Dr. Carlos E. Delpiazzo

Doctor en Derecho y Ciencias Sociales. Profesor de Derecho Público, Profesor de Informática Jurídica y Director del Instituto de Derecho Informático en la Facultad de Derecho de la Universidad de la República. Profesor de Derecho Administrativo, Profesor de Derecho Informático y Director del Programa Master de Derecho Administrativo Económico en la Facultad de Derecho de la Universidad de Montevideo. Profesor de Informática Jurídica en la Facultad de Derecho de la Universidad Católica del Uruguay. Miembro del Instituto Uruguayo de Derecho Administrativo, de la Asociación Argentina de Derecho Administrativo, y de la Asociación de Derecho Público del Mercosur.

SUMARIO:

I) PRESENTACION. Doble enfoque de la historia clínica: como continente y como contenido.
II) LA HISTORIA CLINICA COMO DOCUMENTO. Caracterización del documento electrónico. Normativa aplicable. Validez y eficacia. Admisibilidad y valor probatorio.
III) LA HISTORIA CLINICA COMO CONJUNTO DE DATOS. Caracterización de la información de salud. Normativa aplicable. Régimen protector. Límites a la difusión.

I) PRESENTACION

Para encarar el tema de la historia clínica desde un punto de vista jurídico, es necesario realizar respecto a ella, un doble enfoque, examinando primero a la historia clínica como documento y luego a la historia clínica como un conjunto de datos.

Esta clasificación, más allá de tener lo arbitrario que siempre tiene toda clasificación, puede ser útil a los efectos de las respuestas normativas y de las respuestas que en perspectiva jurídica podamos dar a muchas de las preguntas que seguramente están presentes en la vida cotidiana de los profesionales de la salud y de las instituciones asistenciales, tanto públicas como privadas.

Hablar de la historia clínica como documento y de la historia clínica como conjunto de datos, en el fondo no es más que hablar de ella como continente y como contenido.

II) LA HISTORIA CLINICA COMO DOCUMENTO

Para introducirnos en la consideración de la historia clínica como documento, vamos a comenzar haciendo algunas referencias a qué es un documento y a qué le agrega el calificativo de electrónico al concepto de documento.

En primer lugar, ¿qué se entiende habitualmente por documento?. Según la literatura jurídica más recibida, el documento se caracteriza por tres elementos: primero, es una cosa material; segundo, tiene una finalidad representativa, es decir, que quiere decir algo; y tercero, se usa como prueba. Un papel escrito es un documento porque es una cosa material que representa algo y ese algo a la vez puede tener un cierto valor probatorio dependiendo del tipo de documento de que se trate; no es lo mismo una escritura pública que un documento privado, para poner dos ejemplos extremos. A partir de esta noción de documento como género, cabe distinguir distintas especies, es decir, que el género admite ser cualificado con determinadas características que van a permitir diferenciar unos documentos de otros.

En segundo lugar, pensando en la historia clínica como documento, cabe preguntarse ¿qué es un documento al que calificamos de electrónico? Habitualmente se entiende por documento electrónico aquel que es formado por el computador o que es formado por medio del computador.

En el primer caso, es decir, cuando el documento es formado por el computador, quiere decir que el computador no se limita a materializar una voluntad externa, sino que también determina el contenido de esa voluntad. Cuando se programa un computador para que frente a determinado supuesto emita una consecuencia, en realidad -sea legible o no sea legible esa consecuencia desde el punto de vista del lector humano- ahí tenemos un documento electrónico en sentido estricto, formado por el computador.

En el segundo caso, o sea aquel en el que el documento es formado por medio del computador, el computador simplemente manifiesta una voluntad ya expresada. Cuando por ejemplo el médico consigna determinadas características referidas a la situación del paciente al que acaba de examinar y en lugar de hacerlo de puño y letra, lo hace a través de computador, lo imprime y luego lo guarda en la historia clínica tradicional, en realidad ha utilizado al computador como una herramienta para documentar, pero lo ha traducido luego a un soporte papel. En sentido amplio, también a éste se le llama documento electrónico.

Alguna doctrina para distinguir estas dos hipótesis, a uno lo llama documento informático y al otro lo llama documento electrónico, pero en los dos casos tenemos un documento calificable de electrónico, sólo que en la primera hipótesis en un sentido estricto y en la segunda en un sentido más amplio.

En el Uruguay, es interesante advertir que la primera norma legal que se dicta en materia informática refiere al documento electrónico. Esto es bastante curioso porque en general en la legislación comparada las primeras normas que se dictaron siempre estuvieron referidas a los bienes informáticos y en particular al software.

Sin embargo, en nuestro Derecho, la primera norma legal en materia informática refiere al documento electrónico y está contenida en la Ley Nº 16.002 de 25 de noviembre de 1988, cuyo art. 129 reconoce que "la documentación emergente de la transmisión a distancia, por medios electrónicos, entre dependencias oficiales, constituirá de por sí documentación auténtica y hará plena fé a todos sus efectos, en cuanto a la existencia del original transmitido". Quiere decir que esta ley vino a decir que el documento electrónico, es decir, el documento formado por medio del computador, es plenamente válido y eficaz desde el punto de vista jurídico, con la limitante de que esta norma refería a la transmisión de este tipo de documentos entre dependencias oficiales. A renglón seguido, el art. 130 preveía un delito para reprimir a quienes defraudan esa confianza que el legislador estaba poniendo en el documento electrónico al reconocerle plena fé a todos sus efectos en cuanto a la existencia del original transmitido.

Sin perjuicio de esta norma, ya desde antes de ella, y aún antes de la vigencia del actual Código General de Proceso, nuestra legislación admitía la prueba por medios electrónicos y en general cualquier prueba por medios novedosos, porque la denominada Ley de Abreviación de los Juicios Nº 13.335 de 1965, que completó al viejo Código del Procedimiento Civil, decía que podrán utilizarse en los juicios todos los medios probatorios no prohibidos por la ley. Quiere decir que todo elemento, toda cosa susceptible de trasladarle al Juez una convicción sobre una determinada situación necesitada de ser acreditada en el pleito era recibible, en tanto no estuviera prohibida por la ley. Por lo tanto, en la medida que el documento electrónico no estaba prohibido porque no estaba regulado, se podía entender que estaba receptado al igual que otros elementos probatorios emanados de tecnologías, como puede ser la del fax o la del telex, que tradicionalmente la Justicia fue recibiendo.

En el actual Código General del Proceso, que es del año 1988, se incluye una norma similar, de manera que actualmente aún si no se hubiera dictado la Ley Nº 16.002 y otras normas posteriores más específicas, el documento electrónico sería admisible como prueba en nuestro ordenamiento positivo.

Pero además de ser admisible ese documento, lo que hay que ver es qué valor probatorio puede asignarle el Juez, porque una cosa es que un medio de prueba sea admisible y otra es cuál es su valor probatorio. Ya quedó dicho que no es lo mismo una escritura pública que un documento firmado por dos personas que ni siquiera aclararon sus firmas; los dos son documentos, los dos son admisibles como medio de prueba, pero evidentemente no traducen un idéntico valor desde el punto de vista probatorio.

Nuestro régimen procesal tiene un sistema mixto en materia probatoria: hay algunos medios probatorios que tienen una eficacia probatoria específicamente determinada, como es el caso de la escritura pública, que hace plena prueba, o de la confesión de parte, que también hace plena prueba. En cambio, hay otros elementos de prueba que son de apreciación judicial, es decir, que de acuerdo a lo que nuestra ley llama "el criterio de la sana crítica", el Juez va a determinar qué fuerza o qué valor probatorio tiene ese elemento en el contexto de toda la prueba que se ha presentado.

En la ley de Presupuesto Nacional Nº 16.736 de 5 de enero de 1996, se perfecciona el marco jurídico referido al documento electrónico ya que se incorpora un conjunto de normas, a partir del art. 697, según las cuales la documentación emergente de la transmisión por medios informáticos o telemáticos constituirá de por sí documentación auténtica y hará plena fé a todos sus efectos en cuanto a la existencia del original transmitido. Esta norma, a pesar de que no hace referencia a la Ley Nº 16.002, copia una parte de ella, pero es mucho más amplia; en primer lugar, no se limita a la transmisión entre dependencias oficiales, sino que alcanza a cualquier documentación emergente de medios informáticos o telemáticos, es decir, no habla de electrónicos sino de informáticos y telemáticos, receptando así la potencialidad de este encuentro entre informática y telecomunicaciones. Esta ley agrega que "el que voluntariamente transmitiere un texto del que resulte un documento infiel, adultere o destruya un documento almacenado en soporte magnético, o su respaldo, incurrirá en los delitos previstos por los artículos 236 a 239 del Código Penal, según corresponda". Estos delitos son los que refieren a la falsificación documentaria, tanto material como ideológica. Quiere decir que, a diferencia de otros países, el nuestro en lugar de regular comportamientos penales específicamente referidos al ámbito de la informática, describió una serie de comportamientos y les hizo aplicables unas figuras penales de las que ya existen reguladas en el Código Penal. Por eso, algunos autores dicen que el Derecho Informático es un Derecho de adaptación y entre otras razones lo es porque muchas veces no se legisla de modo global o autónomo cada uno de los nuevos temas, sino que se dictan normas de remisión a viejos institutos ya regulados por el Derecho positivo y que en todo caso se adaptan a esa nueva realidad.

De la normativa reseñada resultan tres elementos a destacar respecto a la historia clínica electrónica: su valor probatorio, su autenticidad, y su seguridad.

En primer lugar, la historia clínica puede ser tratada automáticamente, y en tal sentido puede ser admitida como medio de prueba, y además puede ser valorada por el juez como tal medio de prueba. Teniendo en cuenta las normas descriptas, puede considerarse equivalente a una escritura pública, porque la ley dice que la documentación emergente de la transmisión por medios informáticos o telemáticos hará plena fé, lo que equivale a decir que se considera que lo que allí está, es lo que es y por lo tanto será necesario en todo caso realizar prueba en contrario si se trata de acreditar que lo que allí se consigna, no es lo que es.

En segundo lugar, el tema de la autenticidad es un de los que ha planteado para el Derecho, una mayor cantidad de desafíos porque con el advenimiento de la informática se ha pasado del campo del "documentador hombre", al campo del "documentador máquina" y por lo tanto los medios tradicionales de autenticación, y de modo particular la firma, ya no sirven. Tal cambio obliga a acudir a otros elementos de autenticación; en la jerga habitual del Derecho informático, se habla de la firma electrónica que en definitiva no es otra cosa que un conjunto de códigos secretos, combinaciones de cifras o letras o de ambas, de la encriptación, de determinadas características del reconocimiento por el computador de algún rasgo biométrico, o algún otro elemento biunívocamente asociable a un determinado sujeto. Quiere decir que cuando nos trasladamos del campo de las técnicas convencionales al campo de la informática, ya no podemos pensar en la firma manuscrita, sino que tenemos que pensar en lo que por comodidad de lenguaje se ha llamado firma electrónica, pero que en realidad no se parece en nada a la firma, porque se trata de códigos secretos, de códigos de manejo reservado por aquel que va a traducir (como antes lo hacía con su firma) su aquiescencia o su consentimiento a lo que allí se consigna. La misma ley Nº 16.736 ya citada reconoce la validez y eficacia de la firma electrónica, a través de cualquier signo o contraseña.

En tercer lugar, el tema de la autenticidad o de la autenticación, asociado a la llamada firma electrónica, se vincula íntimamente con la cuestión de seguridad. No es que la temática de la seguridad del documento electrónico se agote con la firma electrónica, pero realmente hay allí un aspecto de suma importancia vinculado con la seguridad o certeza de que lo que allí se consignó emana de quien se dice que emana, con lo cual no solo se trata de disponer de buenos códigos secretos sino de que esos códigos secretos sean manejados exclusivamente por quienes los deban manejar. Si el código secreto es dejado en manos de una secretaria o de un asistente, o de la enfermera, o no se adoptan los recaudos apropiados cuando se deja el trabajo, si ese lugar va a ser usado por otro -como obviamente ocurre en los consultorios de policlínicas- entonces existe un riesgo de que esa contraseña pueda ser utilizada por otro y que pueda ocurrir algo mucho más sofisticado que la falsificación de la firma porque en realidad aquí no se va a estar falsificando nada, la contraseña va a ser correcta y va a ser necesario probar que alguien se valió de ese elemento para autenticar algo que no le pertenece o para alterar, por la posibilidad de acceso a esa clave, un determinado contenido.

Además, el tema de la seguridad está vinculado a la intangibilidad del documento electrónico. En esto, como muy bien lo han destacado muchos autores, está en juego no solo un elemento jurídico sino que están también en juego un conjunto de elementos técnicos porque un sistema informático que no fuere seguro, que no estuviere dotado de unas reglas básicas de confiabilidad, podría verse expuesto por ejemplo a la posibilidad de que, aún sin acceder al código secreto del médico que consignó determinada información en la historia clínica electrónica, no obstante pudiera ser alterado por otra persona que tuviera un acceso no controlado a esa historia clínica electrónica. Observemos que no puede ser igual el acceso a la historia clínica por el médico tratante que por el funcionario de la oficina de Registros Médicos. Este podrá relevar determinada información y probablemente no toda, pero no podrá modificar esa información. Es decir que estaríamos frente a dos hipótesis distintas de acceso, con características diversas en cuanto a su alcance.

A modo de conclusión de esta parte, puede decirse que, desde la consideración de la historia clínica como documento, en perspectiva informática, cabe categorizarla como documento electrónico, y afirmar que es admisible judicialmente, que tiene valor probatorio, que existen medios para su autenticación y que su validez y eficacia van a estar asociadas a la confiabilidad de los medios que se empleen.

III) LA HISTORIA CLINICA COMO CONJUNTO DE DATOS

Afirmada la viabilidad de la historia clínica como documento electrónico, corresponde examinarla como conjunto de datos. En este sentido, la primera precisión o puntualización que se impone es la de señalar de qué tipo de datos se está hablando cuando nos referimos a aquellos que ordinariamente están contenidos en una historia clínica.

Muy genéricamente -parece obvio- estos datos refieren a la salud o a la enfermedad de una determinada persona y probablemente a determinadas características de su conducta en determinados campos, como por ejemplo, si el paciente es un alcohólico evidentemente hay un aspecto de su conducta que aparece reflejado probablemente en su historia clínica. Por eso, la primera cuestión es la de determinar que característica tienen los datos que refieren a la salud y a la enfermedad.

Los países más adelantados -porque la tecnología llegó a ellos antes que a otros- tuvieron como un punto fundamental de preocupación en su regulación legislativa, la protección de los datos personales. Sin duda, el dato referido a la salud o a la enfermedad es un dato personal del paciente.

En los países integrantes de la Unión Europea, desde los años setenta, ya se ha legislado varias veces sobre la protección de los datos personales, al punto de que puede hablarse de sucesivas generaciones de leyes en materia de protección de datos, del mismo modo que se habla de generaciones en el desarrollo del computador, o de generaciones en el desarrollo del soporte lógico. ¿Porqué ocurrió esto? Porque las primeras generaciones de protección de datos tenían ante sí el problema de los datos concentrados en grandes bases de datos en enormes computadores que permitían el conocimiento de toda esa información a través de distintas modalidades de ingreso, en tiempo prácticamente real. Pero esa no es la realidad de hoy, cuando asistimos a la existencia de mucho mayor cantidad de datos descentralizados en múltiples de bases de datos, muchas de ellas conectadas entre sí, de manera que esos datos viajan, van y vienen sin que muchas veces el dueño del dato personal sepa siquiera donde está o de qué datos se disponen de él o hasta cuándo se dispone de esos datos, porque como algún autor ha señalado con acierto, la informática no garantiza el derecho al olvido.

La circulación de esos datos es un verdadero problema contra el cual procuran luchar las leyes de protección de datos de segunda generación, para proteger a los individuos no ya en el clásico enfoque del derecho a la intimidad, entendido como el derecho a estar solo o el derecho a no ser molestado, sino como una nueva manifestación de ese derecho a la intimidad, que se ha llamado libertad informática y que consiste en saber dónde hay datos que refieren a mi, qué datos hay con relación a mi, si hay datos erróneos, que esos datos puedan ser rectificados de acuerdo a mecanismos que me permitan obtener esa rectificación, y en su caso a la eliminación del dato erróneo o que corresponda eliminar por razón de olvido u otra. Esa es la preocupación que anima las leyes de segunda generación en materia de protección de datos.

Al presente, estamos enfrentados a lo que podríamos llamar una tercera generación de normas, que es la que teniendo en cuenta el fenómeno telemático, ha captado que ya no tiene demasiado sentido proteger con normas nacionales el dato personal, porque el dato personal atraviesa las fronteras soberanas de los Estados sin pedirle permiso a nadie, sin pasar bajo el control de ninguna oficina aduanera ni de ninguna otra autoridad. Así, vemos como, por ejemplo, en la Unión Europea esta tercera generación de normas se expresa en una Directiva que como norma de Derecho comunitario (supranacional) que es, se aplica directamente en el ámbito de los Estados que forman parte de la Unión. Esta realidad todavía no es traspolable a nuestro Mercosur, que aún no admite un Derecho supranacional sino que, como proceso intergubernamental de integración, sólo admite un Derecho de igual naturaleza intergubernamental, es decir, no superior al Derecho de cada uno de los Estados.

¿Qué se entiende habitualmente por dato personal? Para responder a esta pregunta, cabe citar el lit. A) del art. 3° de la ley orgánica de protección de datos española Nº 5/992, que es una de las más modernas y completas en esta materia. De acuerdo a dicha disposición, se considera dato personal cualquier información concerniente a persona física identificada o identificable, es decir, que mediante alguna operación sencilla o sofisticada permite asociar ese dato a determinada persona. Entre otros, se consideran tales los datos de carácter existencial, nacimiento, muerte, casamiento, divorcio, domicilio, actos objeto de decisión judicial, actividad profesional, medios de subsistencia, patrimonio, afiliación política, afiliación sindical, pertenencia a confesión religiosa, asistencia a eventos públicos o privados, desplazamientos y enfermedades. También caben dentro del concepto de datos personales, aunque no expresan una información existencial, por ejemplo de acuerdo a la ley alemana, las condiciones personales o materiales en que se vive. Asimismo, de acuerdo a la ley inglesa, se incluyen las opiniones, o las que de uno se tienen. Obsérvese que el concepto de dato personal se ha ido extendiendo o expandiendo, para extender o expandir también la garantía de acceso, la garantía de corrección, la garantía de rectificación, la garantía de eliminación, etc.

Entre nosotros, en el Uruguay, no existe ley de regulación de datos personales, pero tenemos el art. 72 de la Constitución según el cual "la enumeración de derechos, deberes y garantías hecha por la Constitución, no excluye los otros que son inherentes a la personalidad humana o se derivan de la forma republicana de gobierno". Dicho precepto está ubicado al final de la Sección II de la Constitución, que se titula "Derecho, Deberes y Garantías", y constitucionaliza una concepción jusnaturalista de largo arraigo en nuestra historia constitucional.

A partir de la constatación de que todos los derechos y garantías no reconocidos expresamente en el texto de la Constitución quedan igualmente garantizados en tanto sean inherentes a la persona humana o a la forma republicana de gobierno, es posible inferir sin vacilaciones que el dato personal entre nosotros tiene protección jurídica porque refiere al ser humano en su eminente dignidad y, por lo tanto, merece de la protección del Derecho. En tanto y en cuanto no exista un medio específico de defensa, cabrá el uso de las acciones ordinarias que correspondan para hacer valer la libertad informática y proteger los propios datos personales.

La ya aludida ley de Presupuesto Nacional Nº 16.736 aporta un reconocimiento en tal sentido cuando, en el art. 694, garantiza el pleno acceso de los ciudadanos a las informaciones de su interés que posea la Administración Pública. Quiere decir que el principio -que además es inherente a la forma republicana de gobierno en la actuación administrativa- es el derecho a la publicidad de las actuaciones que a alguien conciernen, lo cual viene a poner las cosas en sus justos términos, porque la sociedad crea la Administración para servirse, la Administración es un instrumento, no un fin, y entonces lo lógico es que la sociedad y sus integrantes puedan acceder a toda la información que tiene que ver con el funcionamiento administrativo. Si eso es así con carácter general y para la información que emana y que deriva de la propia Administración, mucho más para los datos personales que posee la Administración, los cuales no le pertenecen sino que son de la persona que es titular de esos datos.

Si consideramos que el dato en salud es un dato personal, la inmediata consecuencia que de ello debe extraerse es que se trata de un dato de los denominados "sensibles".

La doctrina y el Derecho comparado hablan de datos sensibles para referir a aquellos que merecen un particular tratamiento por el Derecho. La citada ley española de protección de datos personales contiene una norma específica sobre los datos relativos a la salud en el art. 8°, donde dice que se podrá proceder al tratamiento automatizado de los datos de carácter personal relativos a la salud de las personas de acuerdo con lo dispuesto en la Ley General de Sanidad. El art. 10° de dicha Ley General de Sanidad establece cuáles son los derechos que tienen los pacientes frente a las instituciones de salud. Entre ellos, se destacan los siguientes: 1°) Al respeto de su personalidad, dignidad e intimidad, sin que pueda ser discriminado por razones de raza, tipo social, sexo, moral, económico, biológico, político o sindical. 2°) A la información sobre los servicios sanitarios a los que puede acceder y sobre los requisitos necesarios para su uso. 3°) A la confidencialidad de toda la información relacionada con su proceso y con su estancia en cualquier institución sanitaria pública o privada. 5°) A que se le de en términos comprensibles para él y para sus familiares, allegados, información completa, continuada, verbal y escrita sobre su proceso, incluyendo diagnóstico, pronóstico y alternativas de tratamiento. 6°) A la libre elección entre las opciones que le presente el médico en su caso, siendo preciso el previo consentimiento escrito para la realización del cualquier intervención, excepto -señala emergencias, urgencias, señalan las que ustedes se imaginan. Salteo nuevamente algunos artículos. 11°) A que quede constancia por escrito de todo su proceso y al finalizar la estancia en cualquier institución hospitalaria, el paciente familiar o allegado, a recibir su informe de alta por escrito.

El art. 61 de la misma Ley General de Sanidad agrega que deberá procurarse la máxima integración de la información relativa a cada paciente, por lo que el principio es el de la historia clínica única, de modo que se consagra el principio de la historia clínica única por persona y mientras eso no se alcance, al menos dentro de cada institución.

La Directiva vigente en la Unión Europea opta por el criterio de que el tratamiento de los datos en salud es de aquellos que se consideran objeto de tratamiento especial, es decir, que no entra dentro del régimen de todos los demás datos personales. Es interesante destacar que esta norma establece que el tratamiento de datos que refieren a la enfermedad y la salud, debe ser realizado por un profesional sanitario sujeto al secreto profesional, sea en virtud de la legislación nacional o de las normas establecidas por los organismos competentes o por persona sujeta a la obligación de secreto. Por lo tanto, se sacan los datos de salud del régimen general de protección de datos personales para agregar un mayor grado de exigencia, y es que esos datos sean tratados por un profesional de salud o por quien sin serlo (personal paramédico, etc.) esté obligado por normas nacionales o institucionales, al secreto de las actuaciones que maneja.

Entre nosotros, existen normas reglamentarias sobre las historias clínicas que las clasifican en activas y en pasivas y establecen su régimen en cuanto a contenido, archivo y demás. Pero la única referencia a lo que podríamos llamar el tratamiento electrónico de los datos en salud está en el art. 17 del Decreto Nº 258/992, conforme al cual "el médico debe llevar un registro escrito de todos los procedimientos, sean diagnósticos o terapéuticos que indique al paciente, estando obligado a consignar la semiología consignada y la evolución del caso. Dicho registro, llevado en ficha o historia clínica, sea en forma escrita, electrónica u otra, constituirá de por sí, documentación auténtica y hará plena fé de su contenido a todos los efectos". Quiere decir que, en lo que específicamente refiere a la historia clínica, tenemos una norma de Derecho positivo que no sólo admite llevarla electrónicamente, sino que le adjudica plena validez y plena eficacia.

Para terminar, es preciso señalar que en la medida que en nuestro Derecho positivo no tenemos una regulación específica de los datos que refieren a la salud, pero sí tenemos una norma constitucional que garantiza lo que hoy se llama libertad informática y tenemos normas explícitas que reconocen la legitimidad y la plena eficacia de la historia clínica electrónica, debemos regirnos luego en su tratamiento por una serie de principios generales de Derecho que derivan del contexto de esa legislación y que a nivel de los países más avanzados en esta temática, han sido desarrollados como forma de solucionar los problemas que se plantean y de poder arbitrar caminos de solución a los conflictos que puedan suscitarse. Entre ellos, cabe enumerar los siguientes principales: