La historia clínica en Colombia (HC) fue regulada a partir de la ley 23 de 1981, por medio de la cual se dictaron normas en materia de ética médica. En esta norma, en los artículos 33 a 45, fueron dispuestos aspectos relacionados con la HC; sin embargo, no ha sido la única dentro del ordenamiento jurídico colombiano encargada de su regulación. Desde entonces han existido normas que han hecho referencia al tema, modificando la norma original e inclusive ampliando su alcance hasta llegar, con los avances de las tecnologías, a la regulación de la historia clínica electrónica (HCE).
El artículo 34 de la ley 23 de 1981 señala que
la historia clínica es el registro obligatorio de las condiciones de salud del paciente. Es un documento privado sometido a reserva, que únicamente puede ser conocido por terceros, previa autorización del paciente o en los casos previstos por la ley.
De esta manera, la HC se ha convertido en el registro de referencia y consulta para la atención en salud de todas las personas, estableciendo que este se encuentra “sometido a reserva”, lo cual implica la protección de la privacidad de los datos clínicos y la obligatoriedad por parte de quienes están autorizados para su conocimiento, de la custodia bajo la premisa de confidencialidad de la misma.
La HC es un documento, y como tal su tratamiento legal debe estar fundamentado no solo en las normas referidas a la HC, sino en otras normas del ordenamiento jurídico colombiano que la complementan y le dan garantías jurídicas desde los principios del tratamiento de datos personales y en especial de datos sensibles como los datos en salud.
El presente artículo hace un recorrido histórico por la normativa relacionada con la HC, desde la fundamentación en la ley 23 de 1981, una historia clínica concebida en “papel”, hasta llegar a la normativa actual que regula la HCE, migrando del documento en papel al documento electrónico, denominado mensaje de datos.
En el primer aparte se realizará el barrido normativo integral de la HC hasta la HCE; luego se elabora el análisis de la HCE como mensaje de datos y su equivalente funcional a los documentos, y, finalmente, se hará el estudio normativo de la protección de datos personales desde la mirada del contenido de la HC como datos sensibles.
Como se señaló, la HC en Colombia está reglamentada desde la ley 23 de 1981, en los artículos 33 a 45, teniendo diferentes normativas que la han complementado o desarrollado hasta llegar a la década del 2010 en la que, por medio de la ley 1438 del 2011, en el artículo 112, parágrafo transitorio (derogado por el artículo 267 de la ley 1753 de 2015), se estableció la historia clínica única electrónica como de “obligatoria aplicación antes del 31 de diciembre del año 2013”; sin embargo, con el paso del tiempo se ha evidenciado que esta obligatoriedad no se ha cumplido, pues existen normas posteriores que han establecido tiempos y plazos que aun en la década del 2020 no se cumplen en su totalidad, pues la reglamentación de esta y la definición de estándares solo se da hasta el año 2020 con la obligatoriedad de implementar la HCE interoperable por medio de la ley 2015 del 2020, lo que se analizará más adelante.
Para realizar el recorrido normativo de la HC en Colombia es necesario remontarse al siglo XX, en la década de 1980, cuando se expide la ley 23 de 1981 “Por la cual se dictan normas en materia de ética médica”. Esta norma hace referencia a la regulación ética en la prestación del servicio de salud, con temas puntuales como el juramento, la relación médico-paciente, la relación médica con sus colegas y, dentro del título II de la práctica profesional, incluye en el capítulo III “De la prescripción médica, la historia clínica, el secreto profesional y algunas conductas”. Este capítulo, base de toda la normativa que sobre la materia se analizará, señala en el artículo 33 que “las prescripciones médicas se harán por escrito, de conformidad con las normas vigentes sobre la materia”, entendido el concepto escrito, para la época en mención, como los registros documentales en papel, toda vez que para el momento el desarrollo tecnológico en Colombia aún era incipiente y no se contaba con la tecnología para poder hablar de registro en sistemas de información o en bases de datos computarizadas.
Por su parte, el artículo 34 señala que “la historia clínica es el registro obligatorio de las condiciones de salud del paciente. Es un documento privado sometido a reserva”. Esta norma establece varias situaciones frente a la HC: en primer lugar, señala que es el “registro obligatorio de las condiciones de salud del paciente”, lo cual significa que cualquier prestación de servicio por los profesionales de la salud debe estar contenido en dichos registros, y, como se ha señalado, son registros documentales en papel; en segundo lugar, es un “documento privado sometido a reserva”, lo que quiere decir que este documento, por ser privado, pertenece al paciente (quien se denomina Titular de Datos Personales, en adelante TDP), por tanto, es de obligatorio cumplimiento por todos los actores que estén autorizados para su conocimiento proteger la información con la garantía de confidencialidad, que dicho al tenor de las normas subsiguientes se denomina “secreto profesional”, tal como lo indican los artículos 37, 38 y 39, señalando como primer responsable al médico tratante, y extendiéndolo a todos los auxiliares que tengan acceso a la HC.
De conformidad con el artículo 35 “la historia clínica estará ceñida a los modelos implantados por el Ministerio de Salud”. En tal sentido, le corresponde a este implementar dichos modelos para el diligenciamiento de la HC en todas las entidades que componen el Sistema Nacional de Salud; es así como el Ministerio de Protección Social expide la Resolución 1995 de 1999 “Por la cual se establecen normas para el manejo de la historia clínica”, la cual, a su vez, ha sufrido diferentes modificaciones, tal como se señala a continuación:
Modificada por la resolución 1715 de 2005 “Por la cual se modifica la resolución 1995 de 1999”; esta, a su vez, derogada por el artículo 1 de la resolución 58 de 2007 “Por la cual se deroga la resolución 1715 de 2005”, finalmente modificada en lo pertinente por la Resolución 839 de 2017 “por la cual se modifica la resolución número 1995 de 1999 y se dictan otras disposiciones” (República de Colombia, 1999).
La resolución 1995 de 1999 señala en sus definiciones que la HC “es un documento privado, obligatorio y sometido a reserva”, ratificando y ampliando el concepto que trae le ley 23 de 1981, indicando que, en esta, además de ser un documento obligatorio y reservado, se consignan de manera cronológica las condiciones de salud del paciente, los actos médicos y los demás procedimientos ejecutados por el equipo de salud, lo que lleva a determinar que los datos en salud son datos sensibles, como se verá más adelante.
Por su parte, el artículo 8 de la resolución señala como componentes de la HC la identificación del usuario, los registros específicos y los anexos. Indicando que en el registro específico se consignan los datos e informes de un tipo determinado de atención; además, que los contenidos mínimos de información de dicha atención están contemplados en la resolución 2546 de 1998 os, las responsabilidades y los flujos de la información de prestaciones de salud en el Sistema General de Seguridad Social en Salud”. Esta norma menciona los siguientes datos, que se debían incorporar dentro de la HC: identificación de la información, datos de consulta, datos de procedimientos, datos de procedimientos de laboratorio clínico, patología y radiología simple, datos de hospitalización, datos de recién nacidos, datos sobre atención de urgencias y otros datos sobre atenciones de salud. Sin embargo, esta fue derogada por la resolución 3374 27 del 2000 “Por la cual se reglamentan los datos básicos que deben reportar los prestadores de servicios de salud y las entidades administradoras de planes de beneficios sobre los servicios de salud prestados”.
Es fundamental resaltar que a partir de esta resolución ya se empiezan a advertir elementos de lo que posteriormente será denominado HCE, pues en el artículo 18 se hace mención a “los medios técnicos de registro y conservación de la historia clínica”, indicando que los prestadores de servicios de salud pueden utilizar tanto medios físicos como medios técnicos a libre determinación de las mismas, siempre y cuando atiendan las prescripciones del Archivo General de la Nación sobre la materia. Igualmente, cualquier herramienta de software y hardware utilizado para ello debe contar con las medidas técnicas de seguridad de la información.
La resolución 1995 de 1999 fue modificada por la resolución 1715 del 2005, señalando que en caso de “liquidación de una entidad perteneciente al Sistema General de Seguridad Social en Salud, responsable de la custodia y conservación de las historias clínicas, esta entidad deberá entregar al usuario o a su representante legal la correspondiente historia clínica”; de esta manera se garantiza la protección de datos sensibles entregando la HC al titular de los datos, es decir, al usuario o a su representante. Sin embargo, esta resolución fue derogada por la resolución 58 del 2007, por tanto, deja sin efectos las modificaciones introducidas por dicha resolución.
Luego, el decreto ley 19 del 2012 “Por el cual se dictan normas para suprimir o reformar regulaciones, procedimientos y trámites innecesarios existentes en la Administración Pública”, en el artículo 110 sobre HC, señala que el parágrafo 3 del artículo 13 de la ley 23 de 1981 quedará así:
En caso de liquidación de una entidad perteneciente al Sistema General de Seguridad Social en Salud, responsable de la custodia y conservación de las historias clínicas, esta entidad deberá entregar al usuario o a su representante legal la correspondiente historia clínica.
Resulta extraño que esta norma modifique un parágrafo que no existe en el artículo señalado, ni tiene unidad de materia con el mismo, pues el artículo 13 hace referencia a los métodos y medicamentos que debe usar el médico cuando existan esperanzas de aliviar o curar la enfermedad de los pacientes, y no sobre la HC.
Es importante señalar que en materia de salud ocupacional se expidieron resoluciones que hacen referencia a la Historia Clínica Ocupacional (en adelante HCO), las cuales tiene especial importancia, pues no solamente establecen el concepto de ser un documento privado y reservado, sino que señalan el carácter de confidencialidad que se debe tener con el manejo y contenido de la misma, lo cual, desde el punto de la protección de los datos personales, se articula con las normas que sobre habeas data se analizarán más adelante. Así, la resolución 2346 del 2007 “Por la cual se regula la práctica de evaluaciones médicas ocupacionales y el manejo y contenido de las historias clínicas ocupacionales” señala que la HCO es un documento privado, obligatorio y sometido a reserva, que hace parte de la HC general, además es estrictamente confidencial y hace parte de la reserva profesional. Por su parte, la resolución 1918 del 2009 “Por la cual se modifican los artículos 11 y 17 de la resolución 2346 del 2007 y se dictan otras disposiciones”, señala que la HCO será custodiada por el prestador de los servicios de salud ocupacional, y adicional a esto el empleador no podrá incorporar las evaluaciones médicas ocupacionales en las hojas de vida de los trabajadores, garantizando de esta manera el principio de confidencialidad de la misma y la garantía de los derechos de los titulares de los datos personales.
Como un hito importante en el recorrido normativo de la HC surge la ley 1438 del 2011 “Por medio de la cual se reforma el Sistema General de Seguridad Social en Salud y se dictan otras disposiciones”, la cual, en el artículo 112 parágrafo transitorio, establece el punto de partida obligatorio de la HCE, indicando: “La historia clínica única electrónica será de obligatoria aplicación antes del 31 de diciembre del año 2013, esta tendrá plena validez probatoria”. Este parágrafo surge de la articulación de los sistemas de información que pretende la norma, pues en este busca que el “Ministerio de la Protección Social, a través del Sistema Integrado de Información de la Protección Social (SISPRO), articulará el manejo y será el responsable de la administración de la información”, logrando vincular la información de los afiliados en salud con las bases de datos de la Registraduría Nacional del Estado Civil, el Ministerio de Hacienda y Crédito Público, la DIAN y el Sisbén. Así, en adelante la HCE se convertirá en base fundamental para la interoperabilidad de la información en salud. Adicionalmente, señala que
la HCE “tendrá plena validez probatoria”, razón por la cual se realizará el análisis de la HCE como mensaje de datos y su equivalente funcional a los documentos, para su plena validez probatoria.
Esta norma fue derogada por el artículo 267 de la ley 1753 del 2015 “Por la cual se expide el Plan Nacional de Desarrollo 2014-2018 ‘Todos por un nuevo país’”, y que señala en su artículo 45:
Estándares, modelos y lineamientos de tecnologías de la información y las comunicaciones para los servicios al ciudadano. Bajo la plena observancia del derecho fundamental de habeas data, el Ministerio de las Tecnologías de la Información y las Comunicaciones (MINTIC), en coordinación con las entidades responsables de cada uno de los trámites y servicios, definirá y expedirá los estándares, modelos, lineamientos y normas técnicas para la incorporación de las Tecnologías de la Información y las Comunicaciones (TIC) […] entre otros, para los siguientes casos: a) Agendamiento electrónico de citas médicas, b) Historia clínica electrónica.
Obsérvese cómo hace referencia a la “plena observancia del derecho fundamental de habeas data”, razón por la que se hace importante desde ya el tercer aparte de este artículo en el cual se elabora el análisis normativo de la protección de datos personales desde la mirada del contenido de la HC como datos sensibles.
Para el año 2017, el Ministerio de Salud y Protección Social y el Ministerio de Cultura expidieron la resolución 839 del 2017 “Por la cual se modifica la resolución número 1995 de 1999 y se dictan otras disposiciones”, y que, con base en el artículo 25 de la ley 594 del 2000 (Ley General de Archivos), estableció normas de manejo, custodia, tiempo de retención, conservación y disposición final de las HC, estableciendo en el artículo 3 que la retención y los tiempos de conservación documental de la HC deben realizarse por “el responsable de su custodia, por un periodo mínimo de quince años, contados a partir de la fecha de la última atención”. Esta retención, conservación y disposición final se entenderá en adelante para la HCE, la cual será de obligatoria implementación, y de manera excepcional para la HC en medio físico, la cual cada día estará más en desuso.
Uno de los aspectos fundamentales y los aportes que generará la HCE en Colombia será la posibilidad de intercambiar información entre los diferentes prestadores de servicios de salud, con la finalidad de que los datos y la información de las HC puedan consultarse y garantizar así su calidad, y mantenerlos actualizados, minimizando de esta manera la posibilidad de datos erróneos e inexactos para la prestación del servicio de salud. En tal sentido, la ley 1955 del 2019 “Por la cual se expide el Plan Nacional de Desarrollo 2018-2022 ‘Pacto por Colombia, Pacto por la Equidad’”, en su artículo 246 hace referencia a la interoperabilidad de la HC, indicando que le corresponde al Ministerio de Salud y Protección Social la adopción de “un mecanismo electrónico que desarrolle la interoperabilidad de la historia clínica”; este mismo deberá garantizar entonces que se compartan entre los diferentes actores del sector salud los datos vitales para la continuidad del servicio de salud, con base en los estándares que para el efecto deberá establecer el Gobierno nacional. Para lograrlo, se le confieren al Gobierno doce meses desde la entrada en vigor de la norma para que reglamente este artículo, lo que significa que tendrá hasta el 25 de mayo del 2020 para su reglamentación.
El anterior precepto normativo se logra entonces con la expedición de la ley 2015 del 2020 “Por medio del cual se crea la Historia Clínica Electrónica interoperable y se dictan otras disposiciones”. Esta norma se convertirá entonces en el norte normativo de la HCE, pues a partir de ella se inicia todo el desarrollo de la implementación del sistema interoperable de la HCE.
Esta ley se refiere, ya no como lo hacen la ley 1438 del 2011 y la ley 1753 del 2015 a la HCE, a la HCE interoperable (en adelante HCEI), lo que para el ordenamiento jurídico colombiano se convierte en una gran novedad, pues hasta entonces solo la ley 1955 del 25 de mayo del 2019 había hecho referencia a ella, pero señalando la obligación de su reglamentación en un plazo no mayor a doce meses. Desde la mirada de esta norma surgen entonces varias situaciones importantes sobre las cuales se desarrollará en adelante todo lo referente a la HCE. Por una parte, el objeto de la norma ya no es reglamentar la HCE, de la que ya se han ocupado normas anteriores, sino reglamentar la interoperabilidad de la HCE (en adelante IHCE), definiendo para ello la interoperabilidad como la “capacidad de varios sistemas o componentes para intercambiar información, entender estos datos y utilizarlos”. A pesar de esta definición no se puede descuidar el análisis de la protección de los datos personales de los titulares, ya que los datos que conforman la HC pertenecen a la categoría de los datos sensibles al tenor del decreto 1377 del 2013 que reglamenta la ley 1581 del 2012 sobre tratamiento de datos, tal como se analizará más adelante.
Por otra parte, señala la citada ley una doble responsabilidad frente a la IHCE. Por un lado, delega al Ministerio de Salud y Protección Social la administración del modelo de IHCE, y, por otro, al Ministerio de Tecnologías de la Información y las Comunicaciones la administración de la herramienta tecnológica de la plataforma de interoperabilidad, señalando que el modelo de IHCE se debe reglamentar dentro de los doce siguientes a la entrada en vigor de esta norma, es decir, en un plazo máximo al 31 de enero del 2021. Sin embargo, el plazo del plan de implementación de la IHCE para el intercambio de los datos clínicos relevantes se debe realizar en un plazo máximo de 5 años, contados a partir de la entrada en vigor de la misma norma, es decir, con un plazo máximo al 31 de enero del 2025.
En tercer lugar, la norma que se viene analizando sobre la IHCE hace referencia reiterada al concepto de datos clínicos relevantes, los cuales son definidos en la resolución 866 del 2021 “Por la cual se reglamenta el conjunto de elementos de datos clínicos relevantes para la interoperabilidad de la historia clínica en el país y se dictan otras disposiciones”, indicando que
para los efectos del presente acto administrativo entiéndase por datos clínicos relevantes aquellos datos de la historia clínica de una persona, que los prestadores de servicios de salud requieren conocer para su atención a lo largo del curso de vida.
Así entonces, se hace necesario señalar cada uno de los datos clínicos relevantes como estándares para la implementación de la HCEI, lo que permite tener datos uniformes en las plataformas que se desarrollen para la HCE, cumpliendo el objeto de la ley 2015 sobre facilitar, agilizar y garantizar el acceso y ejercicio de los derechos a la salud y a la información de las personas, respetando el habeas data y la reserva de la misma.
Por último, y con el fin de entrar al análisis de la HCE como mensaje de datos y su equivalente funcional a los documentos, y el análisis normativo de la protección de datos personales desde la mirada del contenido de la HC como datos sensibles, es importante indicar que la resolución 866 del 2021 señala los principios de la interoperabilidad de datos clínicos relevantes de la historia clínica, que son: confidencialidad, disponibilidad, integridad, intercambio, oportunidad, seguridad, uniformidad y veracidad, los cuales se articularán a los principios del tratamiento de datos personales, en especial a los datos sensibles, como son considerados los datos en salud.
Del análisis normativo realizado se puede resaltar que Colombia ha entrado en la dinámica de la HCE y en especial de la IHCE, encontrándose dentro del periodo de implementación, tal como lo ordena la ley 2015 del 2020. Esto implica el paso de la HC física a la HCE o en medios digitales. Esta transformación, producto de los avances de las IHCE, implica el análisis jurídico del reconocimiento y la validez de la HCE bajo los preceptos de la Ley 527 de 1999 sobre mensajes de datos y firmas digitales.
La validez de los mensajes de datos ha sido regulada en Colombia desde 1999 mediante la ley 527 “Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones”. Esta norma define en el artículo 2 los mensajes de datos como “la información generada, enviada, recibida, almacenada o comunicada por medios electrónicos, ópticos o similares”, de tal suerte que cualquier tipo de información que se encuentre en algún medio electrónico, como es el caso de la HCE, tiene reconocimiento como mensaje de datos, por tanto, tiene validez como equivalente funcional de los documentos.
Pese a que la norma regula de manera especial aspectos comerciales y contractuales no se reduce solo a ellos, pues puede ser aplicable a otras materias que utilicen los mensajes de datos como medios de generación, almacenamiento o transmisión de información, como es el caso de la HCE, ya que se hace necesario resolver aspectos como la conservación, archivo, admisibilidad y validez de la HCE como mensaje de datos.
Esto se confirma con el tenor del artículo 5 de la misma ley que señala lo siguiente sobre el reconocimiento jurídico de los mensajes de datos: “No se negarán efectos jurídicos, validez o fuerza obligatoria a todo tipo de información por la sola razón de que esté en forma de mensaje de datos”, por tanto, el mensaje de datos goza de efectos jurídicos, esto es, que las situaciones jurídicas derivadas de la HCE producen los mismos efectos que produce o producía la HC física; tiene validez, por tanto debe ser aceptado en su forma de mensaje de datos sin que exista exigencia alguna de ser presentado en otro tipo de representación documental, y fuerza obligatoria, por cuanto, como equivalente funcional a los documentos, puede ser aportado en cualquier momento como medio de prueba y deberá ser reconocido como tal.
Lo indicado por el artículo 5 se refuerza con la aplicación de los requisitos jurídicos de los mensajes de datos que indican los artículos 6 y siguientes de la norma, los que se refieren a que cuando alguna norma señale la exigencia que la información conste por escrito, o que se exija la presencia de una firma o la presentación de la información en su forma original, cualquiera de estos requisitos queda cumplido con un mensaje de datos, es decir, que para la hce los datos de salud de una persona, o la firma por parte de los prestadores del servicio de salud, o el documento original, se cumple con la HC en forma electrónica, es decir, por cualquiera de los medios electrónicos de que dispongan las entidades prestadoras del servicio de salud.
En tal sentido, el artículo 6 de la norma frente al documento escrito menciona que basta con un mensaje de datos “si la información que este contiene es accesible para su posterior consulta”, lo que puede cumplirse válidamente con el contenido de la información en la HCE.
Así mismo, en el concepto de firma la norma señala que bastará con el mensaje de datos si hay un método que permita identificar al iniciador del mensaje, y que el método utilizado sea confiable y apropiado para los propósitos por los cuales el mensaje fue generado; esto significa que la identificación del iniciador se podrá hacer por cualquier medio de validación como claves de acceso, usuarios, contraseña o cualquier otro método que sea fiable para identificar a dicho iniciador, y que este medio sea confiable para dicho propósito, es decir, que la confiabilidad estará determinada por la forma como se hayan establecido los métodos de uso de la HCE como la autorización de acceso al sistema, la autorización de tratamiento de datos, la remisión al correo electrónico registrado por el titular ante la entidad prestadora del servicio de salud, entre otras. Es necesario resaltar que no solo se refiere a la firma digital, tal como lo define la norma que se viene analizando, sino a la firma electrónica, la cual está regulada por el decreto 2364 del 2012 “Por medio del cual se reglamenta el artículo 7 de la ley 527 de 1999, sobre la firma electrónica y se dictan otras disposiciones”, indicando en la definición de firma electrónica que es un método como los “códigos, contraseñas, datos biométricos, o claves criptográficas privadas, que permite identificar a una persona, en relación con un mensaje de datos”; lo anterior significa que tanto la firma digital como la firma electrónica son reconocidas como mensaje de datos y tienen plena validez jurídica y reconocimiento legal.
Con respecto al concepto de documento original, bastará con un mensaje de datos si hay una garantía de que se haya conservado la integridad de la información desde cuando se originó el mensaje de datos, y que si se requiere su presentación esta puede presentarse como se ha generado, por tanto, será suficiente con la conservación de la información en los archivos de la HCE y que se pueda acceder a ella por alguno de los medios o métodos establecidos y señalados antes, como claves de acceso, usuarios y contraseñas que hayan sido generados por las entidades prestadoras del servicio de salud y registrados por los titulares de los datos personales.
Finalmente, para predicar que el mensaje de datos cumple la validez y el reconocimiento jurídico deberá cumplir con el requisito de integridad del artículo 9, el cual señala que la información del mensaje de datos es íntegra si se ha conservado “completa e inalterada”, lo que significa, en términos de la HCE y con base en la resolución 1995 de 1999, que “es un documento privado, obligatorio y sometido a reserva, en el cual se registran cronológicamente las condiciones de salud del paciente”, y que dicha HC deberá permanecer completa e inalterada, pues no permite ni tachas ni enmendaduras, las cuales en la HCE deberán garantizar los principios señalados en la Resolución 866 del 2021 de confidencialidad, disponibilidad, integridad, intercambio, oportunidad, seguridad, uniformidad y veracidad frente a los datos de salud de la HCEI; reforzados por el artículo 7 de la misma resolución, que dice que “el conjunto de elementos de datos clínicos relevantes para la interoperabilidad de la historia clínica y los catálogos de datos no podrán ser modificados”, garantizando así la integridad del mensaje de datos.
Todo esto tiene mayor peso jurídico cuando se analiza al tenor del Código General del Proceso, ley 1564 del 2012, el cual, frente a las diferentes clases de documentos, determina, en el artículo 243, “los mensajes de datos”, atribuyéndoles a estos el equivalente funcional de los mismos, es decir, que para los propósitos el mensaje de datos cumple las mismas funciones o equivalen a cualquier documento en medio físico. Por su parte, el artículo 244 deja claro que “los documentos en forma de mensaje de datos se presumen auténticos”, por tanto, aplicando la extensión normativa, la HCE se presume auténtica y su reconocimiento como mensaje de datos gozará de todos los atributos señalados en la ley 527 de 1999.
Siguiendo con la propuesta de este documento, corresponde ahora realizar el análisis normativo de la protección de datos personales desde la mirada del contenido de la HC como datos sensibles.
La protección de los datos personales está amparada constitucionalmente desde el artículo 15 de la Constitución Política de Colombia (CP), el cual señala:
Todas las personas tienen derecho a su intimidad personal y familiar y a su buen nombre, y el Estado debe respetarlos y hacerlos respetar. De igual modo, tienen derecho a conocer, actualizar y rectificar las informaciones que se hayan recogido sobre ellas en bancos de datos y en archivos de entidades públicas y privadas (República de Colombia, 1991).
Por tal motivo, es necesario regresar al análisis normativo de la ley 23 de 1981, pues desde ella se establecen condiciones para la protección de los datos sensibles que contiene la HC, así como el secreto profesional médico frente a dichos datos.
Como se indicó previamente, la ley 23 de 1981 define la HC como un documento privado sometido a reserva, lo que implica la protección de datos personales; este documento se desarrolló en la primera década del presente siglo por medio de la ley estatutaria 1266 del 2008 y luego por la ley estatutaria 1581 del 2012, ambas sobre el derecho al habeas data.
Dichas normas revisten especial importancia, pues en el artículo 267 de la ley 1753 del 2015, frente a los estándares, modelos y lineamientos de las tic para los servicios al ciudadano, se hace especial énfasis en la “plena observancia del derecho fundamental de habeas data”, esto es, la aplicación en primer lugar de la ley 1266 del 2008 y, de manera especial, a partir del año 2012, la aplicación de la ley de protección de datos (ley 1581 del 2012).
El desarrollo normativo del artículo 15 de la CP se realiza por medio de las dos normas estatutarias señaladas, la ley 1266 del 2008 “Por la cual se dictan las disposiciones generales del habeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones” y la ley 1581 del 2012 “Por la cual se dictan disposiciones generales para la protección de datos personales”. Ambas leyes desarrollan el principio constitucional denominado habeas data, que se hace importante para la protección de los datos en salud, y que adquiere el carácter de datos sensibles, como se verá a continuación.
Señala la ley 1266 del 2008 que su objeto es reglamentar el artículo 15 constitucional en cuanto al derecho que tienen todas las personas a conocer, actualizar y rectificar las informaciones que se recolecten en bases de datos, teniendo la HC como una base de datos donde se reúne la información sobre la salud de las personas, entonces le sería aplicada dicha normativa. Por tanto, siguiendo el desarrollo de esta es necesario señalar que los prestadores de los servicios de salud serán en primer lugar la fuente de información de los datos, es decir, que obtienen los datos de los usuarios en virtud de la relación, bien por la afiliación al sistema de seguridad social en salud y la correspondiente prestación de los servicios, o bien por la contratación de servicios complementarios, pólizas de salud o atención privada en salud por médicos particulares. Todos ellos obligados a elaborar la respectiva HC de los usuarios y la conservación de la información, como se ha señalado reiteradamente, de este documento que es privado y sometido a reserva.
Por su parte, la ley 1581 del 2012 señala un objeto similar a la ley 1266 del 2008, en razón al desarrollo del mismo artículo constitucional. Así entonces, esta norma también desarrolla el artículo 15 de la CP frente al derecho que tienen las personas de conocer, actualizar y rectificar las informaciones que se hayan recogido en las bases de datos. La norma delega la responsabilidad de la custodia en el responsable del tratamiento de datos, que al igual que la norma anterior corresponde a los prestadores de servicios de salud.
Ambas normas están relacionadas con el derecho constitucional al conocer, actualizar y rectificar la información recolectada en bases de datos. Entendiendo la HC, y en especial la HCE como bases de datos de información y datos de salud de los usuarios, se les aplica a estas el marco normativo de protección del artículo 15 de la CP, tal como lo señala el artículo 267 de la ley 1753 del 2015, que frente a los estándares de las tic para los servicios al ciudadano, señala como aspecto fundamental la “observancia del derecho fundamental de habeas data”, es decir, el artículo 15 señalado.
Por su parte, la ley 2015 del 2020, que desarrolla el concepto de IHCE, establece que mediante ella varios sistemas tienen la capacidad de “intercambiar información, entender estos datos y utilizarlos”, por tanto, se hace fundamental que desde la mirada del derecho al habeas data se otorgue la protección de los principios que inspiran las dos normas que desarrollan el mencionado artículo constitucional.
De manera especial, hay que señalar que el decreto 1377 del 2013 “Por el cual se reglamenta parcialmente la ley 1581 del 2012” hace referencia a una clase especial de datos, los cuales denomina datos sensibles, y que define como “aquellos que afectan la intimidad del titular o cuyo uso indebido puede generar su discriminación”; entre estos datos señala los datos relativos a la salud, por tanto, la información contenida en la HCE goza de reserva, confidencialidad y se considera sensible.
Lo mencionado hasta el momento adquiere mayor importancia cuando se articulan los principios de la resolución 866 del 2021 sobre la interoperabilidad de los datos clínicos relevantes de la HC con los principios señalados en las normas sobre protección de datos, pues la ley 1266 del 2008 consagra los principios de veracidad o calidad de los registros o datos, finalidad, circulación restringida, temporalidad de la información, interpretación integral de los derechos constitucionales, seguridad y confidencialidad, y la ley 1581 del 2012 trae los principios de legalidad en materia de tratamiento de datos, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad.
Como se puede observar, todas estas normas coinciden en tres principios fundamentales -sin descartar los demás, en los que no se ahondará por no ser el objeto del presente artículo-: confidencialidad, seguridad y veracidad.
Frente a la confidencialidad se debe afirmar que, en general, el conjunto normativo analizado en la primera parte hace referencia a la obligatoriedad de todos los actores que por mandato normativo o por autorización pueden acceder a la HC y que deben garantizar la confidencialidad de la información y los datos contenidos en esta; así pues, desde las normas de protección de datos se entiende la confidencialidad como la obligación a garantizar la reserva de la información, ya que si se vulnera estaría íntimamente relacionado con la ley 1273 del 2009 “Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado -denominado ‘de la protección de la información y de los datos’- y se preservan integralmente los sistemas que utilicen las tecnologías de la información y las comunicaciones, entre otras disposiciones”, que contiene varios tipos penales con relación a la protección de los datos personales. La violación de datos personales respalda el recorrido normativo que se viene realizando, pues si se vulnera la confidencialidad de los datos y la información contenida en la HCE, en virtud de la interoperabilidad que se aplicara sobre la misma, se estaría incurriendo en este tipo penal. Lo dicho sobre los tipos penales con respecto a la HCE deberá ser objeto de análisis en otros trabajos sobre la materia.
Por su parte, el principio de seguridad establece, frente a los datos personales aplicables a la HCE, la obligatoriedad de los responsables y los encargados de los datos personales en el manejo e implementación de medidas técnicas necesarias para garantizar los registros y evitar su adulteración, pérdida, consulta o uso no autorizado. Esta obligación no es voluntaria, por el contrario, al tenor del artículo 26 de la ley 1377 del 2012, los responsables y encargados del tratamiento de datos, frente a una eventual petición de la Superintendencia de Industria y Comercio, deberán demostrar la implementación de medidas de seguridad apropiadas para la garantía de las HCE.
Finalmente, el principio de veracidad hace referencia a que toda la información contenida en la HCE debe ser “veraz, completa, exacta, actualizada, comprobable y comprensible”, todo ello implica, para los responsables de la IHCE, mantener permanentemente actualizada la información y los datos contenidos en dichas HCE, evitando así los riesgos de adulteración de los datos o la obsolescencia de los mismos.
Las normas sobre HC en Colombia tienen su fundamento en la década de los ochenta del siglo pasado, las cuales continúan vigentes en cuanto al concepto que da origen a esta y a las funciones y los actores que pueden acceder a la misma. Los avances de las tic permitieron que se estableciera la normativa para implementar la HCE, la cual inicia con una obligatoriedad de implementación antes del 31 de diciembre del 2013; sin embargo, esta fue en el año 2015, cuando se da el mayor avance normativo, hasta llegar a la presente demanda en donde se ha iniciado la implementación de la HCEI y la reglamentación del conjunto de elementos de datos clínicos relevantes para la interoperabilidad de la historia clínica, lo cual se viene desarrollando, y se cuenta con plazo de implementación hasta el 2025.
La normativa sobre HCE rompe el paradigma de la HC soportada en documento físico, más aún, establece que esta tendrá plena validez y reconocimiento legal, lo que es coherente con los aspectos fundamentales de los avances de Colombia en materia de incorporación de las tic en diferentes procesos de la sociedad. Es así como desde el año 1999 se cuenta con la regulación, que en principio sería aplicable a los asuntos comerciales y contractuales, pero al pasar los años ha cobrado relevancia en temas fundamentales como las HCE, pues la norma del 99 reconoce efectos, validez y fuerza probatoria a los mensajes de datos, por tanto, en tiempos en donde las TIC se han convertido en la cotidianidad y los documentos en soporte de papel han pasado a los documentos en soporte electrónico y digital, el mensaje de datos tiene equivalente funcional a los documentos, tal como lo señala la ley 527 de 1999 y lo ratifican no solo las normas sobre HCE, sino el Código General del Proceso, fundamental en los eventos en que se pretenda refutar la validez de estos.
Por último, es importante señalar que los datos contenidos en la HC y en la HCE son considerados datos sensibles, y por esta razón gozan de especial protección, no solo por las normas que sobre la materia los regulan, sino por la misma protección constitucional que deriva del artículo 15 y en especial del nuevo concepto del derecho al habeas data, por el cual los titulares de los datos sensibles gozan de la garantía y el derecho a conocer, actualizar y rectificar los datos personales y están protegidos por todos los principios del tratamiento de los datos personales, en especial el de confidencialidad, seguridad y veracidad.
República de Colombia (1981). Congreso de Colombia. Ley 23 de 1981. Por la cual se dictan normas en materia de ética médica. https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=68760.
República de Colombia 1981Congreso de Colombia. Ley 23 de 1981. Por la cual se dictan normas en materia de ética médicahttps://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=68760
República de Colombia (1991). Constitución Política de la República de Colombia. https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=4125.
República de Colombia 1991Constitución Política de la República de Colombiahttps://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=4125
República de Colombia (1998). Ministerio de Salud. Resolución 2546 de 1998. Por la cual se determinan los datos mínimos, las responsabilidades y los flujos de la información de prestaciones de salud en el Sistema General de Seguridad Social en Salud. https://www.minsalud.gov.co/Normatividad_Nuevo/RESOLUCI%C3%93N%202546%20DE%201998.pdf.
República de Colombia 1998Ministerio de Salud. Resolución 2546 de 1998. Por la cual se determinan los datos mínimos, las responsabilidades y los flujos de la información de prestaciones de salud en el Sistema General de Seguridad Social en Saludhttps://www.minsalud.gov.co/Normatividad_Nuevo/RESOLUCI%C3%93N%202546%20DE%201998.pdf
República de Colombia (1999a). Congreso de Colombia. Ley 527 de 1999. Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposiciones. https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=4276.
1999aCongreso de Colombia. Ley 527 de 1999. Por medio de la cual se define y reglamenta el acceso y uso de los mensajes de datos, del comercio electrónico y de las firmas digitales, y se establecen las entidades de certificación y se dictan otras disposicioneshttps://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=4276
República de Colombia (1999b). Ministerio de Salud. Resolución 1995 de 1999. Por la cual se establecen normas para el manejo de la Historia Clínica. https://www.minsalud.gov.co/Normatividad_Nuevo/RESOLUCI%C3%93N%201995%20DE%201999.pdf.
República de Colombia 1999bMinisterio de Salud. Resolución 1995 de 1999. Por la cual se establecen normas para el manejo de la Historia Clínica
República de Colombia (2005). Ministerio de la Protección Social. Resolución 1715 de 2005. Por la cual se modifica la Resolución 1995 del 8 de julio de 1999. http://normograma.supersalud.gov.co/normograma/docs/resolucion_minproteccion_1715_2005.htm.
República de Colombia 2005Ministerio de la Protección Social. Resolución 1715 de 2005. Por la cual se modifica la Resolución 1995 del 8 de julio de 1999http://normograma.supersalud.gov.co/normograma/docs/resolucion_minproteccion_1715_2005.htm
República de Colombia (2007). Ministerio de la Protección Social. Resolución 58 de 2007. Por la cual se deroga la Resolución 001715 de 2005. http://normograma.supersalud.gov.co/normograma/docs/resolucion_minproteccion_0058_2007.htm.
2007Ministerio de la Protección Social. Resolución 58 de 2007. Por la cual se deroga la Resolución 001715 de 2005http://normograma.supersalud.gov.co/normograma/docs/resolucion_minproteccion_0058_2007.htm
República de Colombia (2007). Ministerio de la Protección Social. Resolución 2346 de 2007. Por la cual se regula la práctica de evaluaciones médicas ocupacionales y el manejo y contenido de las historias clínicas ocupacionales. https://www.ins.gov.co/Normatividad/Resoluciones/RESOLUCION%202346%20DE%202007.pdf.
República de Colombia 2007Ministerio de la Protección Social. Resolución 2346 de 2007. Por la cual se regula la práctica de evaluaciones médicas ocupacionales y el manejo y contenido de las historias clínicas ocupacionaleshttps://www.ins.gov.co/Normatividad/Resoluciones/RESOLUCION%202346%20DE%202007.pdf
República de Colombia (2008). Congreso de Colombia. Ley Estatutaria 1266 de 2008. Por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposiciones. https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=34488.
República de Colombia 2008Congreso de Colombia. Ley Estatutaria 1266 de 2008. Por la cual se dictan las disposiciones generales del hábeas data y se regula el manejo de la información contenida en bases de datos personales, en especial la financiera, crediticia, comercial, de servicios y la proveniente de terceros países y se dictan otras disposicioneshttps://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=34488
República de Colombia (2009a). Congreso de Colombia. Ley 1273 de 2009. Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos”. https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=34492.
República de Colombia 2009aCongreso de Colombia. Ley 1273 de 2009. Por medio de la cual se modifica el Código Penal, se crea un nuevo bien jurídico tutelado - denominado “de la protección de la información y de los datos”https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=34492
República de Colombia (2009b). Ministerio de la Protección Social. Resolución 1918 de 2009. Por la cual se modifican los artículos 11 y 17 de la Resolución 2346 de 2007 y se dictan otras disposiciones. https://www.minsalud.gov.co/sites/rid/Lists/BibliotecaDigital/RIDE/DE/DIJ/Resoluci%C3%B3n%201918%20de%202009.pdf.
2009bMinisterio de la Protección Social. Resolución 1918 de 2009. Por la cual se modifican los artículos 11 y 17 de la Resolución 2346 de 2007 y se dictan otras disposicioneshttps://www.minsalud.gov.co/sites/rid/Lists/BibliotecaDigital/RIDE/DE/DIJ/Resoluci%C3%B3n%201918%20de%202009.pdf
República de Colombia (2011). Congreso de Colombia. Ley 1438 de 2011. Por medio de la cual se reforma el Sistema General de Seguridad Social en Salud y se dictan otras disposiciones. https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=41355.
República de Colombia 2011Congreso de Colombia. Ley 1438 de 2011. Por medio de la cual se reforma el Sistema General de Seguridad Social en Salud y se dictan otras disposicioneshttps://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=41355
República de Colombia (2012a). Congreso de Colombia. Ley 1564 de 2012. Por medio de la cual se expide el Código General del Proceso y se dictan otras disposiciones. https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=48425#:~:text=Toda%20persona%20o%20grupo%20de,su%20incumplimiento%20injustificado%20ser%C3%A1%20sancionado.
República de Colombia 2012aCongreso de Colombia. Ley 1564 de 2012. Por medio de la cual se expide el Código General del Proceso y se dictan otras disposicioneshttps://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=48425#:~:text=Toda%20persona%20o%20grupo%20de,su%20incumplimiento%20injustificado%20ser%C3%A1%20sancionado
República de Colombia (2012b). Congreso de Colombia. Ley Estatutaria 1581 de 2012. Por la cual se dictan disposiciones generales para la protección de datos personales. https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=49981.
República de Colombia 2012bCongreso de Colombia. Ley Estatutaria 1581 de 2012. Por la cual se dictan disposiciones generales para la protección de datos personaleshttps://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=49981
República de Colombia (2012c). Presidencia. Decreto ley 19 de 2012. Por el cual se dictan normas para suprimir o reformar regulaciones, procedimientos y trámites innecesarios existentes en la Administración Pública. https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=45322.
República de Colombia 2012cPresidencia. Decreto ley 19 de 2012. Por el cual se dictan normas para suprimir o reformar regulaciones, procedimientos y trámites innecesarios existentes en la Administración Públicahttps://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=45322
República de Colombia (2012d). Presidencia. Decreto 2364 de 2012. Por medio del cual se reglamenta el artículo 7° de la Ley 527 de 1999, sobre la firma electrónica y se dictan otras disposiciones. https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=50583.
República de Colombia 2012dPresidencia. Decreto 2364 de 2012. Por medio del cual se reglamenta el artículo 7° de la Ley 527 de 1999, sobre la firma electrónica y se dictan otras disposicioneshttps://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=50583
República de Colombia (2013). Presidencia. Decreto 1377 de 2013. Por el cual se reglamenta parcialmente la Ley 1581 de 2012. https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=53646.
República de Colombia 2013Presidencia. Decreto 1377 de 2013. Por el cual se reglamenta parcialmente la Ley 1581 de 2012https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=53646
República de Colombia (2015). Congreso de Colombia. Ley 1753 de 2015. Por la cual se expide el Plan Nacional de Desarrollo 2014-2018 “Todos por un nuevo país”. https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=61933.
2015Congreso de Colombia. Ley 1753 de 2015. Por la cual se expide el Plan Nacional de Desarrollo 2014-2018 “Todos por un nuevo paíshttps://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=61933
República de Colombia (2017). Ministerio de Salud y Protección Social. Resolución 839 de 2017. Por la cual se modifica la Resolución número 1995 de 1999 y se dictan otras disposiciones. https://www.minsalud.gov.co/Normatividad_Nuevo/Resolucion%20No%20839%20de%202017.pdf.
República de Colombia 2017Ministerio de Salud y Protección Social. Resolución 839 de 2017. Por la cual se modifica la Resolución número 1995 de 1999 y se dictan otras disposicioneshttps://www.minsalud.gov.co/Normatividad_Nuevo/Resolucion%20No%20839%20de%202017.pdf
República de Colombia (2019). Congreso de Colombia. Ley 1955 de 2019. Por el cual se expide el Plan Nacional de Desarrollo 2018-2022 “Pacto por Colombia, Pacto por la Equidad”. https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=93970.
República de Colombia 2019Congreso de Colombia. Ley 1955 de 2019. Por el cual se expide el Plan Nacional de Desarrollo 2018-2022 “Pacto por Colombia, Pacto por la Equidadhttps://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=93970
República de Colombia (2020). Congreso de Colombia. Ley 2015 de 2020. Por medio del cual se crea la Historia Clínica Electrónica interoperable y se dictan otras disposiciones. https://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=105472
República de Colombia 2020Congreso de Colombia. Ley 2015 de 2020. Por medio del cual se crea la Historia Clínica Electrónica interoperable y se dictan otras disposicioneshttps://www.funcionpublica.gov.co/eva/gestornormativo/norma.php?i=105472
República de Colombia (2021). Ministerio de Salud y Protección Social. Resolución 866 de 2021. Por la cual se reglamenta el conjunto de elementos de datos clínicos relevantes para la interoperabilidad de la historia clínica en el país y se dictan otras disposiciones. https://www.minsalud.gov.co/Normatividad_Nuevo/Resoluci%C3%B3n%20No.%20866%20de%2021.pdf.
República de Colombia 2021Ministerio de Salud y Protección Social. Resolución 866 de 2021. Por la cual se reglamenta el conjunto de elementos de datos clínicos relevantes para la interoperabilidad de la historia clínica en el país y se dictan otras disposicioneshttps://www.minsalud.gov.co/Normatividad_Nuevo/Resoluci%C3%B3n%20No.%20866%20de%2021.pdf