Cada vez que una persona asiste a una consulta médica, se realiza un análisis de laboratorio, retira una receta o utiliza una aplicación para registrar su actividad física, está generando datos sobre su salud. Esa información, aunque a veces parezca un simple número o una palabra en una pantalla, dice mucho sobre quién es esa persona: qué enfermedades tuvo, qué medicación toma, qué hábitos tiene, incluso aspectos de su vida privada que ni siquiera comparte con su entorno cercano.

Por eso, en Argentina, Chile, Uruguay, Paraguay, Perú, Colombia, México y España, los datos de salud son considerados, dentro de los marcos de protección de datos personales, una categoría especialmente sensible, con un nivel de protección reforzado respecto de otros tipos de información. En esta guía vamos a explicar qué se entiende exactamente por "datos de salud", por qué reciben este tratamiento especial, qué principios generales rigen su protección, quién puede acceder a ellos dentro de una institución de salud, y qué panorama general existe en cada país.

Índice de contenidos

¿Qué se entiende por "datos de salud"?

Cuando se habla de "datos de salud" o "datos de carácter sanitario", se hace referencia a toda información relacionada con el estado físico o mental, pasado, presente o futuro, de una persona. Esto incluye, entre muchos otros ejemplos:

  • Diagnósticos médicos, actuales o históricos.
  • Resultados de análisis de laboratorio y estudios de diagnóstico por imágenes.
  • Medicación habitual, dosis y tratamientos en curso.
  • Antecedentes familiares de enfermedades.
  • Información sobre adicciones, salud mental o salud reproductiva.
  • Datos generados por dispositivos como relojes inteligentes, aplicaciones de seguimiento de actividad física o glucómetros conectados.
  • Información sobre discapacidad o condiciones crónicas.

Es importante notar que la definición no se limita a lo que está escrito en una historia clínica: también incluye datos generados fuera del sistema de salud tradicional, como los que producen muchas aplicaciones móviles relacionadas con bienestar, ejercicio o seguimiento de hábitos.

¿Por qué los datos de salud son considerados información sensible?

Los marcos normativos de protección de datos personales de la región y de España suelen distinguir entre datos personales "comunes" (como un nombre o un número de teléfono) y datos personales "sensibles", dentro de los cuales se incluyen, entre otros, los datos de salud.

Esta distinción existe porque el uso indebido de información sobre la salud de una persona puede tener consecuencias particularmente graves, entre ellas:

  • Discriminación: por ejemplo, en contextos laborales o de acceso a determinados servicios, si se conociera un diagnóstico sin que la persona lo haya autorizado a compartir.
  • Estigmatización: ciertas condiciones de salud, especialmente vinculadas a salud mental, adicciones o enfermedades transmisibles, siguen rodeadas de prejuicios sociales.
  • Impacto en decisiones de terceros: como seguros, créditos o procesos de selección laboral, si esa información se utilizara fuera del contexto para el que fue generada.
  • Vulneración de la intimidad: la salud es uno de los aspectos más íntimos de la vida de una persona, y su exposición no autorizada constituye una afectación directa a su privacidad.

Por estas razones, el tratamiento de datos de salud suele requerir, en términos generales, condiciones más estrictas que el tratamiento de otros datos personales: mayor justificación para su recolección, medidas de seguridad reforzadas y, en muchos casos, consentimiento explícito de la persona.

Principios generales de protección de datos en salud

Más allá de las particularidades normativas de cada país, existen principios que se repiten, con distintos matices, en la mayoría de los marcos de protección de datos aplicables a la salud:

Finalidad

Los datos de salud deben recolectarse y utilizarse para una finalidad específica y determinada —por ejemplo, brindar atención médica— y no deberían utilizarse para fines distintos sin una base legítima para hacerlo.

Minimización

Solo debería recolectarse la información de salud que sea efectivamente necesaria para la finalidad perseguida, evitando acumular datos "por si acaso" sin un propósito claro.

Confidencialidad

La información de salud debe mantenerse reservada, y su acceso debe limitarse a quienes la necesitan para cumplir una función específica, ya sea asistencial, administrativa o de gestión.

Seguridad

Las instituciones que tratan datos de salud deben implementar medidas técnicas y organizativas para proteger esa información frente a accesos no autorizados, pérdidas o alteraciones, tanto en sistemas digitales como en registros físicos.

Consentimiento y transparencia

En términos generales, la persona debe ser informada sobre qué datos de salud se recolectan, con qué finalidad y, en muchos casos, debe prestar su consentimiento para su tratamiento, salvo excepciones específicamente previstas por la normativa (como ciertas obligaciones de salud pública).

¿Quién puede acceder a la información de salud?

Como mencionamos en nuestra guía sobre la historia clínica electrónica, el acceso a la información de salud no es libre: los sistemas modernos suelen establecer distintos niveles de acceso según el rol de cada persona dentro de la institución.

En términos generales, pueden tener acceso a distintos niveles de información:

  • El equipo de salud directamente involucrado en la atención de la persona (médicos, enfermería, otros profesionales tratantes).
  • El personal administrativo, generalmente limitado a los datos necesarios para la gestión de turnos, facturación o derivaciones, como desarrollamos en nuestra guía sobre el rol del administrativo médico.
  • El propio paciente, a través de portales o solicitando copia de su información.
  • Terceros autorizados expresamente por la persona (por ejemplo, un familiar designado).
  • Organismos de salud pública, en los casos específicamente previstos por la normativa (por ejemplo, ciertas enfermedades de notificación obligatoria por razones de salud colectiva).

Un principio importante es que el acceso debe estar siempre vinculado a una finalidad legítima: que una persona trabaje en una institución de salud no significa, por sí solo, que pueda acceder a cualquier información de cualquier paciente, sino únicamente a aquella que necesita para cumplir su función específica.

Datos de salud en el mundo digital: apps, wearables y telemedicina

En los últimos años, una enorme cantidad de información de salud comenzó a generarse fuera de los sistemas tradicionales de hospitales y clínicas: aplicaciones de seguimiento de actividad física, relojes inteligentes que registran frecuencia cardíaca y patrones de sueño, aplicaciones de seguimiento de ciclo menstrual, plataformas de telemedicina y chats con profesionales de la salud, entre muchas otras.

Esto plantea preguntas relativamente nuevas:

  • ¿Quién es responsable de proteger esos datos? En muchos casos, la empresa que desarrolla la aplicación o dispositivo asume un rol equivalente al de una institución que trata datos de salud, aunque no sea, en sí misma, un prestador de servicios de salud.
  • ¿Con quién se comparte esa información? Algunas aplicaciones pueden compartir datos con terceros (por ejemplo, para publicidad o análisis), lo que requiere que la persona conozca y, en general, autorice ese uso.
  • ¿Qué pasa si se combina información de distintas fuentes? La combinación de datos de salud generados por distintas aplicaciones o dispositivos puede generar perfiles muy detallados sobre una persona, lo que incrementa la importancia de leer y comprender las políticas de privacidad de este tipo de herramientas.

La recomendación general, en este contexto, es prestar atención a las políticas de privacidad de las aplicaciones y dispositivos relacionados con la salud, entender qué información recolectan, con qué fines la utilizan y qué opciones existen para limitar ese uso, de la misma manera en que se presta atención a estos aspectos al utilizar cualquier servicio digital.

Panorama general por país

Cada uno de estos países cuenta con su propio marco normativo de protección de datos personales, dentro del cual los datos de salud suelen recibir un tratamiento diferenciado como categoría especial o sensible. A continuación, un panorama general orientativo:

Argentina

Cuenta con un marco normativo de protección de datos personales que reconoce a los datos relativos a la salud como datos sensibles, con requisitos reforzados para su tratamiento, junto con un organismo de control especializado en la materia.

Chile

Dispone de normativa de protección de datos personales que incluye a los datos sobre la salud dentro de las categorías especialmente protegidas, además de normativa específica sobre la confidencialidad de la información contenida en fichas clínicas.

Uruguay

Cuenta con un marco de protección de datos personales que reconoce categorías de datos sensibles, entre las que se incluyen los datos relacionados con la salud, con un organismo de control encargado de su supervisión.

Paraguay

Dispone de normativa que reconoce la protección de los datos personales, incluyendo previsiones sobre la confidencialidad de la información de salud dentro del sistema sanitario.

Perú

Cuenta con un marco normativo de protección de datos personales que incluye a los datos relativos a la salud dentro de las categorías sensibles, estableciendo requisitos diferenciados para su tratamiento.

Colombia

Dispone de normativa de protección de datos personales que reconoce a los datos de salud como datos sensibles, con requisitos específicos para su recolección y tratamiento dentro del sistema de seguridad social en salud.

México

Cuenta con marcos normativos de protección de datos personales, tanto para el sector público como privado, que incluyen a los datos sobre la salud dentro de las categorías de datos sensibles, con requisitos reforzados de consentimiento y seguridad.

España

Dispone de un marco normativo de protección de datos alineado con estándares regionales más amplios, que reconoce a los datos relativos a la salud como una categoría especial de datos, con condiciones específicas para su tratamiento tanto en el ámbito sanitario público como privado.

Esta información tiene carácter general y orientativo. Las normativas de protección de datos suelen actualizarse con cierta frecuencia, por lo que para situaciones concretas se recomienda siempre consultar las fuentes oficiales y los organismos de control de protección de datos de cada país.

Derechos de la persona sobre sus propios datos de salud

Más allá de las particularidades de cada país, existen derechos que, en términos generales, suelen reconocerse a las personas respecto de sus propios datos de salud:

  • Derecho de acceso: poder conocer qué información de salud está registrada sobre uno mismo.
  • Derecho de rectificación: poder solicitar la corrección de datos inexactos o incompletos.
  • Derecho a la confidencialidad: que esa información no sea compartida con terceros sin autorización o sin una base legítima.
  • Derecho a ser informado: conocer, en términos generales, qué tratamiento se da a la información de salud dentro de una institución o servicio.

Estos derechos se complementan con los derechos del paciente en sentido amplio, que desarrollamos en nuestra guía sobre Calidad de Atención Hospitalaria y Derechos del Paciente, donde la confidencialidad y el acceso a la historia clínica se abordan como parte de un conjunto más amplio de derechos dentro de la relación entre las personas y los sistemas de salud.

¿Qué hacer si creés que tus datos de salud fueron mal utilizados?

Si una persona considera que su información de salud fue utilizada de forma indebida —por ejemplo, compartida sin autorización o accedida por alguien sin justificación—, en términos generales puede:

  1. Consultar dentro de la institución sobre los canales disponibles para reportar este tipo de situaciones, generalmente vinculados a las áreas de calidad, atención al usuario o protección de datos.
  2. Solicitar información sobre quién accedió a sus datos y con qué finalidad, en la medida en que el sistema lo permita.
  3. Recurrir al organismo de control de protección de datos de su país, que en general tiene competencia para recibir denuncias relacionadas con el uso indebido de datos personales, incluidos los datos de salud.
  4. Buscar asesoramiento legal, especialmente en situaciones que puedan implicar un perjuicio concreto para la persona.

Conocer que estos canales existen es, en sí mismo, una forma de fortalecer la relación entre las personas y los sistemas de salud: la protección de datos no depende únicamente de las instituciones, sino también de que las personas conozcan sus derechos y sepan cómo ejercerlos.

Preguntas frecuentes

¿Mi empleador puede acceder a mi historia clínica?

En términos generales, no, salvo que exista una autorización expresa de la persona o una previsión legal específica que lo permita en determinados contextos (por ejemplo, ciertos exámenes ocupacionales con reglas particulares). La información de salud de una persona no debería ser accesible para un empleador sin ese marco.

¿Las aplicaciones de salud están obligadas a proteger mis datos igual que un hospital?

En general, las normativas de protección de datos aplican a quien trata datos de salud, sea o no una institución sanitaria tradicional. Sin embargo, el nivel de cumplimiento puede variar, por lo que es importante revisar las políticas de privacidad de cada aplicación o dispositivo.

¿Puedo pedir que se elimine mi información de salud de un sistema?

Depende de la normativa de cada país y del contexto: en el ámbito de la atención médica, suele existir la obligación de conservar la historia clínica durante determinados períodos por razones legales y de continuidad asistencial, por lo que el derecho a la eliminación puede estar limitado en ese contexto específico.

¿Qué diferencia hay entre "anonimizar" y "proteger" datos de salud?

Proteger datos de salud implica resguardar información que sigue identificando a una persona (mediante accesos controlados, seguridad, confidencialidad). Anonimizar implica transformar esa información de modo que ya no pueda asociarse a una persona identificable, lo que permite, por ejemplo, utilizarla con fines estadísticos o de investigación sin comprometer la privacidad individual.

¿Por qué algunas instituciones piden tantas autorizaciones para compartir información médica?

Porque, dado el carácter sensible de los datos de salud, compartir esa información con otra institución, profesional o entidad generalmente requiere una base legítima, que en muchos casos es el consentimiento expreso de la persona. Esas autorizaciones son, en definitiva, una forma de que la persona mantenga control sobre su propia información.

Conclusión

La protección de datos en salud no es un tema exclusivamente técnico o legal: tiene un impacto directo en la confianza que las personas pueden tener en los sistemas de salud, en las instituciones que los atienden y en las herramientas digitales que utilizan para cuidar su bienestar. Comprender qué se considera información de salud, por qué recibe un tratamiento especial, quién puede acceder a ella y qué derechos tiene cada persona sobre sus propios datos permite relacionarse de forma más informada con un sistema que, cada vez más, combina lo presencial con lo digital.

Esta guía forma parte de una serie más amplia sobre el funcionamiento de las instituciones de salud. Si te interesa profundizar en cómo se organiza esa información dentro de los sistemas actuales, te recomendamos también nuestra guía sobre la Historia Clínica Electrónica, y si querés conocer el panorama general sobre calidad y derechos dentro de las instituciones de salud, podés leer Calidad de Atención Hospitalaria y Derechos del Paciente.

Contenido elaborado con fines educativos e informativos por el equipo académico de Instituto Aprende Hoy, institución dedicada a la formación profesional 100% online en diversas áreas de conocimiento.