Cesión de datos de salud V.2 (Caso I-MED)
Datos de Salud Derechos Fundamentales Noticias Tratamiento de datos personalesPublished abril 8, 2010 at 4:01 pm 5 Comments
Era un hecho que ya habíamos denunciado por esta página y por el Blog legal de la Biblioteca del Congreso, por ahí por el 2009.
Hoy por la prensa nos enteramos del gran cambio en el disclaimer que ya nos tenía preocupadas en los sistemas biométricos de atención de salud…un cambio a nuestro juicio que no responde aún al verdadero ejercicio de los derechos de acceso en protección de datos y al deber de información por parte de los responsables de bases de datos.
El disclaimer de hecho aparece hoy en un comunicado y ahora señalaría:
“Al colocar el dedo sobre el lector de huellas autorizo expresamente la inscripción y almacenamiento de mis datos personales en la base de datos de I-Med S.A. y de Autentia S.A., y el tratamiento de tales datos para verificar mi identidad contra los datos ya almacenados de conformidad a la ley. En caso que la colocación de mi huella digital no implique el otorgamiento de dicha autorización, comunicaré tal circunstancia a I-Med y/o Autentia a través de carta dirigida a Avda. 11 de Septiembre 1901 piso 3 o al correo electrónico: autentia@i-med.cl, a fin que se tomen las medidas del caso”.
El anterior disclaimer indicaba: “Al colocar el dedo sobre el lector de huellas suscribo y otorgo un contrato privado por el cual gratuitamente para mi autorizo expresamente la inscripción enrolamiento, transmisión y almacenamiento de mis datos personales en la base de datos prexistentes de I-Med S.A., como en la de Autentía S.A. el tratamiento de tales datos y /o la verificación de mi identidad contra dicha base de datos ya almacenados declarando haber sido informado del propósito de la inscripción, enrolamiento, transmisión y almacenamiento de tales datos y su posible comunicación a terceros, conforme lo exige el artículo 4º de la ley 19.628”…
La verdad es que la diferencia es insignificante, puesto que en nuestra consideración NO se cumple a cabalidad con el deber de información por parte de I-MED respecto de la finalidad del tratamiento, su transmisión y comunicación a terceros; asimismo, no queda claro el tratamiento para verificar la identidad ya que se describe en términos muy amplios… Lo que ahora pesa sobre los usuarios del sistema es el envío de una carta a la dirección indicada para que cualquier persona que lo desee puede solicitar que se borre la información biométrica contenida en la bases de datos.
Haciendo un brevísimo análisis del comunicado:
- Para garantizar la autenticidad de las transacciones efectuadas por personas se usan la verificación de identidad mediante la huella digital, la información de las huellas es almacenada sólo en nuestras bases de datos en forma encriptada y no es traspasada a terceros fuera de nuestro control empresarial, garantizándose siempre la privacidad de la información contenida en ellas.
- En cada operación de verificación de identidad, y a especial pedido del usuario sólo se emite a la empresa requerida del servicio (Isapre, AFP, etc.) la información de control de identidad, consistente en confirmar o negar que la persona que se presenta bajo un cierto nombre y RUT corresponde a quien dice ser según el resultado del control de la huella digital, para que así pueda concretarse la transacción que dicho usuario, por su voluntad, desea realizar con la empresa requerida. Posteriormente, nuestra empresa guarda los datos de la transacción para garantizar la integridad de la operación. Dichos datos no son ni serán traspasados a terceros fuera de nuestro control empresarial.
¿Que empresas están detrás de I-MED?
I-Med, no está sola, los socios de ésta crearon Autentia (que desde el año 2006 se encarga de generar aplicaciones alrededor del uso de huella dactilar digital). Entre las dos empresas han generado el mayor know how en el uso de biometría digital en América Latina…. Y detrás de Autentia está el sólido respaldo de SONDA, la principal empresa de informática de Chile y una de las más grandes de América Latina; la Cámara Chilena de la Construcción y Banmédica…
- Nuestra empresa no tiene acceso ni almacena ningún dato relacionado con la transacción efectuada entre el usuario y la empresa requerida.
La autorización señala claramente: Al colocar el dedo sobre el lector de huellas autorizo expresamente la inscripción y almacenamiento de mis datos personales en la base de datos de I-Med S.A
- Nuestro servicio se encuentra organizado responsablemente dentro del marco de la legislación específica aplicable a la protección y resguardo de datos de carácter personal y de firma digital, siguiendo todos los parámetros nacionales e internacionales al respecto.
- Nuestro servicio de identificación sólo puede materializarse con el concurso de la voluntad de la persona cuya identidad se requiere verificar en una transacción específica. Dicha voluntad se manifiesta en el momento de colocar la huella en el lector para ser verificada. En ausencia de su voluntad el proceso de identificación jamás llega a concretarse.
Y así es, no es culpa de ellos que la ley no tenga sanciones y que, en definitiva, regule el tratamiento de datos y no el control de los titulares sobre los mismos.
En radio cooperativa, se señala que el diputado Gabriel Silber presentó ayer miércoles una denuncia en la Superintendencia de Salud por esta cláusula que autoriza la transferencia o cesión de datos sensibles del cliente. El abogado Claudio Mangliola, académico de Propiedad Intelectual y Nuevas Tecnologías de la U. de Chile, declaró en el mismo medio que desestima la denuncia del parlamentario “porque la ley sobre protección de datos establece que el tratamiento de de datos personales puede hacerse cuando consta con autorización expresa y por escrito de la persona”, “¿Cuando yo pongo la huella es una autorización expresa y por escrito? Sí, porque la huella es una firma electrónica”.
¿Y dónde queda el deber de información por parte de I-MED? ¿es válida esa autorización expresa si no existe información sobre la finalidad del tratamiento?
¿Cuál es el sueño de I-MED?
“Queremos hacer posible el futuro en prestaciones de salud, mediante el cual los distintos agentes están conectados en línea, sus transacciones son inmediatas, y tienen acceso a todos los aspectos de la transacción – comercial, financiera y operacional. Aseguradores, empleadores, prestadores de salud, farmacias y emisores de tarjetas de crédito: todos conectados para hacer de la Salud un servicio fácil, cercano y eficiente.”
SÚPER!
Más info: aquí
Durante la tarde envié un e.mail a la dirección indicada. Era, la segun la persona que me llamó, el segundo e.mail que recibian… es triste que los ciudadanos no ejerzan su derecho a la protección de datos.
Me comentó el señor que me llamó, lo siguiente:
-Que los datos no se van a ninguna parte.
-Que el disclaimer estaba redactado asi porque un “abogado” (los culpables de todos los males) les habia hecho esa redacción tan macabra.
-Que no hay cesión de datos a terceros ni a la empresas que forma parte de I-med y Autentía, ni las empresas asociadas tales como: Ripley, Security, Previred, etc..
-Que la finalidad del almacenamiento y tratamiento es asegurar que yo soy yo.
-Que los datos que posee I-Med son: nombre, rut, sexo, fecha de nacimiento y la huella.
-Que me quiere dar TRANQUILIDAD sobre el quehacer de la empresa y la confidencialidad.
Al respecto pedí la eliminación, y el respectivo comprobante (que ya recibi a mi e.mail). También le expliqué que DEBEN informar sobre el tratamiento y proposito de almacenamiento claramente.
También pedí las opciones menos invasivas para obtener el servicio. Por cierto son bien poco practicas.
Estimados, soy quién hizo la denuncia que tomó el diputado Silver.
Mi cuestionamiento al sistema aún no ha sido respondido, estoy en el desarrollo del asunto y tomará aún tiempo en resolverse…
una de las observaciones que hice fue que estos tipos se supone que velan por asegurar que la persona que se atiende soy yo y no otra persona …. bien …. pasa
pero la consulta : ¿qué datos están almacenando? …….. mutis
espero que la superintendencia haga algo.
dato aparte, el superintendente negaba a la prensa que la Super tuviera algun antecedente de esto, y yo este reclamo lo presenté a comienzos de febrero, es muuuyyy carepalo -por no decir otra cosa.
les mantendré al tanto.
[...] This post was mentioned on Twitter by Datos personales. Datos personales said: Cesión de datos de salud V.2 (Caso I-MED). http://protecciondedatospersonales.cl/2010/04/08/cesion-de-datos-de-salud-v-2/ [...]
Jaime, veo que presentaste otra denuncia en la Superintendencia este 12 de octubre según la noticia en http://radio.uchile.cl/noticias/87158/
Me alegro mucho, nosotras solicitamos la eliminación de nuestros datos en la base de I-MED hace tiempo, desde esa fecha no he debido comprar ningún bono. Supongo que la única opción en su minuto será reembolsar en la Isapre.
Pongámonos en contacto!
Saludos
Jessica
Hola Jessica, he puesto a prueba las instrucciones de la Isapre, pues me he debido atender por una lesión, en realidad he dado bote y al final me veo en un circulo cerrado…. voy a avisar a la Super,pero una vez que me respondan a mi nuevo re-reclamo, si estás interesada en el caso te puedo enviar los codigos para verlo en línea por la web de la super, la que ha solicitado a Consalud responder a mis consultas…. bueh, seguimos, aunque sea en tramos de tiempo algo extendidos, me queda poco tiempo con la carga laboral que tengo
mi e-mail jbaezac@terra.cl
saludos
j.