El Caso de una Clínica Dental y el Uso Indebido de Datos Personales

¿Qué ocurre cuando una organización ignora los principios básicos de la protección de datos personales? Un reciente caso en México, donde una clínica dental recabó y utilizó datos sensibles sin las debidas garantías legales, pone de manifiesto las serias implicaciones del incumplimiento. Este incidente no solo revela una violación a la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), sino que también resalta la vulnerabilidad de los adultos mayores, quienes suelen ser blanco de prácticas indebidas debido a su confianza en las instituciones.

En este artículo, exploraremos cómo la falta de un aviso de privacidad adecuado y la ausencia de consentimiento expreso llevaron a la clínica a incumplir principios esenciales como la información, licitud y responsabilidad. A través de este análisis, reflexionaremos sobre las implicaciones legales, éticas y prácticas para las organizaciones, en especial aquellas del sector salud.

El Caso: Vulneración de Datos Personales Sensibles

Un adulto mayor de 73 años denunció ante el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) el mal manejo de sus datos personales por parte de una clínica dental. Según el denunciante, sus datos sensibles, como su historial médico y fotografías, fueron recabados sin un aviso de privacidad visible ni su consentimiento expreso. Además, denunció que fotografías de pacientes, incluyéndolo a él, fueron publicadas en plataformas digitales sin autorización, agravando la situación.

Ante la denuncia, la clínica argumentó que contaba con un aviso de privacidad disponible para los pacientes en sus instalaciones o que se proporcionaba por teléfono. Sin embargo, el INAI detectó múltiples omisiones en el aviso y en el tratamiento de los datos, lo que evidenció serias violaciones a la LFPDPPP.

Principios Fundamentales y Cómo Fueron Violados

1. Principio de Información

El principio de información exige que los titulares de los datos sean informados de manera clara, completa y accesible sobre el uso que se dará a su información, a través de un aviso de privacidad.

Violación: La clínica no puso a disposición un aviso de privacidad visible y adecuado en el momento de recabar los datos del denunciante. Además, el aviso que presentó posteriormente carecía de elementos esenciales, como la identidad del responsable del tratamiento y las finalidades específicas. Esto generó incertidumbre sobre cómo se manejarían los datos del paciente.

Reflexión: Un aviso de privacidad no solo debe estar disponible, sino que también debe ser comprensible y cumplir con los requisitos legales para garantizar que los titulares puedan tomar decisiones informadas sobre el uso de su información.

2. Principio de Licitud y Consentimiento

El principio de licitud establece que el tratamiento de datos personales debe realizarse con el consentimiento libre, informado, específico e inequívoco del titular. En el caso de datos sensibles, como los relacionados con la salud, el consentimiento debe ser por escrito.

Violación: El INAI concluyó que el consultorio no recabó el consentimiento expreso, informado y por escrito para el tratamiento de datos sensibles, como lo exige la LFPDPPP. Aunque la clínica presentó un documento firmado, este únicamente autorizaba el tratamiento médico y no incluía autorización específica para el uso de datos personales. Esto constituye un incumplimiento grave que pone en riesgo la legalidad del tratamiento.

Reflexión: Es esencial diferenciar entre el consentimiento para un servicio médico y el consentimiento para el tratamiento de datos personales. Este último debe ser claro y explícito para garantizar que el titular tenga control sobre el uso de su información.

3. Principio de Responsabilidad

El principio de responsabilidad obliga a las organizaciones a implementar medidas para garantizar el cumplimiento de la normativa y proteger los datos personales en todo momento.

Violación: La clínica no implementó controles efectivos para prevenir el uso indebido de los datos. La publicación de fotografías de pacientes sin su autorización demuestra

una grave falta de gestión y supervisión en el tratamiento de la información.

Reflexión: La responsabilidad implica no solo cumplir con la ley, sino también adoptar una cultura organizacional que priorice la protección de los datos personales.

Impacto en los Adultos Mayores: Una Población Vulnerable

Los adultos mayores son especialmente vulnerables al mal manejo de sus datos personales debido a la confianza que depositan en las instituciones de salud y su desconocimiento de los derechos que les asisten. Este caso ilustra cómo la ausencia de medidas adecuadas puede comprometer no solo su privacidad, sino también su dignidad.

Este caso subraya la importancia de cumplir con los principios fundamentales de la LFPDPPP, especialmente en sectores que manejan datos sensibles como el de la salud. La violación de los principios de información, licitud y responsabilidad no solo afecta los derechos de los titulares, sino que también pone en riesgo la confianza y reputación de las organizaciones.

En particular, se destaca la necesidad de proteger a los adultos mayores como una población vulnerable, adoptando medidas específicas para garantizar que sus datos sean tratados con transparencia y seguridad. El consentimiento expreso, informado y por escrito debe ser un requisito innegociable para el tratamiento de datos sensibles.

Para las organizaciones, este caso es un recordatorio de que cumplir con la ley no es opcional. Invertir en buenas prácticas de protección de datos no solo evita sanciones legales, sino que también fortalece la confianza y reputación en el mercado.

El Caso de una Clínica Dental y el Uso Indebido de Datos Personales