta:

“2-. La vigilancia epidemiológica justifica el acceso a datos personales en materia de salud

La diferencia entre el Ministerio de Salud y la Caja Costarricense de Seguro Social concierne fundamentalmente el suministro de información de la salud de pacientes identificables. Es decir, la circunstancia de que los datos de salud no se requieren en forma global o de una manera anónima sino que, por el contrario, el Ministerio solicita que se identifique a la persona a quien corresponde la información. Pretensión que ampara en sus competencias y en la necesidad de contar con datos veraces, ciertos, de calidad. Y, como ya se ha indicado, la Caja argumenta su negativa del suministro de datos nominativos en el respeto debido al derecho de autodeterminación informativa, ya que en su criterio impediría suministrar los datos cuando no media el consentimiento del derecho habiente.

De lo indicado hasta ahora se deriva que el suministro de datos de salud está permitido cuando se dan los supuestos del artículo 9, inciso d) de la Ley de Protección de la Persona frente al tratamiento de sus datos personales. Y, efectivamente, en el caso que nos ocupa se verifican dichos supuestos.

Como se ha indicado anteriormente, para el ejercicio de la rectoría en el ámbito de la salud, el Ministerio está autorizado a seleccionar, recopilar, integrar, analizar y difundir información sobre el estado de salud, sus determinantes y tendencias, con el objeto de seleccionar las medidas más apropiadas para proteger y mejorar la salud de la población. Una potestad que deriva de lo dispuesto en la Ley General de Salud. Pero, además, no puede dejar de considerarse que esa Ley establece una obligación general para todo habitante del país, relativa al suministro de la información que las autoridades de salud requieran para el cumplimiento de sus funciones. Una obligación que en modo alguno puede considerarse modificada por la Ley de Protección de la Persona frente al tratamiento de sus datos personales. Por consiguiente, cabe considerar que en resguardo de la salud pública, todo individuo está obligado por el artículo 5 mencionado, a suministrar, de manera cierta y oportuna, los datos necesarios para que el Ministerio no solo elabore las estadísticas vitales, sino también aquellos para la evaluación de los recursos de salud (términos que obviamente se refieren a todos los recursos humanos, técnicos, infraestructura, financieros, etc) y los estudios necesarios para conocer los problemas de salud y formular las medidas correspondientes. Ergo, para definir las políticas públicas en dicho ámbito. En tanto que por el artículo 6 de la Ley toda persona debe declarar sobre cualquier asunto relacionado con la salud pública.

Puesto que el tema tiene relación con la vigilancia epidemiológica, cabe citar lo dispuesto por dicha Ley de Salud en orden a las enfermedades transmisibles:

“ARTICULO 147.- Toda persona deberá cumplir con las disposiciones legales o reglamentarias y las prácticas destinadas a prevenir la aparición y propagación de enfermedades transmisibles.

Queda especialmente obligada a cumplir:

a) Las disposiciones que el Ministerio dicte sobre notificación de enfermedades declaradas de denuncia obligatoria.

b) Las medidas preventivas que la autoridad de salud ordene cuando se presente una enfermedad en forma esporádica, endémica o epidémica.

c) Las medidas preventivas que la autoridad sanitaria ordene a fin de ubicar y controlar focos infecciosos, vehículos de transmisión, huéspedes y vectores de enfermedades contagiosas o para proceder a la destrucción de tales focos y vectores, según proceda”.

Definir cuáles son las enfermedades de denuncia obligatoria es potestad del Ministerio, según lo definen los numerales 158 y siguientes del referido cuerpo normativo. Disposiciones que, en alto grado, están dirigidas a impedir la propagación o difundir las citadas enfermedades, entre las cuales se encuentran las transmisibles, numerales 75 y 76 ibidem.

Asimismo, debe considerarse que la citada Ley impone obligaciones específicas a todos los intervinientes en el campo de la salud pública, sean personas físicas o jurídicas, de derecho público o privado, lo que incluye a la Caja Costarricense de Seguro Social. En este sentido observamos, entre otras, las siguientes obligaciones:

· Obligación de condicionar las actividades directamente relacionadas con la salud de los individuos o que puedan influir en ella o afectarla, a las disposiciones de dicha ley, sus reglamentos o de las normas generales y particulares que la autoridad de salud dicte a fin de proteger la salud de la población (artículo 38).

· Específicamente para los directores y administradores de los establecimientos de atención médica, entregar al Ministerio, en la oportunidad y dentro del plazo que determine el reglamento o la autoridad de salud competente, las informaciones estadísticas requeridas en torno al sistema de ingresos y egresos de pacientes (artículo 74).

· Obligación de acatar las disposiciones que el Ministerio dicte sobre notificación de enfermedades declaradas de denuncia obligatoria; de cumplir con las medidas preventivas que la autoridad de salud ordene cuando se presente una enfermedad en forma esporádica, endémica o epidémica; observar las medidas preventivas que la autoridad sanitaria ordene a fin de ubicar y controlar focos infecciosos, vehículos de transmisión, huéspedes y vectores de enfermedades contagiosas o para proceder a la destrucción de tales focos y vectores, según proceda (artículo 147).

· Para las instituciones o establecimientos públicos, semipúblicos o privados que realicen acciones de salud (sea de promoción, conservación o recuperación de la salud en las personas o de rehabilitación del paciente), sujeción a las normas técnicas que dicte dentro de su competencia el Ministerio, y al control y vigilancia técnica de las autoridades de salud (artículo 343).

· Sujeción a las regulaciones establecidas legalmente, así como las dispuestas a nivel reglamentario y por medio de órdenes generales y particulares, ordinarias y de emergencia, que las autoridades de salud dicten en el ejercicio de sus competencias orgánicas (artículo 4).

Al igual que al resto de los habitantes del país, cumplir con lo dispuesto en el artículo 5 de la Ley a que ya hicimos referencia, en orden al suministro de la información requerida no solo para las estadísticas vitales, sino para la elaboración de todo estudio que requieran los problemas de salud del país y su efectiva solución o atención.

Se sigue de lo expuesto que las entidades de salud, incluida la Caja, están obligadas a notificar al Ministerio los eventos que este determine como de denuncia obligatoria y, por ende, en los supuestos de enfermedades que determine la autoridad de salud.

(…). Es de advertir que la información que solicita entregar el Ministerio, implica la transmisión de datos personales incluyendo algunos de tipo sensible. Debe tenerse presente que, en virtud de la fuerza normativa del Reglamento y su conformidad con la Ley, las autoridades de salud pueden pedir la información que se indica, sin que se requiera que el Ministerio y la entidad de salud suscriban un convenio para tal efecto. Convenio que sí bien podría suscribirse para una mejor coordinación, no condiciona -repetimos- la competencia del Ministerio para exigir información.

Para los efectos del artículo 9 inciso d) de la Ley de Protección de la Persona frente al tratamiento de sus datos personales resultan relevantes las consideraciones que tuvo el Ejecutivo para emitir el Decreto, regulando el suministro de la información. Esta información, que debe ser oportuna y de alta calidad, sobre el estado de salud de la población, sus determinantes y tendencias, es vital para poder tomar decisiones basadas en la evidencia, que contribuyan a proteger y mejorar la salud individual, familiar y colectiva, de la que son responsables o garantes, según las potestades y ámbitos de acción asignados; que el abordaje de los problemas de salud pública que presenta la población y el país parte del análisis de la situación de salud que se presenta, basado en el tratamiento estadístico y epidemiológico de la información relativa al mismo, lo que permite desarrollar análisis científicos de causalidad, consecuencias, carga económica, estimación de daños no pecuniarios, identificación de inequidades y la formulación de estrategias científicamente fundamentadas para su vigilancia, atenuación y control; asimismo, el Ministerio necesita contar con registros de notificación obligatoria, mortalidad, resultados de laboratorios y sobre determinantes de la salud (ambientales, socioeconómicos y culturales, biológicos, y de servicios de salud), los cuales deben ser completos, oportunos y actualizados, para tomar decisiones oportunas y efectivas que permitan avanzar en el mejoramiento de la salud de la población. Además, para efecto de las estrategias de inmunización se debe conocer con precisión las coberturas reales de vacunación, el detalle del historial de vacunación de cada persona, para determinar cuáles individuos requieren vacuna o bien, cuál es la población en riesgo de adquirir alguna enfermedad prevenible por vacunación y evitar el que se formen bolsones susceptibles de poner en riesgo la salud pública. Para el logro de esos objetivos se constituye un sistema automatizado e integrado de información, que reúna los requisitos de oportuna y ágil, que facilite el intercambio y uso de datos de calidad para apoyar la toma de decisiones en salud pública en sus diversos niveles de gestión (local, regional y nacional). La obligación de notificar una serie de determinantes, riesgos y eventos de salud tiende a la protección y mejoramiento efectivos de la salud de la población.

(…)

En síntesis, con el objeto de que el Estado pueda velar por la salud pública como componente fundamental del orden público pero también como servicio público, el Ministerio de Salud requiere de información sobre la salud de los habitantes del país y a este deber se encuentran sometidos todos ellos pero también cualquier entidad, pública o privada que realice acciones en este ámbito, comprendida la Caja Costarricense del Seguro Social. Un requerimiento que se funda y tiende a satisfacer intereses públicos y en general, el orden público en materia de salud pública.

Al marco normativo del sector salud, se une ahora lo dispuesto en el artículo 9 inciso d) de la Ley de Protección de la Persona frente al tratamiento de sus datos personales. Disposición que, repetimos, permite que el Ministerio requiera el suministro de datos sobre la salud de personas determinadas cuando está de por medio la prevención médica, la prestación de asistencia sanitaria o tratamientos médicos o la gestión de servicios sanitarios, todo sujeto al deber de confidencialidad que se aplica también a las autoridades de salud y demás funcionarios de dicha área. Por consiguiente, el suministro de los datos no contraviene la protección de los datos sensibles, ya que es conforme con lo dispuesto en el artículo 9 de la Ley de Protección de la Persona frente al tratamiento de sus datos personales. Y, por ende, el tratamiento y cesión de los datos, fundado en el interés público, no requiere el consentimiento de la persona a quien conciernen.

De lo antes expuesto, se deriva que ni la Caja ni ningún otro organismo encargado de actividades en materia de salud cumple con sus obligaciones proporcionando datos globales y que no les es dable argumentar que para la elaboración de las estadísticas en materia de salud es suficiente el suministro de los datos en forma global, aun cuando ello sea lo normal en materia estadística según lo dispuesto en el artículo 4 de la Ley del Sistema de Estadística Nacional (Ley N° 7839 del 15 de octubre de 1998). Disposición que, ciertamente, establece que los datos se suministrarán en grupos de tres y en todo caso, de manera que no sea posible identificar al titular de los mismos. Empero, hay un elemento que no puede dejar de tomarse en cuenta y que refiere a la veracidad de la información como elemento para la adopción de las políticas públicas y sobre todo para la determinación del estado de salud de la población.

Evidentemente, no aportar datos nominales para los casos en los que así se ha establecido por la relevancia del evento, podría tener como consecuencia lógica una alteración de los indicadores de salud que maneja el Ministerio, la adopción de decisiones inoportunas o indebidas, con afectación de la salud pública por derivar de conclusiones inexactas; sin dejar de considerar un riesgo para el ejercicio efectivo de los poderes de policía en materia de salud, derivados entre otros de los artículos 147 y 341 de la Ley General de Salud. Todo lo anterior, desde luego que tendría un impacto negativo en el mantenimiento del orden público en materia de salud, al no poder ejercer ese Ministerio en forma adecuada la vigilancia de la salud de la población.

Pero además no puede obviarse que los datos deben ser ciertos, fidedignos y para que se cumpla con dicho requisito se deben evitar las duplicidades. El punto es cómo lograrlo sin necesidad de registrar el nombre y número de identificación de una persona concreta. Máxime cuando una misma persona puede ser atendida en diversos centros de salud, públicos y privados, por el mismo problema de salud. Incluso en diversos centros de la propia Caja Costarricense de Seguro Social, con el agravante de que esos centros estarían obligados a remitir la información sobre esa misma persona a las autoridades del Ministerio. Cabría admitir que en el seno de la Caja una duplicidad de la información dejaría de presentarse cuando exista un único expediente para el paciente, independientemente del centro y nivel que lo atienda, para lo cual tendría que generalizarse y aplicarse debidamente el expediente electrónico. Empero, aún en ese supuesto subsistiría la posibilidad de que la información sea duplicada, ya que nada excluye que una misma persona tratada en alguno de los niveles de atención de la Caja sea atendida simultáneamente en un centro privado, obligado también a remitir la información. Y simplemente está excluido que esos centros privados tengan acceso al expediente del paciente de la CCSS, y menos aun la existencia de un expediente único, ya que podría ser totalmente lesivo al derecho fundamental aquí cuestionado y a la dignidad del paciente.

En último término, respecto del suministro de la información requerida a la Caja Costarricense del Seguro Social por parte del Ministerio de Salud, debe tenerse en cuenta el deber de coordinar que hay entre las Administraciones Públicas (que abarca tanto a la Administración Central como a la Descentralizada) con competencias que tiendan a un mismo fin o que resulten complementarias, el cual se encuentra contemplado en los artículos 8 y 9 de la Ley de Protección del Ciudadano del Exceso de Requisitos y Trámites Administrativos (Ley N° 8220 del 11 de marzo de 2002), un deber de coordinación que impone incluso el compartir información (ver dictámenes N° C-145-2009 del 25 de mayo del 2009 y N° 155-2010 del 4 de agosto del 2010). En el caso específico, no cabe duda acerca de la complementariedad de las competencias de la Caja Costarricense del Seguro Social encargada de la medicina preventiva y del Ministerio de Salud órgano rector en materia de salud, por lo que impera entre ambas Administraciones, el deber de coordinar.

El suministro de información de datos de salud obliga a las autoridades y a todo funcionario del Ministerio a cumplir estrictamente con el deber de confidencialidad. Deber que el Reglamento de Vigilancia de Salud no ha desconocido. El artículo 28 alude a las condiciones de seguridad y confidencialidad de la información que deberán adoptarse y observarse. Es responsabilidad del Ministerio vigilar por el respeto efectivo del deber de confidencialidad, conforme lo dispuesto en el artículo 10 de la Ley de Protección de la Persona frente al tratamiento de sus datos personales.” (La negrita no forma parte del original)

Como se desprende de lo anterior esta Procuraduría concluyó en aquella oportunidad que la vigilancia epidemiológica justifica el acceso a datos personales en materia de salud y configura la excepción dispuesta en el numeral 9 inciso d) de la Ley N.° 8968. Además, ese acceso resulta necesario a la luz de las obligaciones dispuestas para el Ministerio de Salud en la Ley General de Salud.

Sobre el particular, debe indicarse, además, que el Decreto Ejecutivo 36406 del 3 de enero de 2011, Reglamento Orgánico al Instituto Costarricense de Investigación y Enseñanza en Nutrición y Salud, reconoce al INCIENSA, entre otras funciones, la de vigilancia en apoyo al órgano rector, para seleccionar, recolectar, analizar, interpretar y comunicar, información y conocimiento actualizado, oportuno y de calidad para la toma de decisiones y para la generación de políticas públicas, orientadas a la promoción de la salud, prevención, tratamiento y control de enfermedades y eventos de importancia en salud pública (artículo 4).

Asimismo, el Decreto Ejecutivo N.° 40556 del 7 de julio de 2017, Reglamento de Vigilancia de la Salud, reconoce al INCIENSA como laboratorio oficial del Ministerio de Salud y responsable de la vigilancia epidemiológica basada en laboratorio, para lo cual realiza el análisis de laboratorio de productos de interés sanitario, ejecuta el proceso de aseguramiento de la calidad de los diagnósticos de la red nacional de laboratorios públicos y privados, realiza investigaciones prioritarias en salud pública y acciones de enseñanza en su ámbito de especialización.

Todas esas funciones requieren que el INCIENSA cuente con información fidedigna y suficiente, para el cumplimiento de los fines que le han sido asignados en la formación de políticas públicas en materia de salud y con relación a la vigilancia epidemiológica, coadyuvando con el ministerio rector.

Para ello, no debe olvidarse que el artículo 31 del Decreto Ejecutivo 40556, siguiendo la línea de lo dispuesto en el numeral 11 de la Ley 8968, establece la confidencialidad de la información que se traslade al Ministerio de Salud y, específicamente, al INCIENSA. Señalan dichos artículos respectivamente:

“Artículo 31°- De la seguridad y confidencialidad de la información.

En materia de datos personales y sin demérito del interés colectivo, el Ministerio de Salud y los proveedores de información aplicarán estrictas normas éticas y mecanismos efectivos que permitan salvaguardar la privacidad e intimidad de las personas afectadas por un evento, la de sus familias y contactos, en el marco de la Ley No. 8968 del siete de julio del 2011 "Ley de Protección de la persona frente al tratamiento de sus datos personales".

En todos los ámbitos o componentes del sistema se adoptarán las medidas necesarias para garantizar la seguridad de tales datos. Todas las personas que en virtud de sus funciones tengan acceso a ellos, quedan sometidos al deber de la confidencialidad.”

“Artículo 11.- Deber de confidencialidad.

La persona responsable y quienes intervengan en cualquier fase del tratamiento de datos personales están obligadas al secreto profesional o funcional, aun después de finalizada su relación con la base de datos. La persona obligada podrá ser relevado del deber de secreto por decisión judicial en lo estrictamente necesario y dentro de la causa que conoce.”

De dichas normas, resulta evidente que la potestad de acceso a la información por parte de las autoridades de salud, no menoscaba el deber de confidencialidad que recae sobre los responsables de las bases de datos y sobre quienes intervengan en cualquier fase del tratamiento de los datos personales.

Consecuentemente, debemos concluir que el INCIENSA, puede acceder a los datos que custodian otras instituciones, en la medida que sean estrictamente necesarios para ejecutar sus funciones de vigilancia epidemiológica en los términos dispuestos en la ley y en los reglamentos que lo rigen, aun siendo información de carácter sensible. Lo anterior, por cuanto las actividades relacionadas con la prevención y asistencia sanitaria o diagnóstico médico, así como la gestión de servicios sanitarios, constituyen una excepción autorizada para el manejo de estos datos, en virtud de lo establecido en el numeral 9 inciso d) de la Ley de Protección de la Persona Frente al Tratamiento de sus Datos Personales.

IV. CONCLUSIONES

De lo expuesto, debemos llegar a las siguientes conclusiones:

a) El INCIENSA es un órgano de desconcentración mínima del Ministerio de Salud, con personalidad jurídica instrumental, cuyo objetivo es la vigilancia epidemiológica base en laboratorios, la investigación prioritaria en salud pública y los procesos de enseñanza en salud derivados de su quehacer, coadyuvando de manera activa con las funciones de rectoría que ejerce dicho ministerio;

b) El derecho a la autodeterminación informativa derivado del artículo 24 constitucional comprende el derecho del individuo a estar informado sobre el procesamiento de sus datos, sobre el fin que se persigue con su acceso, así como la posibilidad de tener control sobre los datos que contiene un registro y corregirlos o eliminarlos en caso de que le cause algún perjuicio; constituye un principio fundamental de la protección acordada a los datos personales, la necesidad del consentimiento expreso de la persona titular de los datos o de su representante, salvo las excepciones establecidas constitucional o legalmente;

c) Dentro de los límites autorizados legalmente a la autodeterminación informativa están el correcto ejercicio de la autoridad pública, la correcta prestación de los servicios públicos y la actividad ordinaria de la Administración por parte de las autoridades oficiales. Asimismo, las actividades relacionadas con la prevención y asistencia sanitaria o diagnóstico médico, así como la gestión de servicios sanitarios, constituyen un límite válido para la utilización de datos de naturaleza sensible, siempre que estos sean tratados por un funcionario o funcionaria del área de salud sujeto al secreto profesional (artículos 8 y 9 inciso d de la Ley 8968);

d) Para la debida tutela de la salud de la población del país y, en particular, para la debida formulación de las políticas públicas en la materia, la Ley General de Salud otorga al Ministerio de Salud, órgano rector y regulador en la materia, diversas potestades que requieren el acceso a la información sobre la salud de la población en general, aun siendo información de carácter sensible. Además, existe un deber de las personas físicas y jurídicas de trasladar información al Ministerio de Salud para el cumplimiento de sus fines, lo cual incluye necesariamente a la Caja Costarricense de Seguro Social;

e) Dada la naturaleza jurídica y las funciones de vigilancia epidemiológica que realiza el INCIENSA como órgano coadyuvante del Ministerio de Salud, está autorizado para acceder a los datos de carácter personal, en la medida que sean estrictamente necesarios para ejecutar sus funciones en los términos dispuestos en la ley y en los reglamentos que lo rigen, aun siendo información de carácter sensible (artículo 9 inciso d) de la Ley 8968);

f) Todo funcionario del INCIENSA que reciba, registre o trate datos sensibles está obligado a cumplir estrictamente con el deber de confidencialidad, en los términos dispuestos en el artículo 31 del Decreto Ejecutivo 40556 y el numeral 11 de la Ley N.° 8968.

Atentamente,

Silvia Patiño Cruz

Procuradora

SPC/cpb

C. Presidencia Ejecutiva CCSS.


INICIO \| PGR SINALEVI \| PODER JUDICIAL \| HACIENDA \| CORTE IDH \| ACTAS CONSTITUYENTE \| AYUDA \| MAPA DEL SITIO