Introducción

La información de carácter personal a pesar de que se encuentre registrada en bases de datos, solo le concierne a su titular, por lo que es necesario que exista una regulación normativa que controle y vigile el uso de los mismos, para que de esta manera no se genere una flagrante violación a los derechos humanos.

En Colombia se expide la ley estatutaria 1581 de 2012, con el fin de establecer disposiciones generales sobre el ejercicio del derecho a la protección de datos personales, normativa que enuncia los principios rectores que deben aplicarse en el tratamiento a todo tipo de datos personales, sin embargo, se echa de menos el diseño de una política especial cimentada en garantías de seguridad y confidencialidad para el tratamiento de datos sensibles por parte de las entidades que prestan servicios en el sector salud.

En este contexto ¿En el ejercicio del derecho humano y fundamental de protección de datos personales, la política de tratamiento de datos sensibles en el sector salud, constituye en términos generales, un sistema efectivo y ofrece garantías de seguridad, confidencialidad e integridad a los titulares del dato?

Para dar respuesta al interrogante planteado se acudió al método cualitativo a partir del estudio y análisis normativo, en contraste con artículos y documentos académicos relacionados con la protección de datos personales.

En desarrollo del presente artículo se efectúan, una serie de reflexiones respecto la intimidad, la dignidad y el honor, condiciones inherentes de todo niño o niña, hombre o mujer que deben ser amparadas y garantizadas por un Estado social de derecho, principalmente y por encima del acelerado ejercicio de las libertades, los intereses económicos o políticos, los avances científicos y el derecho mismo a la información.

Protección de datos personales

La dignidad del ser humano, tiene su cimiento, en el fuero interno de cada ser y en la protección de su esencia, de ahí que la intimidad de las personas esté reconocida como derecho fundamental en la declaración universal de los derechos humanos y que este derecho haga parte del conglomerado de garantías fundamentales reconocidas por la Constitución Política colombiana; sin embargo, el carácter intangible de derechos fundamentales como la dignidad y la honra hace que en el desconocimiento, los titulares del derecho expongan la garantía plena del ejercicio del derecho a la intimidad, en consecuencia, la disposición de datos debe ser pro tempore y limitarse a los datos estrictamente necesarios.

La disposición de la intimidad de cada ser humano es un asunto que le compete de manera exclusiva a cada individuo, por ende, no puede convertirse bajo ningún pretexto en forma de pago para acceder a bienes y servicios, ya que la intimidad y la dignidad de las personas se encuentra fuera del mercado, razón por la cual comercializar con la intimidad de los seres humanos entraña conductas vulneradoras de derechos.

La categoría de protección de datos en principio no surge como derecho y aún se niega tal naturaleza, pero es necesario resaltar su consolidación actual como derecho fundamental tras protagonizar una historia de éxito al amparo de bases jurídicas en el ámbito supranacional (Rallo Lombarte, 2019).

El constituyente reconoce en nuestro ordenamiento jurídico el derecho a «conocer, actualizar y rectificar la información que se haya reconocido sobre ella en bancos de datos y en archivos de entidades públicas y privadas» (Constitución Política de Colombia, 1991), posteriormente el legislador mediante la ley estatutaria 1266 de 2008 reglamenta el alcance y los mecanismos de protección y se conoce como el derecho de Habeas Data, advirtiendo que es el mecanismo de protección de los datos financieros, crediticios, comerciales y de servicios que se registra en las bases de datos y archivos de las entidades de naturaleza pública y privada.

Luego, se expide la ley 1581 de 2012 con el fin de establecer disposiciones generales sobre el ejercicio del derecho a la protección de datos personales y enuncia los principios rectores que deben aplicarse en el tratamiento a todo tipo de datos personales, como la autoridad administrativa competente para investigar y sancionar a los terceros que incumplan las disposiciones tendientes a proteger los datos, y es dicho documento el que se hiérenos a utilizar en el presente artículo. El derecho autónomo fundamental de protección de datos personales incluye toda aquella información individual, familiar e íntima que aparece en documentos como el de identidad, el lugar de nacimiento, el estado civil, edad, lugar de residencia, recorrido académico, historia laboral, o datos de carácter más íntimo como el estado de salud, los rasgos físicos, ideología política, preferencias sexuales, entre otros aspectos que permitan identificar a una persona (Castillo Vázquez, 2007).

Cuando hablemos de dato personal hacemos referencia a las siguientes características:

i) Estar referido a aspectos exclusivos y propios de una persona natural, ii) Permitir identificar a la persona, en mayor o menor medida, gracias a la visión de conjunto que se logre con el mismo y con otros datos; iii) Su propiedad reside exclusivamente en el titular del mismo, situación que no se altera por su obtención por parte de un tercero de manera lícita o ilícita, y iv) Su tratamiento está sometido a reglas especiales (principios) en lo relativo a su captación, administración y divulgación. (Cruz Ramírez, s.f.)

Conocida la noción de datos de carácter personal, es procedente hacer alusión a la categoría de datos personales relativos a la salud y las consecuencias que implican la recolección y su tratamiento. Se ha sostenido la tesis que los datos de salud son merecedores de especial protección por el carácter de datos íntimos y sensibles ya que incide directamente sobre la dignidad y la personalidad de la esfera más íntima y reservada de una persona. (Troncoso Reigada, 2010).

A continuación, se estudiarán de manera específica los datos personales relativos a la salud, en los apartados que regula el Reglamento Europeo de Protección de Datos Personales (RGPD), tratando de ver, al mismo tiempo, cómo surge en la práctica su utilización y su regulación normativa y doctrinaria.

Así pues, el RGPD adoptó una noción amplia de dato personal relativo a la salud, en el art. 4.15), definiéndose así: «datos personales relativos a la salud física o mental de una persona física, incluida la prestación de servicios de atención sanitaria, que revelen información sobre su estado de salud».

Deslindadas las anteriores nociones, procedemos a señalar de manera sucinta las bases jurídicas legitimadoras en el tratamiento de los datos personales en el ámbito de la salud.

Nivel de protección de los datos sensibles: caso comparativo RGPD. Aunque en Colombia se promulgó la ley 1266 de 2008 y la 1581 de 2012, por medio de las cuales se regula y se establece generalidades del derecho de protección de datos personales, es conveniente realizar un estudio comparativo con los criterios y pautas de la política de tratamiento de datos referidos a la salud, específicamente según lo señalado en el Reglamento Europeo de Protección de Datos Personales (RGPD), particularmente en lo que corresponde con la exigencia del consentimiento explícito e informado del titular del dato, diferente a la dinámica que implica el derecho a la salud.

Con la promulgación de la norma europea, se han incorporado novedades significativas que trazan un panorama sobre la protección de datos personales, ya que adiciona nuevos elementos a la cultura de la protección de datos completamente necesarios en el ámbito normativo, especialmente en el modelo del consentimiento como fundamento en la legitimación del tratamiento de los datos (Polo Roca, 2020).

Consentimiento

Al respecto, la RGPD determina el alcance que tiene el consentimiento de las personas en el tratamiento de los datos en salud, expresamente define el consentimiento como un derecho fundamental consistente en:

Artículo 4 numeral 11: Toda manifestación de voluntad libre, específica, informada e inequívoca por la que el interesado acepta, ya sea mediante una declaración o una clara acción afirmativa, el tratamiento de datos personales que le conciernen. (Unión Europea, 2016)

Por lo que resulta oportuno empezar diciendo que la principal categoría que nos permite hablar de garantías de protección de datos personales es sin duda el tratamiento de datos en salud basado en el consentimiento informado del interesado (Murillo de la Cueva, 2003).

Por regla general, el consentimiento debe ser explícito e informado cuando hace referencia al tratamiento de datos genéticos, biométricos, de salud, o vida sexual de las personas, es decir, que necesariamente ha de existir la declaración o una acción afirmativa de dicha voluntad y la facultad de disponer y decidir libremente sobre las cuestiones propias de su ser. Fundamentalmente implica un ejercicio del principio de la autonomía personal (Cantero Martínez, 2005).

El reconocimiento de la autonomía como principio cobra vigencia justamente cuando las personas debidamente informadas otorgan su consentimiento para que su intimidad y demás aspectos de su condición humana sean objeto de tratamiento por una entidad responsable. Así las cosas, el consentimiento informado para el tratamiento de los datos en salud no puede entenderse como un mero formalismo, sino como el derecho de tener conocimiento de lo que se hace con la información de su vida privada e íntima.

El consentimiento en el derecho de protección de datos personales en el ámbito de la salud resulta ser una condición necesaria para la licitud del tratamiento de los mismos y su legitimidad, ya que no contar con dicha voluntad sería una flagrante violación de derechos y libertades fundamentales. Teniendo en cuenta lo que se ha dicho anteriormente, el consentimiento informado se compone de dos elementos fundamentales: el consentimiento y el derecho a ser informado (Rodríguez López, 2004).

La autorización para tratar los datos personales en salud podrá darse siempre y cuando la persona haya sido previamente informada sobre el alcance de expresar su consentimiento, así como los derechos que puede ejercer con respecto al acceso, rectificación, uso y cancelación de la información.

Es decir que la manifestación del consentimiento de una persona será válida, entre otras cosas, si el titular del dato fue debidamente informado (Cantero Martínez, 2005).

Derecho a ser informado

El derecho a ser informado implica la facultad de toda persona a conocer y entender las características y alcance que genera el tratamiento de los datos. Al respecto, la RGPD regula este aspecto y lo recoge fundamentalmente en su artículo 13, y se consigna expresamente a pesar de su extensión, debido a su importancia:

a) la identidad y los datos de contacto del responsable y, en su caso, de su representante;

b) los datos de contacto del delegado de protección de datos, en su caso;

c) los fines del tratamiento a que se destinan los datos personales y la base jurídica del tratamiento;

d) cuando el tratamiento se base en el artículo 6, apartado 1, letra f), los intereses legítimos del responsable o de un tercero;

e) los destinatarios o las categorías de destinatarios de los datos personales, en su caso;

f) en su caso, la intención del responsable de transferir datos personales a un tercer país u organización internacional y la existencia o ausencia de una decisión de adecuación de la Comisión, o, en el caso de las transferencias indicadas en los artículos 46 o 47 o el artículo 49, apartado 1, párrafo segundo, referencia a las garantías adecuadas o apropiadas y a los medios para obtener una copia de estas o al hecho de que se hayan prestado.

2. Además de la información mencionada en el apartado 1, el responsable del tratamiento facilitará al interesado, en el momento en que se obtengan los datos personales, la siguiente información necesaria para garantizar un tratamiento de datos leal y transparente:

a) el plazo durante el cual se conservarán los datos personales o, cuando no sea posible, los criterios utilizados para determinar este plazo;

b) la existencia del derecho a solicitar al responsable del tratamiento el acceso a los datos personales relativos al interesado, y su rectificación o supresión, o la limitación de su tratamiento, o a oponerse al tratamiento, así como el derecho a la portabilidad de los datos;

c) cuando el tratamiento esté basado en el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), la existencia del derecho a retirar el consentimiento en cualquier momento, sin que ello afecte a la licitud del tratamiento basado en el consentimiento previo a su retirada;

d) el derecho a presentar una reclamación ante una autoridad de control;

e) si la comunicación de datos personales es un requisito legal o contractual, o un requisito necesario para suscribir un contrato, y si el interesado está obligado a facilitar los datos personales y está informado de las posibles consecuencias de que no facilitar tales datos;

f) la existencia de decisiones automatizadas, incluida la elaboración de perfiles, a que se refiere el artículo 22, apartados 1 y 4, y, al menos en tales casos, información significativa sobre la lógica aplicada, así como la importancia y las consecuencias previstas de dicho tratamiento para el interesado. (Unión Europea, 2016).

3. Cuando el responsable del tratamiento proyecte el tratamiento ulterior de datos personales para un fin que no sea aquel para el que se recogieron, proporcionará al interesado, con anterioridad a dicho tratamiento ulterior, información sobre ese otro fin y cualquier información adicional pertinente a tenor del apartado 2.

El derecho a la información es relevante en la protección de los datos personales, en primer lugar, porque constituye el escenario en que se promueve la relación del titular de los datos de carácter personal y el responsable de recoger y manipular dicha información. Entonces, este derecho sería el punto de partida para el ejercicio de otros derechos, ya que es la vía que desarrolla la facultad que tienen las personas de consentir libremente la decisión de disponer de sus datos (Arenas Ramiro, 2006).

En segundo lugar, el derecho a ser informado goza de una estrecha relación con el derecho a otorgar el consentimiento informado, debido a que la falta de información o la información incorrecta vicia el consentimiento de la persona. Así como sucede en el otorgamiento del consentimiento en la suscripción de un contrato, si hay un error en dicha exteriorización será un contrato nulo (Seoane Rodríguez, 2002).

La importancia de esta relación se evidencia especialmente cuando se exige, salvo determinadas excepciones, el consentimiento del titular del dato en salud para el tratamiento de los mismos.

En tercer lugar, la relevancia del derecho a la información se observa estrictamente en su contenido: surge como una garantía para que el titular establezca los parámetros del tratamiento de sus datos, a saber, el derecho de cancelación, rectificación y oposición fundamentalmente.

En efecto, para llevar a cabo estos derechos es necesario tener conocimiento previo de su existencia y, precisamente, la información garantiza que el titular de los datos conozca dichas facultades y cómo ejercerlas (Canales, Blanco & Piñar Mañas, 2005).

Ahora bien, en casos en que el consentimiento sea otorgado por un tercero, bien sea porque el titular del dato sea incapaz para ejercer el derecho, o porque ha sido declarado como tal, o bien por circunstancias ajenas a su voluntad como casos de accidentes, o un trastorno pasajero, entre otras. Para estos supuestos de hechos, la RGPD establece que dicha información ha de ser suministrada al titular del dato como garantía del tratamiento de los datos (ver el artículo 14 RGPD).

El derecho de protección de datos personales fundado en el consentimiento informado del titular del dato exige, a la par, el reconocimiento de garantías en el ejercicio de tratamiento de los datos, a saber, el derecho de acceso, rectificación y suspensión de dicha información personal.

Por otro lado, el Reglamento dispone que el derecho a ser informado se distingue justo en el momento de la recogida de los datos de carácter personal en dos supuestos: un primer caso, cuando los datos de carácter personal se recogen directamente del propio titular y se da la información previa al interesado para obtener su consentimiento; segundo caso, cuando el tratamiento de los datos se realiza sin el consentimiento del titular, la información será suministrada al titular para que ejerza los derechos de acceso, rectificación y cancelación.

En este sentido, el derecho de información hace posible que el titular de los datos pueda conocer la información que está tratando y ver si esta corresponde con la realidad presente, para, en caso contrario, cambiarla y adecuarla a su beneficio (Lizárraga Bonelli, 2019).

Vicios en el consentimiento

En la actualidad, el consentimiento informado reviste mucha importancia cuando hablamos de mecanismos que garanticen la protección de los datos personales y, por ello, el responsable del tratamiento de los datos ha de demostrar que el consentimiento obtenido cumple con las exigencias legales requeridas para tal fin, además de que sea libre, específico e inequívoco.

Entonces, el consentimiento informado, al tratarse del permiso que emite el titular del dato una vez que le hayan informado debidamente sobre los derechos, consecuencias y demás generalidades que implica el tratamiento de los datos en salud, evidentemente ha de darse en forma comprensible, utilizando un lenguaje claro al punto de evitar tecnicismos para que resulte entendible a cualquier persona (Galán Cortés, 1997).

Por su parte, cuando el otorgamiento del consentimiento se da sin la debida comprensión del alcance de lo autorizado, es un claro ejemplo de error en la prestación del consentimiento que afecta la validez de la autorización obtenida y la legitimidad del tratamiento de los datos (Aparicio Salom, 2009).

Entre tanto, el consentimiento tiene una estrecha relación con la finalidad para la que fueron obtenidos los datos en salud. Por lo que, previo a la exteriorización de la voluntad de la persona, ha de darse a conocer de manera determinada y exacta la finalidad del recaudo. Lo dicho cobra relevancia en la medida en que debe mediar certeza en el porqué y para qué serán utilizados sus datos. Por lo tanto, si estos son utilizados con otros fines a los destinados, salvo las excepciones previstas en el RGPD, el consentimiento expresado no es legítimo.

De igual manera sucede cuando la información que se brinda no menciona la finalidad de los datos y se obtiene el consentimiento por parte del titular o un tercero. A pesar de que se haya dado una finalidad legítima según la disposición legal, dicho consentimiento es nulo (ver artículo 14 RGPD).

Así las cosas, es clara la intención del RGPD de garantizar al titular de los datos el derecho a tener un conocimiento claro, completo y certero de todos los aspectos que rodean el tratamiento de los mismos.

Excepciones al consentimiento

El derecho a la protección de datos se define como la facultad de controlar cada uno de los aspectos que componen la personalidad del individuo, incluido el de los datos de carácter personal. Al respecto, el ejercicio de este derecho fundamental se visibiliza con mayor intensidad que en el caso de otros derechos (Murillo de la Cueva & Piñar Mañas, 1990).

Hasta aquí hemos dicho que, en principio, está «prohibido el tratamiento de datos personales que revelen el origen racial o étnico, las opiniones políticas, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, así como el tratamiento de los datos relativos a la salud o a la sexualidad de las personas» salvo que el interesado haya expresado su consentimiento y fines determinados en el tratamiento de los datos. Sin embargo, la normatividad europea plantea determinados supuestos de hecho en los cuales es legítimo y lícito tratar los datos sin el consentimiento del titular, lo cual merece sin duda estudiar el análisis que establece dicha disposición para exceptuar esta facultad para la manipulación de los datos (ver artículo 9 RGPD).

Los supuestos categóricos que habilitan el tratamiento de datos personales obviando el consentimiento del titular están previstos en el RGPD así:

c) proteger intereses vitales del interesado o de otra persona física, en el supuesto de que el interesado no esté capacitado, física o jurídicamente, para dar su consentimiento.

h) medicina preventiva o laboral, evaluación de la capacidad laboral del trabajador, diagnóstico médico, prestación de asistencia o tratamiento de tipo sanitario o social, o gestión de los sistemas y servicios de asistencia sanitaria y social.

i) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios.

j) el tratamiento es necesario con fines de archivo en interés público, fines de investigación científica o histórica, o fines estadísticos (ver artículo 9 RGPD).

La normatividad en mención ha establecido una batería de límites al derecho a consentir bajo la premisa de que el derecho de protección de datos personales no es absoluto y que la capacidad de controlar los datos es una facultad legítima en los ordenamientos jurídicos.

Por lo tanto, vamos a recoger las excepciones enunciadas y desde ahora intentar realizar un análisis del contenido concreto y los límites que se han fijado a la facultad de consentir los datos.

El primer supuesto hace alusión a la finalidad de proteger el derecho a la integridad o la vida del interesado o un tercero. Cuando los profesionales de la salud se encuentran en situaciones en las cuales se discuten bienes jurídicos de valor más elevado, gozan de la facultad de manera excepcional de recoger los datos personales para dar la prestación en salud como derecho fundamental.

De aquí que el RGPD dispone que en aquellos casos en los cuales se actúe para evitar afectación de otros derechos y libertades fundamentales de toda persona, se facilitará a los profesionales de la salud tratar los datos personales siempre que sea necesario (ver artículo 9 RGPD).

El concepto de interés vital erige, en sentido estricto, aquellas situaciones de vida o muerte, y en un sentido más amplio abarca más supuestos que el citado. En cualquiera de los casos, es razonable comprender que la salvaguarda de un interés vital de las personas no es otra cosa que asistencia sanitaria (Coudert, 2005).

Segundo supuesto. A partir del principio de la finalidad, es relevante afirmar que los datos personales en el ámbito de la salud tienen por cimiento legítimo el régimen jurídico que habilita la recopilación de la información, sin el consentimiento del titular, en los supuestos que la normatividad menciona, que son aquellos relacionados con la «medicina preventiva, laboral, diagnóstico médico, prestación asistencial y sanitaria».

Una situación de urgencia son los casos más puntuales en los cuales profesionales de salud requieren el acceso a los datos personales para cumplir sus funciones relacionadas con las prácticas sanitarias. En consecuencia, la manipulación de los datos en el ámbito de la salud constituye un fin necesario en el ejercicio propio de la prestación de servicios médicos y con ello un medio para proteger la salud de las personas. Sin embargo, se entiende aquí que la posibilidad de alcanzar esta situación de exceptuar el consentimiento del titular se justifica únicamente para alcanzar la situación en que, por ejemplo, es posible emitir un diagnóstico determinado y concretar las diferentes opciones de tratamiento asistencial (Sánchez-Caro & Abellán, 2004).

De otro lado y desde la perspectiva de la doctrina, existe el criterio en el cual la interpretación y alcance de la excepción del consentimiento no solo ha de tener en cuenta la finalidad de la actuación sanitaria, sino que además ha de realizarse un juicio de proporcionalidad y necesidad según sea el caso en particular (Martín Sánchez, Sánchez-Caro & Abellán-García, 2011).

Tercer supuesto. El tratamiento necesario sin consentimiento del titular de los datos, por razones de interés público en el ámbito de la salud pública, está sujeto a medidas adecuadas y específicas a fin de proteger los derechos y libertades de los individuos. Desde esta perspectiva, se entiende por salud pública «todos los elementos relacionados con la salud, concretamente el estado de salud, con inclusión de la morbilidad y la discapacidad, los determinantes que influyen en dicho estado de salud, las necesidades de asistencia sanitaria, los recursos asignados a la asistencia sanitaria, la puesta a disposición de asistencia sanitaria y el acceso universal a ella, así como los gastos y la financiación de la asistencia sanitaria, y las causas de mortalidad» (Unión Europea, 2008).

Ahora bien, la norma indica las condiciones y situaciones en que es lícito el tratamiento de datos realizado por un profesional de la salud cuando representa de manera específica y necesaria determinados intereses, como son «la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios» (ver artículo 9 RGPD).

El tratamiento de datos relacionados con la salud refleja una doble perspectiva: por un lado, la salud erige un bien individual intrínseco a cada individuo que se protege de manera personal, pero, a la vez, desarrolla un matiz colectivo en cuya protección están implicados los poderes públicos que corresponden a un Estado Social de Derecho (Troncoso Reigada, 2018).

De esta manera, y para mayor interpretación de las previsiones legales, la pandemia mundial ocasionada por el virus (SARS-CoV-2), conocido como COVID-19, fue una situación necesaria relativa a salvaguardar la salud pública. De ahí que adquiera la naturaleza de bien jurídico colectivo objeto de protección, cuya tutela se sustenta en el interés social existente en el ambiente de la seguridad sanitaria (Serrano Pérez, 2020).

Por ello, el responsable del tratamiento ha de tener especial cuidado con las exigencias del principio de minimización de datos, es decir, tratar los datos que resulten adecuados, pertinentes y no excesivos en relación con los fines perseguidos (Troncoso Reigada, 2018).

En concreto, se habla de categorías especiales de tratamiento de datos, cuando se emplean para «fines de archivo en interés público, fines de investigación científica o histórica o fines estadísticos».

Por lo cual, la excepción del consentimiento se rige por los principios de seguridad y finalidad, debido a que las causales para su tratamiento están taxativamente señaladas en el artículo 9 literal i. Además, el encargado o responsable de realizar el respectivo tratamiento de los datos ha de ser una persona determinada y legitimada para tal fin, actuando con la premisa de proteger los intereses y los derechos del titular del dato (Troncoso Reigada, 2018).

Una de las novedades en el tratamiento de datos relacionados con la salud es precisamente la minimización en el tratamiento. De ahí que el profesional que efectúe el tratamiento deba recibir dichos datos de manera anonimizada o con seudónimo, de manera que la identidad solo esté accesible para el médico que ha solicitado el tratamiento de los datos (ver artículo 89 RGPD).

El derecho al olvido

De la misma manera que el derecho a prestar o no el consentimiento implica un instrumento *a priori* de control y protección de los datos personales, los derechos de acceso, cancelación y rectificación lo son *a posteriori*, permitiendo ejercer dominio y control sobre la información (Garriga Domínguez, 2000).

El reglamento reconoce el derecho de suspensión o derecho al olvido como aquella facultad que ostenta el titular del dato para obtener, sin dilación indebida, la supresión del tratamiento de los datos de carácter personal, bajo el cumplimiento de ciertas condiciones (ver artículo 17 RGPD), a saber:

a) cuando los datos personales ya no sean necesarios en relación con los fines para los que fueron recogidos o tratados de otro modo;

b) el interesado retire el consentimiento en que se basa el tratamiento de conformidad con el artículo 6, apartado 1, letra a), o el artículo 9, apartado 2, letra a), y este no se base en otro fundamento jurídico;

c) el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 1, y no prevalezcan otros motivos legítimos para el tratamiento, o el interesado se oponga al tratamiento con arreglo al artículo 21, apartado 2;

d) los datos personales hayan sido tratados ilícitamente;

e) los datos personales deban suprimirse para el cumplimiento de una obligación legal establecida en el Derecho de la Unión o de los Estados miembros que se aplique al responsable del tratamiento;

f) los datos personales se hayan obtenido en relación con la oferta de servicios de la sociedad de la información mencionados en el artículo 8, apartado 1.

La importancia del derecho de supresión reside en que es un instrumento de defensa para el cumplimiento efectivo del principio de la finalidad, en el sentido de que supone que el consentimiento o los datos entregados y tratados solo podrán usarse de acuerdo a una finalidad específica y concreta. Entonces, es procedente la supresión de los datos que ya no sean necesarios para la realización de la misma, o bien porque, pasado el tiempo, el titular del dato decida retirar su consentimiento u oponerse al tratamiento, especialmente en caso de que los datos hayan sido tratados de manera ilícita.

En este sentido, vemos que el derecho al olvido guarda una relación con el principio del consentimiento, pues la persona, al ejercitar este derecho, manifiesta que estos no deben encontrarse registrados en una base de datos y decide revocar el consentimiento (García Amez, 2010).

Por otra parte, y en relación con los datos personales en el ámbito de la salud, el reglamento establece que el derecho de suspensión no se aplica cuando el tratamiento de los datos sea necesario por razones de interés público en el ámbito de la salud pública o por fines de investigación científica, en la medida en que el ejercicio del derecho de supresión haga imposible u obstaculice gravemente el logro o los fines del tratamiento (ver artículo 17 RGPD).

A este punto, pareciera que está en duda la efectividad del derecho al olvido, refugiándose en la excepción de la necesidad del tratamiento por razones de interés público, salud pública y por fines de investigación científica. Sin embargo, se reconoce el derecho de supresión de los datos personales, aun con tal finalidad, cuando implica vulneración del principio de la dignidad humana, el honor, o la intimidad. En estos casos, el titular puede ejercer sus derechos y solicitar la eliminación de cualquier información que afecte su imagen, como fotografías o datos relativos a la vida privada (Murillo de la Cueva, 2003).

El derecho al olvido no es absoluto y se limita su aplicación al entrar en colisión con otros intereses, como el interés público o la salud pública. En estos casos, es necesario realizar una ponderación de intereses para determinar la prevalencia del mismo y sus beneficios (Villanueva, 2003).

Política de tratamiento de datos sensibles en el régimen de salud colombiano

El derecho fundamental a la protección de datos personales (ver artículo 15 Constitución Política de Colombia) es uno de los más importantes en la actual sociedad. El marco jurídico colombiano está conformado por la Constitución Política de Colombia de 1991, la Ley Estatutaria 1581 de 2012 (LEPDP) «por la cual se dictan disposiciones generales para la protección de datos personales» y el Decreto 1377 de 2013. Este régimen regula de manera general la categoría de los datos personales, incluyendo el ámbito de la salud. A la luz de esta normativa LEPDP, se entiende por dato personal «cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables» (art. 3, lit. c). Los principios que se establecen son el de legalidad, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad (art. 4). Los derechos de los titulares, como el de ser o no informado, oposición, acceso, rectificación y cancelación, están regulados en el Decreto 1377 de 2013.

En Colombia se prohíbe el tratamiento de los datos personales sensibles salvo que el tratamiento sea necesario en determinados supuestos, como: aquellos que cuenten con autorización explícita del titular; cuando se tenga por finalidad salvaguardar la vida del titular; en los casos de miembros o personas que pertenezcan a organismos sin ánimo de lucro y el tratamiento sea efectuado por razones políticas, filosóficas, religiosas o sindicales, con la autorización del titular y en el curso de actividades legítimas; de igual forma, podrá ser objeto de tratamiento los datos sensibles para el reconocimiento, ejercicio o defensa de un derecho en un proceso judicial, y por último, cuando sea para fines históricos, estadísticos o científicos (art. 6).

Además, se contempla como medio de control y se reconoce a favor del titular el derecho a estar informado de forma explícita y previa del objeto y finalidad del tratamiento, para que de esta manera extienda su consentimiento (art. 6) (ver Decreto Nacional 1377 de 2013).

Como se ha dicho anteriormente, la normatividad vigente únicamente permite el tratamiento de datos sensibles cuando concurran algunas de las circunstancias allí previstas. Por consiguiente, debemos referirnos a la noción de datos sensibles como aquella información relacionada directamente con la intimidad del titular, que al ser divulgada o manipulada podría llevar a discriminación, bien sea por razón del origen racial o étnico, orientación política, convicciones religiosas o filosóficas, o por pertenecer a sindicatos u organizaciones sociales no gubernamentales, así como los datos relativos a la salud, a la vida sexual y los datos biométricos (art. 5).

La doctrina, por su parte, considera que los datos sensibles son toda aquella información que incide en la privacidad y las convicciones personales, y que además constituyen un riesgo para prácticas discriminatorias frente al resto de las libertades (Losano, Pérez Luño & Guerrero Mateus, 1989).

De otro lado, los datos sensibles constituyen el verdadero ejercicio del derecho de protección de datos personales desde dos aspectos. Desde un criterio formal, representan aquellos datos que requieren una serie de requisitos reforzados para limitar su libre adquisición y circulación. Ahora, desde un criterio material, su afectación interfiere directamente con la esfera subjetiva e íntima fundamental de los derechos y libertades de las personas (Toniatti, 1991).

Hasta aquí hemos dicho que la protección legislativa para cierta categoría de datos deriva de la propia naturaleza del derecho fundamental de protección de datos personales, pero una protección aún mayor se efectúa en el tratamiento de dichos datos.

Principios rectores de los datos personales

El contenido esencial del derecho fundamental de protección de datos deriva de los principios y características que tiene el tratamiento de los mismos, lo cual es de forzoso cumplimiento porque al desconocerse genera como consecuencia vulneración al propio derecho (Piñar Mañas, 2005).

Así las cosas, los principios que pueden dirigirse a la configuración del derecho están previstos en la LEPDP. Aunque de manera específica son cuatro los que apuntan a su regulación: autorización, finalidad, veracidad y confidencialidad, dejando claro que, para ser efectivos, es necesario el reconocimiento y la tutela de los derechos de acceso, rectificación, cancelación y oposición.

Principio de autorización

Deslindadas las nociones anteriores, resulta relevante concentrarnos en el tratamiento de Datos Personales acorde a las previsiones de la normatividad vigente, y para el efecto daremos paso a uno de los principios inherentes a la protección de datos: la respectiva autorización previa, expresa e informada del titular.

En materia de protección de datos, los principios tienen la intención de determinar conceptualmente la forma más eficaz de proteger a las personas, permitiéndoles salvaguardar su libertad, el dominio y el poder de decisión sobre los datos personales (Rebollo Delgado & Serrano Pérez, 2008).

Al respecto, la autorización previa e informada del titular es un requisito *sine qua non* para el tratamiento de los datos personales (art. 9). En la doctrina, se conoce como consentimiento informado, visto como el proceso mediante el cual se garantiza que, después de haber recibido y comprendido toda la información necesaria y pertinente, el sujeto voluntariamente manifiesta su deseo (Moreno Sánchez & Cano Valle, 2004). Mediante dicha expresión de voluntad, los titulares otorgan su autorización por medio de un documento físico, electrónico, mensaje de datos, Internet, sitio web, o también de manera verbal o telefónica, o en cualquier otro formato que permita su posterior consulta, a fin de constatar de forma inequívoca que sin el consentimiento del titular los datos nunca hubieran sido capturados y almacenados en medios electrónicos o físicos (SIC, 2020).

En consecuencia, toda actividad relacionada con el tratamiento de datos tendrá que ser realizada con la autorización otorgada por el titular, salvo los casos excepcionales que señala la ley, previo a informar de manera sucinta y completa lo siguiente:

a) El tratamiento al cual serán sometidos sus datos personales y la finalidad del mismo;

b) El carácter facultativo de la respuesta a las preguntas que le sean hechas, cuando estas versen sobre datos sensibles o sobre los datos de las niñas, niños y adolescentes;

c) Los derechos que le asisten como titular;

d) La identificación, dirección física o electrónica y teléfono del responsable del tratamiento.

Ahora, el dato personal objeto de tratamiento ha de ser veraz, completo, exacto, actualizado, comprobable y comprensible (SIC, 2014).

Un elemento fundamental del consentimiento informado es garantizar la confidencialidad y reserva de la información tratada, por lo que los sujetos que intervienen o reciban la información, mediante ese acto de confianza, tienen el deber de conservar en secreto todos los aspectos y circunstancias ajenas que solo interesan al titular del dato, y más aún cuando se trata de información sensible.

Desde esta perspectiva, el legislador estableció los casos en los cuales es posible adelantar el tratamiento de los datos sin el consentimiento del titular, advirtiendo que quien acceda a la información está comprometido a cumplir con los principios y disposiciones contenidas para el tratamiento de los datos. Tales supuestos son:

a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial;

b) Datos de naturaleza pública;

c) Casos de urgencia médica o sanitaria;

d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos;

e) Datos relacionados con el Registro Civil de las Personas.

Los supuestos que tratan los numerales c) y d) hacen referencia a los datos sensibles, pues están relacionados con el origen racial, salud, sexual e íntimo de las personas, y la manipulación de dicha información afectaría la intimidad, el buen nombre, la privacidad y demás prerrogativas que cobija el derecho de protección de datos personales.

En este sentido, cobra validez el principio de la finalidad, es decir, que el tratamiento de los datos podrá realizarse exclusivamente en los casos en que sea absolutamente necesario para los fines de una investigación concreta o en casos de urgencia médica (Rebollo Delgado & Serrano Pérez, 1998).

Principio de finalidad

La prerrogativa que establece la normatividad y aplicable a los tratamientos es la limitación a la finalidad, caso en el cual los datos personales serán recogidos para los fines determinados de manera explícita y legítima, y no serán tratados con otros fines. Significa, por tanto, que el tratamiento no necesitará una base jurídica distinta que la que permitió la obtención de los datos si se destinan a la investigación científica o para la urgencia médica (Recuero Linares, 2019).

En desarrollo del principio de finalidad, la recolección de datos ha de limitarse a aquellos datos personales pertinentes y adecuados para la finalidad del tratamiento o requeridos conforme a la normatividad vigente (art. 4, Decreto 1377, 2013).

Justamente, en los casos en que no se requiere el consentimiento para llevar a cabo el tratamiento de los datos, el principio de la finalidad cobra importancia. Para el titular de los datos, este principio se convierte en la principal garantía de que el tratamiento se desarrollará con pleno respeto de sus derechos fundamentales. En la medida en que la persona conozca qué va a pasar con sus datos y para qué van a ser empleados de forma concreta, tendrá la seguridad de que la información será utilizada exclusivamente en el ámbito para el cual se recolectó.

En resumen, los requisitos que exige la normativa para que la finalidad sea acorde a la ley bastará con que sea necesaria, determinada y explícita. Además, los datos no se pueden destinar a una finalidad distinta a la razón por la cual fueron recolectados. En el ámbito concreto que nos ocupa, se trata de proteger la salud de las personas y realizar investigaciones científicas (Remolina Angarita, 2013).

En caso de que se manipulen o utilicen los datos con un fin distinto al autorizado, y no se otorgue dicho consentimiento, o si el tratamiento se destina por razones no previstas en la ley, el titular del dato tiene la facultad de ejercer el derecho de supresión de la información y acudir ante la autoridad de vigilancia competente, la Superintendencia de Industria y Comercio (SIC), para que se adelanten las investigaciones pertinentes y se sancione al responsable por incumplimiento de sus funciones legales. Asimismo, en desarrollo del principio de finalidad, el titular del dato tiene el derecho de solicitar en cualquier momento al responsable del tratamiento información sobre el uso dado a sus datos y la razón de su tratamiento. También, en ejercicio de este derecho, podrá conocer, actualizar o rectificar la información que reposa en las bases de datos (art. 8, Ley 1581 de 2012).

El derecho a la protección de datos personales se concreta en el derecho de las personas a controlar sus propios datos. Por ello, es fundamental que el titular de la información conozca la finalidad específica que justifica su uso y el tratamiento destinado a sus datos, ya que, al no tener control sobre la información, se pone en riesgo la vulneración de este derecho (Remolina Angarita, 2013).

Principio de veracidad

Los datos personales sometidos a tratamiento han de ser veraces, completos, exactos, actualizados, comprobables y comprensibles. En los supuestos en que estén parciales, incompletos, fraccionados o que induzcan a error, no podrán ser tratados, y en caso de hacerlo, el tratamiento será ilícito (SIC, 2020). En este sentido, la Ley 1581 concede al titular el derecho de acceder a sus propios datos e impone al responsable del tratamiento de los datos la obligación de rectificar la información previamente suministrada cuando existan razones para pensar que los datos no son del todo correctos. Sin embargo, si se determina que la información no es correcta, el responsable tiene la obligación de destruirla inmediatamente e informar al titular.

Este principio es en sí un instrumento de protección de los datos, ya que busca que los datos objeto de tratamiento sean pertinentes, adecuados y no excesivos en relación con la finalidad determinada, expresada y autorizada (Davara Rodríguez, 2018).

De este modo, los responsables y encargados del tratamiento de los datos tienen el deber de garantizar el principio de veracidad de los datos. En caso de incumplimiento, se aplicarán las sanciones contempladas en la ley, bajo la competencia de la SIC.

Principio de confidencialidad

El derecho de confidencialidad implica que ideologías, datos e información de tipo personal e íntimo son de carácter reservado. Estos datos se suministran bajo estrictos parámetros de autorización y con el expreso consentimiento del titular. En especial, este derecho garantiza que las personas no pierdan el poder de disposición y control sobre su propia información (Londoño Toro, 1987).

La Ley 1581 de 2012 establece que el principio de confidencialidad es el deber que tienen todas las personas que intervengan en el tratamiento de datos personales de garantizar la reserva de la información, incluso después de que finalice el tratamiento. Sólo se podrá realizar el suministro o la comunicación de datos personales cuando la ley lo autorice. Desde la perspectiva de las obligaciones que se derivan para los terceros responsables del tratamiento de los datos, surge el derecho de acceso, rectificación y cancelación (art. 4). Se entiende por derecho de acceso la facultad que tiene el titular de pedir y obtener de forma gratuita información sobre sus datos personales sometidos a tratamiento, al menos una vez cada 30 días o cada vez que existan modificaciones sustanciales al tratamiento que ameriten una consulta (art. 21, Decreto 1377, 2013).

El derecho de acceso también se considera un método de comprobación de la exactitud y licitud del tratamiento, así como una posibilidad de conocer el sistema que subyace al tratamiento (Rebollo Delgado & Serrano Pérez, 1998). Esto significa que el acceso a la información está restringido a terceros ajenos no autorizados, salvo que se trate de información pública. Asimismo, se prohíbe su circulación por Internet u otros medios de divulgación o comunicación masiva, excepto en los casos previstos por la ley. Al respecto, la Ley 1581 de 2012 dispone que «los datos personales, salvo la información pública, no podrán ser accesibles por Internet o por otros medios de divulgación o comunicación masiva, salvo que el acceso sea técnicamente controlable para brindar un conocimiento restringido sólo a los titulares o los usuarios autorizados conforme a la presente ley».

Ahora bien, el derecho de rectificación consiste en la potestad que tiene el titular para exigir al responsable del tratamiento que cumpla con las exigencias del principio de veracidad, adoptando las medidas necesarias para corregir los errores o subsanar la información incompleta, de modo que el tratamiento refleje de manera cierta su expresa voluntad (Davara Rodríguez, 2017).

Aunque la legislación actual (ver artículo 22 del Decreto 1377 de 2013) reconoce el derecho de rectificación de los datos, no se desarrolla un apartado específico respecto al tratamiento general de los datos y, en particular, para la categoría especial de datos, donde se deberían enunciar las obligaciones enfocadas al cumplimiento de dicho principio.

Sin embargo, la doctrina sostiene que el principio de calidad es una garantía visible en la práctica, puesto que establece restricciones en la utilización de los datos, los cuales solo pueden ser destinados para las finalidades «determinadas, explícitas y legítimas» autorizadas por el titular o por mandato de la ley, sin que se les dé una finalidad distinta para la cual fueron recogidos (Troncoso Reigada, 2010).

Por lo tanto, la rectificación es un derecho personalísimo que solo interesa al titular del dato, ya que su ejercicio plantea una serie de principios relacionados con la privacidad, el honor, la dignidad e intimidad de las personas. Este derecho se ejerce mediante una solicitud expresa y clara motivada en la corrección, modificación o complemento de los datos objeto de tratamiento. La relevancia de este derecho de rectificación reside en su efecto o resultado, que no es otro que el de «reducir una cosa a la exactitud que debe tener» (Carrillo López, 1988).

El derecho de cancelación, de conformidad con el texto normativo, significa que, previa solicitud del titular de los datos personales sometidos a tratamiento, estos pueden ser eliminados cuando se utilicen para fines distintos al propósito del tratamiento o cuando no se respeten los principios, derechos, garantías constitucionales o legales. Como requisito de procedencia, la SIC debe haber determinado algún grado de incumplimiento por parte del responsable o encargado del tratamiento (art. 8).

Al respecto, la ley estatutaria no regula de manera clara y específica el derecho de supresión de los datos y, en consecuencia, delegó en la SIC la determinación del régimen de responsabilidad por violación directa a la Constitución y la Ley en el tratamiento de los datos, lo que lleva a concluir que dicha regulación solo se someterá a las organizaciones comerciales que son las que puede vigilar la Superintendencia (Burgos Suárez, 2019).

La supresión de los datos también se conoce como derecho al olvido, conforme al cual el titular tiene la posibilidad de solicitar la desaparición de aquellos datos negativos (no queridos, perjudiciales, socialmente reprobados o desfavorables) de los sistemas de registro. Este derecho se entiende como un derecho a la caducidad del dato negativo (Tafoya Hernández & Cruz Ramos, 2014).

Políticas de tratamiento de datos personales

El Decreto 1377 de 2013 dispone en el artículo 13 los lineamientos necesarios y obligatorios para el cumplimiento de los principios y las obligaciones de todos aquellos encargados o responsables del tratamiento de datos personales.

En este sentido, dicha política se aplicará a todas y cada una de las bases de datos que sean objeto de tratamiento, recolección, almacenamiento, uso, circulación y supresión de datos de carácter personal (SIC, 2020).

La política de tratamiento de los datos personales se constituye con el fin de que la sociedad en general conozca y tenga a su disposición la información sobre el tratamiento, los fines del mismo, así como el contenido de sus derechos, y la forma en que pueden ejercerlos, para proteger el derecho constitucional que tienen todas las personas a conocer, actualizar, rectificar y suprimir sus datos personales.

Al respecto, la normatividad dispone que toda política de tratamiento de datos personales ha de constar en medio físico o electrónico, con un lenguaje claro y sencillo, accesible para los titulares del dato, e incluir la siguiente información:

1. Nombre o razón social, domicilio, dirección, correo electrónico y teléfono del responsable.

2. Tratamiento al cual serán sometidos los datos y la finalidad del mismo, en caso de que no se haya informado mediante el aviso de privacidad.

3. Derechos que le asisten como titular.

4. Persona o área responsable de la atención de peticiones, consultas y reclamos, ante la cual el titular de la información puede ejercer sus derechos a conocer, actualizar, rectificar y suprimir el dato, así como revocar la autorización.

5. Procedimiento para que los titulares de la información puedan ejercer los derechos a conocer, actualizar, rectificar y suprimir información, y revocar la autorización.

6. Fecha de entrada en vigencia de la política de tratamiento de la información y período de vigencia de la base de datos.

7. Cualquier cambio sustancial en las políticas de tratamiento, en los términos descritos en el artículo 5 del presente decreto, deberá ser comunicado oportunamente a los titulares de los datos personales de manera eficiente, antes de implementar las nuevas políticas (ver artículo 13 del Decreto 1377 de 2013).

Es de destacar que el articulado señala de forma taxativa los deberes, obligaciones y condiciones exigibles al responsable y encargado del tratamiento de los datos, en especial el de desarrollar una política de tratamiento de los datos, acorde con los derechos y garantías constitucionales y legales, so pena de ser sancionado por la SIC.

De acuerdo con lo reglamentado por la SIC, la política de tratamiento de los datos personales debe contener el conjunto de operaciones y procedimientos que incluyen la recolección de datos, su almacenamiento, uso, circulación y/o supresión. Asimismo, el tratamiento debe realizarse exclusivamente para las finalidades autorizadas por el titular y previstas en la ley (SIC, 2020).

Por último, en aquellos casos en los que no sea posible comunicar al interesado las políticas de tratamiento de la información, los responsables están obligados a informar de manera oportuna, a través de un aviso de privacidad, sobre la existencia de dicha política y la forma de disponer de la misma en el momento de la recolección de los datos personales (art. 14).

Autoridad de protección de datos

Con la entrada en vigencia de la Ley Estatutaria 1581 de 2012, se delegó a la Superintendencia de Industria y Comercio (SIC), una institución de orden nacional, descentralizada, con personería jurídica y adscrita a la Rama Ejecutiva, la potestad de vigilar y controlar el tratamiento de los datos personales.

La SIC cuenta con facultades sancionatorias como mecanismo de control para combatir el manejo indiscriminado de los datos personales por parte de los encargados del tratamiento, vigilando además el ejercicio efectivo de sus funciones (Remolina Angarita, 2013).

El poder conferido por el legislador a una autoridad administrativa tiene como fin asegurar la eficacia de los derechos fundamentales de los titulares de la información, contenidos en los procesos de administración de datos personales (Camargo, 2013).

Dicho proceso sancionatorio inicia con la denuncia instaurada por el titular del dato, una vez haya agotado la consulta ante el responsable o encargado del tratamiento. Luego, procede la notificación al implicado, la presentación de alegatos y, finalmente, la adopción del fallo, el cual debe estar motivado por los principios que garantizan el ejercicio del debido proceso en sede administrativa (Remolina Angarita, 2013).

Conclusiones

El principal mecanismo de protección de los datos personales es por medio de una regulación normativa que busque limitar el ámbito de acceso a la información personal, estableciendo reglas para quienes tengan acceso a la misma. De esta forma, se evita que la información de las personas circule libremente y sin control alguno por parte de sus titulares.

Como se ha mencionado anteriormente, contamos con un marco jurídico constitucional y legal que se complementa en muchos apartados con las disposiciones establecidas por la Unión Europea en materia de protección de datos personales y el derecho a la autodeterminación informática (Remolina Angarita, 2013).

Entre los aportes más relevantes y destacados de la Ley 1581 de 2012 se encuentra el alcance que se da a la información personal y la importancia de su manejo, como respuesta a la problemática derivada del acelerado crecimiento de la sociedad, en donde la información se ha convertido en una fuente esencial para el desarrollo de fenómenos económicos, sociales y políticos.

De esta manera, es claro que se requiere una nueva perspectiva para abordar los asuntos relacionados con la intimidad y privacidad de las personas. En este contexto, se propone la importancia de proteger la información personal en el ámbito de la salud. Al reflexionar sobre el tratamiento de los datos personales en dicho ámbito, surge la pregunta de si la regulación existente responde a los retos y desafíos que impone la sociedad de la información, en el sentido de categorizar los derechos de las personas respecto a su información personal, y si este criterio es relevante para adoptar una posición de respeto por la protección de los datos.

La Ley Estatutaria 1581 de 2012 estableció de manera general el reglamento para el tratamiento de los datos personales. Sin embargo, cabe señalar que, aunque dicho instrumento resulta ser un medio pertinente para limitar las facultades del aparato estatal en relación con los derechos y libertades que benefician a todo el conglomerado social, el legislador olvidó fijar de manera clara el derrotero a seguir cuando se refiere a información sensible de alto valor que buscan conquistar organizaciones o sociedades en el ámbito de la información.

Por consiguiente, resaltamos ahora los aspectos más relevantes legislados en otros ordenamientos jurídicos, como el sistema jurídico europeo, recogido en el Reglamento Europeo de Protección de Datos Personales (RGPD). Dicho instrumento califica los datos sensibles en una categoría especial y, por ello, confiere una regulación, tratamiento y protección unitaria. En este aspecto, el Reglamento ha consolidado un concepto amplio de datos relativos a la salud, lo cual permite extender el ámbito de protección de los datos como respuesta a los supuestos prácticos que acontecen en la realidad, en especial en el contexto hospitalario.

Como punto de partida, todo tratamiento de datos debe fundamentarse en la autorización del titular. El derecho de protección de datos personales se constituye en la facultad de una persona para controlar lo que sucede con sus datos, y es la capacidad de esa persona lo que le permite expresar su voluntad y consentir o no el tratamiento. Esta figura del consentimiento informado es la concreción de esa autonomía de la voluntad. En consecuencia, se desprende la configuración del derecho a ser informado sobre los parámetros que rodearán el tratamiento de sus datos (art. 13).

La norma europea de protección de datos establece una serie de principios y derechos que deben aplicarse como garantías a aquellos datos de especial protección: los datos sensibles. En primer lugar, advierte que el tratamiento debe respetar los denominados principios de calidad, finalidad, pertinencia y veracidad. Estos principios generales no solo reconocen la necesidad de proteger y asegurar la conservación de la intimidad y el carácter personal e íntimo de los datos que se manipulan en el sector de la salud, sino que también prevén los riesgos que conlleva el tratamiento de los mismos.

Partiendo de esta premisa, el régimen de protección de datos cuenta con diferentes aspectos, entre ellos, el principio de ponderación de intereses cuando entran en conflicto derechos de gran relevancia para la condición humana. Aquí, la búsqueda del equilibrio se concreta entre la necesidad de utilizar los datos sensibles para los fines habilitados por la ley, que apuntan a proteger el derecho a la salud, y la necesidad de proteger la intimidad y el derecho a la protección de datos personales.

Sin embargo, debemos reconocer el esfuerzo normativo con la expedición de la Ley 1581 de 2012 y sus decretos reglamentarios, lo cual representa un paso importante en el propósito de proteger la información personal de los ciudadanos. Por ello, es necesario destacar las funciones administrativas y jurisdiccionales encomendadas a la Superintendencia de Industria y Comercio (SIC) como la entidad encargada de la protección de los datos personales.

REFERENCIAS

Aparicio Salom, J. (2009). Estudio sobre la ley orgánica de protección de datos de carácter personal. Aranzadi.

Arenas Ramiro, M. (2006). El derecho a la protección de datos personales en Europa. Tirant lo Blanch.

Bautista, Avellaneda, M. E. (2015). El derecho a la intimidad y su disponibilidad Pública. Universidad Católica de Colombia, Colección JUS público N 7.

Burgos Suárez, J. A. (2019). Ni rectificación, ni olvido. Una tesis sobre el conflicto de derechos entre el derecho al olvido y el derecho a la información en Colombia. Escribanía, 17(1), 125-136. https://revistasum.umanizales.edu.co/ojs/index.php/escribania/article/view/3508.

Camargo, P. P. (2013). El habeas data: derecho a la intimidad. Leyer.

Canales, A., Blanco, M. J., & Piñar Mañas, J. L. (2005). Protección de datos de carácter personal en Iberoamérica. Tirant lo Blanch.

Cantero Martínez, J. (2005). La autonomía del paciente: del consentimiento informado al testamento vital. Bomarzo.

Carrillo López, M. (1988). El derecho a la información y veracidad informativa. Revista Española de Derecho Constitucional, 8(23), 187-206.

Castillo Vázquez, I. C. (2007). Protección de datos: cuestiones constitucionales y administrativas. Thomson-Civitas.

Coudert, F. (2005). Tratamiento de datos especialmente protegidos. En C. Almuzara Almaida (coord.). Estudio práctico sobre la protección de datos de carácter personal (pp. 301-326). Lex Nova.

Cruz Ramírez, A. (s.f.). Habeas Data. La protección Constitucional y Jurisprudencial en Colombia. https://www.scjn.gob.mx/sites/default/files/transparencia/documentos/becarios/028alejandro-cruz-ramirez.pdf.

Davara Rodríguez, M. A. (2018). Acerca de la denominada protección de datos. Actualidad Administrativa, 10.

Davara Rodríguez, M. A. (2017). El delegado de protección de datos.

Galán Cortés, J. C. (1997). El consentimiento informado del usuario de los servicios sanitarios. Colex.

García Amez, J. (2010). La protección de datos del usuario de la sanidad: derecho a la intimidad y asistencia sanitaria. DS: Derecho y Salud, 20(1), 43-69.

Garriga Domínguez, A. (2000). Una nueva exigencia de la libertad: La protección de los datos sensibles. Dereito: Revista xuridica da Universidade de Santiago de Compostela, 9(2), 49-81. https://dialnet.unirioja.es/servlet/articulo?codigo=173971.

Lizárraga Bonelli, E. (2019). Protección de datos y asistencia médica: hacia un nuevo paradigma del consentimiento. Actualidad del Derecho Sanitario, 270, 469-472.

Londoño Toro, B. (1987). El derecho a la intimidad, el honor y la propia imagen enfrentado a las nuevas tecnologías informáticas. Revista Facultad de Derecho y Ciencias Políticas, 77, 107-146. https://revistas.upb.edu.co/index.php/derecho/article/view/4970.

Losano, M. G., Pérez Luño, A. & Guerrero Mateus, M. F. (1989). Libertad informática y leyes de protección de datos personales. Centro de Estudios Políticos y Sociales.

Martín Sánchez, I., Sánchez-Caro, J. & Abellán-García, F. (2011). Libertad de consciencia y medicamento. Una guía práctica. Comares.

Moreno Sánchez, J. A. & Cano Valle, F. (2004). El consentimiento bajo información ¿un documento o un proceso? En I. Brena Sesma & L. T. Díaz Müller (coords.). Segundas Jornadas sobre Globalización y Derechos Humanos: bioética y biotecnología (pp. 29-40).

Murillo de la Cueva, P. L. (2003). Informática y protección de datos personales. Revista Chilena de Derecho Informático, 2. https://revistas.uchile.cl/index.php/RCHDI/article/view/10656.

Murillo de la Cueva, P. L. & Piñar Mañas, J. L. (1990). El derecho a la autodeterminación informativa. Fundación Coloquio Jurídico Europeo.

Piñar Mañas, J. L. (2005). El derecho fundamental a la protección de datos personales. Algunos retos de presente y futuro. Asamblea: revista parlamentaria de la Asamblea de Madrid, 13, 21-46.

Polo Roca, A. (2020). Sociedad de la información, sociedad digital, sociedad de control. Inguruak, 68, 50-77.

Rallo Lombarte, A. (2019). El nuevo derecho de protección de datos. Revista Española de Derecho Constitucional, 116, 45-74.

Rebollo Delgado, L. & Serrano Pérez, M. M. (2008). Introducción a la protección de datos. Dykinson.

Rebollo Delgado, L. (1998). Derechos de la personalidad y datos personales. Revista de Derecho Político, 44, 143-206.

Recuero Linares, M. (2019). Transferencias internacionales de datos genéticos y datos de salud con fines de investigación. Revista de derecho y genoma humano: genética, biotecnología y medicina avanzada, Nº extra(1), 413-433.

Remolina Angarita, N. (2013). Tratamiento de datos personales: aproximación internacional y comentarios de la Ley 1581 de 2012. Legis.

Rodríguez López, P. (2004). La autonomía del paciente: información, consentimiento y documentación clínica. Dilex.

Sánchez-Caro, J. & Abellán, F. (2004). Datos de salud y datos genéticos. Su protección en la Unión Europea y en España. Comares.

Seoane Rodríguez, J. A. (2002). De la intimidad genética al derecho a la protección de datos genéticos. Revista de Derecho y Genoma Humano, 17, 135-175.

Serrano Pérez, M. M. (2020). El marco jurídico de los datos relativos a la salud en el ámbito de la salud y de la investigación en salud tras la entrada en vigor del Reglamento general de protección de datos y de la Ley de protección de datos personales y garantía de los derechos digitales. Estudios de Deusto, 68(2), 257-292. https://revista-estudios.revistas.deusto.es/article/view/1952.

Superintendencia de Industria y Comercio (2014). Políticas de tratamiento de la información personal en la Superintendencia de Industria y Comercio.

Superintendencia de Industria y Comercio (2020). Política de tratamiento de datos personales. https://sedeelectronica.sic.gov.co/sites/default/files/normativa/Política-de-Tratamiento-de-Datos-Personales.pdf.

Tafoya Hernández, J. G. & Cruz Ramos, C. G. (2014). Reflexiones en torno al derecho el olvido. IFDP: Revista del Instituto Federal de Defensa Pública, 18, 76-105. https://biblioteca.corteidh.or.cr/documento/68375.

Toniatti, R. (1991). Libertad informática y derecho a la protección de los datos personales. Revista Vasca de Administración Pública, 29, 139.

Troncoso Reigada, A. (2018). Investigación, salud pública y asistencia sanitaria en el Reglamento General de Protección de Datos de la Unión Europea y en la Ley Orgánica de Protección de Datos Personales y Garantía de los Derechos Digitales. Revista de Derecho y Genoma Humano, 49, 187-266.

Troncoso Reigada, A. (2010). La protección de datos personales, en busca del equilibrio. Tirant lo Blanch.

Unión Europea (2016). Reglamento (UE) 2016/679 del Parlamento Europeo y del Consejo. Diario Oficial de la Unión Europea. https://www.boe.es/doue/2016/119/L00001-00088.pdf.

Unión Europea (2016). Reglamento de protección de datos personales de la Unión Europea RPDP, 2016. Diario Oficial de la Unión Europea. https://www.boe.es/doue/2016/119/L00001-00088.pdf.

Unión Europea (2008). Reglamento (CE) nº 1338/2008 del Parlamento Europeo y del Consejo, de 16 de diciembre de 2008, sobre estadísticas comunitarias de salud pública y de salud y seguridad en el trabajo. Agencia Estatal Boletín Oficial del Estado. https://www.boe.es/buscar/doc.php?id=DOUE-L-2008-82645.

Villanueva, E. (2003). El derecho de la información. Conceptos básicos. Ciespal.