Clarificando los roles en el tratamiento de datos de salud: Hospitales y Aseguradoras
Oficio N° SPDP-IRD-2025-0090-O
En la era digital, la protección de nuestros datos personales es más importante que nunca, especialmente cuando se trata de información tan sensible como nuestra salud. Recientemente, la Superintendencia de Protección de Datos Personales ha emitido un pronunciamiento crucial (Oficio N° SPDP-IRD-2025-0090-O) que aclara cómo se manejan tus datos médicos cuando un establecimiento de salud los comparte con tu compañía de seguros o un bróker, a tu solicitud y sin un contrato directo entre ellos.
Este boletín tiene como objetivo principal desglosar esta importante aclaración, explicándote de manera sencilla quién es quién en el tratamiento de tu información y cómo esto te afecta.
La pregunta central que aborda este pronunciamiento es si las compañías de seguros deben ser consideradas «encargadas del tratamiento de datos personales» (Art. 34 de la Ley Orgánica de Protección de Datos Personales – LOPDP) cuando reciben tu información médica directamente de un hospital, a tu pedido, y sin que exista un acuerdo formal entre el hospital y la aseguradora.
La Superintendencia ha sido clara en su respuesta: ¡NO!
Para entender por qué, es fundamental distinguir dos figuras clave en la protección de datos:
- Responsable del tratamiento: Es quien decide «para qué» (la finalidad) y «cómo» (los medios principales) se utilizan tus datos.
- Encargado del tratamiento: Es quien trata tus datos «a nombre y por cuenta» del responsable, siguiendo sus instrucciones y sin decidir por sí mismo sobre la finalidad o los medios. Para que exista un encargado, debe haber un contrato que lo respalde.
Según el análisis de la Superintendencia, y en línea con el criterio de expertos como la Pontificia Universidad Católica del Ecuador y la Fundación Ciudadanía y Desarrollo, se identifican tres momentos clave en este proceso de compartir tu información:
Momento 1: El Establecimiento de Salud (Hospital)
Tu hospital o centro de salud, al brindarte atención médica, es el Responsable del tratamiento de tus datos. Ellos deciden cómo recopilar, usar y almacenar tu información de salud para sus propios fines, como tu diagnóstico, tratamiento y facturación.
Momento 2: La Transferencia de Información
Cuando tú, como paciente y titular de los datos, solicitas al hospital que envíe tu historial médico a tu compañía de seguros (por ejemplo, para tramitar un reembolso), el hospital realiza una entrega de información. En este momento, la compañía de seguros o el bróker que recibe tus datos actúa como Destinatario.
Es crucial entender que esta entrega es una forma de «transferencia o comunicación» de datos, no un «encargo de tratamiento». Esto significa que no hay una relación contractual de servicio entre el hospital y la aseguradora para que esta última actúe en nombre del hospital.
Momento 3: La Compañía de Seguros o Bróker
Una vez que la compañía de seguros o el bróker recibe tus datos, empiezan a utilizarlos para sus propias finalidades, como verificar la cobertura, analizar riesgos o gestionar tu póliza. En este punto, la aseguradora o el bróker se convierte en el Responsable del tratamiento de esos datos. Ellos deciden cómo y para qué usarlos dentro de su propio giro de negocio.
En resumen:
- Tu hospital: Responsable del tratamiento de tus datos para fines de salud.
- Tu aseguradora/bróker al recibir los datos: Destinatario de la información.
- Tu aseguradora/bróker al usar los datos para sus fines: Responsable del tratamiento de tus datos.
Es importante destacar que la Ley Orgánica de Protección de Datos Personales no reconoce la figura de «responsables independientes» en la forma en que a veces se entiende en otras legislaciones. Cuando dos entidades tratan datos de forma autónoma, cada una es simplemente un responsable por su parte.
Además, por tratarse de datos de salud (información sensible), tanto el hospital como la aseguradora deben cumplir rigurosamente con la LOPDP y el Reglamento de Información Confidencial en el Sistema Nacional de Salud. Esto incluye obtener tu consentimiento expreso y asegurar la confidencialidad, integridad y disponibilidad de tus datos con medidas de seguridad robustas. En otras palabras, este pronunciamiento de la Superintendencia de Protección de Datos Personales es una guía clara para el manejo de información médica entre los centros de salud y aseguradoras. Reafirma que, en la mayoría de los casos donde no hay un contrato directo de servicio entre ellos, tanto el establecimiento de salud como la compañía de seguros actúan como responsables del tratamiento, cada uno para sus propias finalidades. La clave es tu consentimiento y el cumplimiento estricto de la LOPDP para proteger tu información sensible imparcial.
DURINI & GUERRERO ABOGADOS