Dictamen CGR

Dictamen N° 65938/2021

2021-01-06 · Probidad, transparencia e inhabilidades · general · Genera Jurisprudencia · Vigente
Sumario. Superintendencia de Seguridad Social puede requerir al Instituto de seguridad del trabajo que le otorgue acceso remoto a sus sistemas informáticos de atención de pacientes
Aplicado por
Dictamen N° 287815/2022
Aplica dictámenes
Dictamen N° 273679/2022
Aplica dictámenes

Nº E65938 FECHA: 06-1-2021 Se ha dirigido a esta Contraloría General el Instituto de Seguridad del Trabajo -en adelante IST-, reclamando en contra de la Superintendencia de Seguridad Social -en adelante e indistintamente SUSESO-, por cuanto esta le ha solicitado el acceso remoto a sus sistemas informáticos de atención de pacientes, incluyendo fichas clínicas, a fin de disponer de antecedentes necesarios para el desarrollo de sus funciones fiscalizadoras. El recurrente sostiene que si bien la ley reconoce a la SUSESO la facultad de obtener acceso a los sistemas de información de los organismos fiscalizados, no establece que este deba ser de tipo remoto y, además, exige que se adopten las medidas necesarias para resguardar los datos sensibles. Requerida de informe, la SUSESO ha señalado, en síntesis y en lo que interesa, que cuenta con facultades para acceder a los sistemas informáticos de atención de pacientes del IST, siempre resguardando los datos de carácter sensible que contengan, y hace presente que, a la fecha de emisión de su informe, el instituto recurrente ya habilitó un sistema para que tres profesionales médicos de esa entidad fiscalizadora pudieran acceder de forma remota a los aludidos sistemas. Sobre el particular, cumple con manifestar, en primer término, que el artículo 30 de la ley N° 16.395, que fija el texto refundido de la ley de organización y atribuciones de la SUSESO, establece que el Seguro Social contra Riesgos del Trabajo y Enfermedades Profesionales que se rige por la ley N° 16.744 y sus reglamentos, y la fiscalización de las instituciones que a él se dediquen -entre las que se encuentran las mutualidades, carácter que tiene el IST-, corresponderá a la Superintendencia de Seguridad Social. En tanto, el artículo 35, inciso segundo de la ley N° 16.395 prescribe, en lo pertinente, que, para el cumplimiento de sus funciones y atribuciones, la SUSESO puede inspeccionar todas las operaciones, bienes, libros, cuentas, archivos y documentos de las instituciones sometidas a su supervigilancia y requerir de ellas los antecedentes que juzgue necesarios. Por su parte, el inciso cuarto de la misma norma preceptúa que la SUSESO podrá requerir a los organismos fiscalizados que le proporcionen la información necesaria para desarrollar sus funciones a través de medios electrónicos, como asimismo que se le otorgue acceso a los sistemas de información que posean estas instituciones, en los casos que determine a través de sus instrucciones y adoptando todas las medidas necesarias para asegurar el resguardo de la confidencialidad de la información sensible. A su vez, el artículo 2°, letra g), del citado texto legal contempla, entre las funciones de la SUSESO, la de administrar y mantener actualizado el Sistema Nacional de Información de Seguridad y Salud en el Trabajo, el que deberá contener, a lo menos, la información de las denuncias de accidentes del trabajo y de enfermedades profesionales; los diagnósticos de enfermedad profesional; los exámenes y las evaluaciones realizadas; las calificaciones de los accidentes y enfermedades, y las actividades de prevención y fiscalización que correspondan, asegurando la privacidad de los datos personales y sensibles. Agrega ese literal que el Sistema se integrará, además, con la información relativa a la seguridad y salud en el trabajo que deberán proporcionar, en la forma y periodicidad que determine la SUSESO, entre otros organismos, las mutualidades de empleadores, entidades que, según precisa, están obligadas a entregar los antecedentes que deban poseer de acuerdo a sus atribuciones legales. Luego, procede manifestar que el artículo 2°, letra f), de la ley N° 19.628, sobre protección de la vida privada, define como datos personales los relativos a cualquier información concerniente a personas naturales, identificadas o identificables; mientras que el mismo artículo, en su letra g), conceptualiza los datos sensibles como aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual. Respecto de los datos personales, el artículo 20 de la mencionada ley preceptúa que su tratamiento por parte de un organismo público solamente podrá efectuarse respecto de las materias de su competencia y con sujeción a las reglas que preceden a dicha norma, caso en el cual no se necesitará el consentimiento del titular. A su turno, el artículo 10 del mismo texto legal señala que no pueden ser objeto de tratamiento los datos sensibles, salvo cuando la ley lo autorice, exista consentimiento del titular o sean datos necesarios para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares. Como puede advertirse, si bien los datos personales pueden ser objeto de tratamiento por parte de los organismos públicos cuando recaen en materias propias de su competencia, sin el consentimiento de su titular, los datos sensibles, en cambio, solamente pueden ser objeto de tratamiento en las condiciones que el referido artículo 10 prevé. Es del caso recordar que la ley N° 20.584, que regula los derechos y deberes que tienen las personas en relación con acciones vinculadas a su atención de salud, previene en su artículo 12, inciso segundo, que toda la información que surja tanto de la ficha clínica como de los estudios y demás documentos donde se registren procedimientos y tratamientos a los que fueron sometidas las personas, será considerada como dato sensible, de conformidad con lo dispuesto en la letra g) del artículo 2° de la ley N° 19.628. Ahora bien, de las disposiciones precitadas se desprende que el anotado artículo 2°, letra g), de la ley N° 16.395 habilita a la SUSESO para administrar el Sistema Nacional de Información de Seguridad y Salud en el Trabajo, lo que, según el tenor de dicha norma, implica el manejo de antecedentes relativos a accidentes del trabajo y enfermedades profesionales, diagnósticos, exámenes, evaluaciones, calificaciones de accidentes y enfermedades, entre otros, aspectos todos ellos que suponen el conocimiento de la ficha clínica del paciente respectivo y de otros instrumentos similares. Siendo así, cabe sostener que la ley autoriza a la SUSESO a mantener un sistema que comprende antecedentes de las fichas clínicas de pacientes atendidos por las mutualidades, cumpliéndose de tal forma uno de los supuestos previstos en el artículo 10 de la ley N° 19.628 para el tratamiento de los datos sensibles, cual es la existencia de una norma legal que lo permita. Por otra parte, según el tenor expreso del citado artículo 35 de la ley N° 16.395, la SUSESO para el cumplimiento de sus funciones cuenta con amplias atribuciones para inspeccionar diversos tipos de instrumentos de los organismos fiscalizados, para requerir que estos le proporcionen la información que estime necesaria a través de medios electrónicos y para que esas entidades le otorguen acceso a los sistemas de información que posean en los casos que determine esa superintendencia a través de sus instrucciones. En particular, en cuanto a la referida facultad de la SUSESO para requerir el acceso a información -a la que alude el IST-, es necesario precisar que el legislador no distingue si tal acceso es presencial o remoto, por lo que no corresponde excluir esta última posibilidad; como asimismo que el citado artículo 35, al señalar que se deben tomar las medidas para el resguardo de la información sensible, reconoce que en virtud de tal atribución se puede acceder a datos de ese carácter. De esta forma, habida consideración de lo dispuesto en los artículos 10 y 20 de la ley N° 19.628 y 2°, letra g), y 35 de la ley N° 16.395, no se advierte inconveniente jurídico en que la SUSESO pueda requerir al IST el acceso remoto a sus sistemas informáticos de atención de pacientes en los casos que determine a través de sus instrucciones, adoptando las medidas necesarias para el resguardo de la confidencialidad de la información sensible involucrada. Lo anterior, sin perjuicio de lo dispuesto en el inciso final del artículo 56 de la ley N° 20.255, en concordancia con el artículo 2°, letra g), párrafo final, de la ley N° 16.395, en cuanto al deber del personal de la SUSESO de guardar reserva y secreto absolutos de las informaciones de las cuales tome conocimiento en el cumplimiento de sus labores, en las condiciones que indican esos preceptos. Saluda atentamente a Ud. JORGE BERMÚDEZ SOTO Contralor General de la República