Año CLVII No. 51.716 Bogotá, D. C., viernes, 25 de junio de 2021 Página 3
ÍNDICE [Mostrar] |
RESOLUCIÓN 866 DE 2021
(junio 25)
por la cual se reglamenta el conjunto de elementos de datos clínicos relevantes para la interoperabilidad de la historia clínica en el país y se dictan otras disposiciones.
[Mostrar] |
Los datos publicados en SUIN-Juriscol son exclusivamente informativos, con fines de divulgación del ordenamiento jurídico colombiano, cuya fuente es el Diario Oficial y la jurisprudencia pertinente. La actualización es periódica. El seguimiento y verificación de la evolución normativa y jurisprudencial no implica una función de certificación, ni interpretación de la vigencia de las normas por parte del Ministerio. |
El Ministro de Salud y Protección Social y la Ministra de Tecnologías de la Información y las Comunicaciones, en ejercicio de sus facultades legales, en especial las conferidas por los artículos 112 de la Ley 1438 de 2011, 246 de la Ley 1955 de 2019, 4°, parágrafos 1° y 3°, de la Ley 2015 de 2020 y 18 de la Ley 1341 de 2009 y,
CONSIDERANDO:
Que la Ley 1751 de 2015 regula el derecho fundamental a la salud y en los literales g) y k) del artículo 10 dispone como parte de los derechos de las personas, el de la intimidad como la garantía de la confidencialidad de toda la información que sea suministrada en el ámbito del acceso a los servicios de salud y de las condiciones de salud y enfermedad de la persona, y a que la historia clínica sea tratada de manera confidencial y reservada.
Que, asimismo, en el artículo 19 ibíd., se señala que los agentes del Sistema de Salud deben suministrar la información que requiera el Ministerio de Salud y Protección Social, en los términos y condiciones que se determine.
Que mediante la Ley 23 de 1981 se dictaron normas en materia de ética médica, y se dispuso, en el artículo 34, que la historia clínica es “el registro obligatorio de las condiciones de salud del paciente. Es un documento privado sometido a reserva que únicamente puede ser conocido por terceros previa autorización del paciente o en los casos previstos por la ley”.
Que la Ley 1581 de 2012 dicta disposiciones generales para la protección de datos personales y, al tenor de los artículos 4° y 5°, se establecen los principios para el tratamiento de datos personales y sus características, como actividad reglada, que deberá obedecer a una finalidad legítima, que solo puede ejercerse con el consentimiento, previo, expreso e informado del Titular, que la información tratada debe ser veraz, completa, exacta, actualizada, comprobable y comprensible, que el tratamiento se sujeta a los límites que se derivan de la naturaleza de los datos personales, debe realizarse solo por personas autorizadas por el Titular y/o por las personas previstas en la ley, que la información se deberá manejar con las medidas técnicas, humanas y administrativas que sean necesarias para otorgar seguridad a los registros evitando su adulteración, pérdida, consulta, uso o acceso no autorizado o fraudulento, y que se debe garantizar la reserva de la información, inclusive después de finalizada su relación con alguna de las labores que comprende el Tratamiento, y que los datos referidos a la salud de las personas son datos personales sensibles, respectivamente.
Que la Ley 2015 de 2020 reguló la historia clínica electrónica interoperable que “facilitará, agilizará y garantizará el acceso y ejercicio de los derechos a la salud y a la información de las personas, respetando el derecho fundamental de hábeas data y la reserva de la misma” y señaló que la Interoperabilidad se desarrollará progresivamente en el marco de lo dispuesto en sus artículos 3° y 4°, facultando al Ministerio de Salud y Protección Social para reglamentar los datos clínicos relevantes, concepto equivalente al término de datos vitales, inicialmente establecido en la Ley 1955 de 2019 y, en conjunto con el Ministerio de Tecnologías de la Información y las Comunicaciones, el modelo de Interoperabilidad de la historia clínica electrónica.
Que los artículos 6° y 7° de la precitada Ley 2015 de 2020 establecen que “cada persona será titular de su historia clínica electrónica, a la cual tendrán acceso, además del titular los prestadores de servicios de salud, con el previo y expreso consentimiento de la persona o paciente de acuerdo con la normatividad vigente, y “solo la persona titular podrá autorizar el uso por terceros de la información total o parcial en ella contenida, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización”.
Que el Decreto 620 de 2020 “por el cual se subroga el título 17 de la parte 2 del libro 2 del Decreto 1078 de 2015, para reglamentarse parcialmente los artículos 53, 54, 60, 61 y 64 de la Ley 1437 de 2011, los literales e), j) y literal a) del parágrafo 2° del artículo 45 de la ley 1753 de 2015, el numeral 3 del artículo 147 de la Ley 1955 de 2019, y el artículo 9° del Decreto 2106 de 2019”, dispone que corresponde al Ministerio de Tecnologías de la Información y las Comunicaciones establecer los lineamientos generales en el uso y operación de los servicios ciudadanos digitales.
Que a través de la Resolución 1995 de 1999 se establecieron normas para el manejo de la historia clínica, adoptando una serie de definiciones entre las que se encuentra la de equipo de salud, entendido como los “profesionales, técnicos y auxiliares del área de la salud que realizan la atención clínico asistencial directa del usuario y los auditores médicos de aseguradoras y prestadores responsables de la evaluación de la calidad del servicio brindado”.
Que el Ministerio de Salud y Protección Social tiene a cargo la administración del Sistema Integral de Información de la Protección Social (Sispro) previsto en el artículo 44 de la Ley 1122 de 2007, y en ejercicio de las funciones del Decreto - Ley 4107 de 2011, a través de la Oficina de Tecnologías de la Información y las Comunicaciones (TIC) define los lineamientos relacionados con los sistemas de información de la Protección Social, los estándares de datos del sistema de información y de seguridad informática del Sector Administrativo de Salud y Protección Social y realiza la administración de los sistemas de información de salud, riesgos profesionales y promoción social necesarios para la toma de decisiones que apoyen la elaboración de políticas, el monitoreo regulatorio y la gestión de servicios en cada uno de los niveles y en los procesos esenciales del sector.
Que en la Guía de Lineamientos de los Servicios Ciudadanos Digitales – Anexo 1, de mayo de 2020, expedida por el Ministerio de Tecnologías de la Información y las Comunicaciones, se definió la interoperabilidad como “el servicio que brinda las capacidades necesarias para garantizar el adecuado flujo de información e interacción entre los sistemas de información de las entidades, permitiendo el intercambio, la integración y la compartición de la información, con el propósito de facilitar el ejercicio de sus funciones constitucionales y legales, acorde con los lineamientos del marco de interoperabilidad”.
Que el conjunto de elementos de datos clínicos relevantes para la interoperabilidad de la historia clínica permitirá que los prestadores de servicios de salud, públicos, privados y mixtos y demás personas naturales o jurídicas que se relacionen con la atención en salud, compartan los datos clínicos, para dar continuidad a la atención en salud de las personas, facilitar, agilizar y apoyar la garantía, el acceso y el ejercicio del derecho fundamental a la salud y a la información, respetando el hábeas data y la reserva de la historia clínica.
Que conforme con el anterior marco normativo, se hace necesario reglamentar el conjunto de elementos de datos clínicos relevantes de la historia clínica en el país, para su interoperabilidad, bajo los principios de finalidad, acceso y circulación restringida, seguridad y confidencialidad definidos en la Ley 1581 de 2012 y establecer disposiciones para su implementación.
En mérito de lo expuesto,
RESUELVEN:
Artículo 1°. Objeto. La presente resolución tiene por objeto reglamentar el conjunto de elementos de datos clínicos relevantes para la interoperabilidad de la historia clínica en el país, atendiendo entre otros, a la política de gobierno digital, a los lineamientos de los Servicios Ciudadanos Digitales expedidos por el Ministerio de Tecnologías de la Información y las Comunicaciones; así como, adoptar el Anexo Técnico “Estructura y formato del conjunto de elementos de datos clínicos relevantes para la interoperabilidad de la historia clínica” que forma parte integral de esta resolución y establecer otras disposiciones para el efecto.
Artículo 2°. Ámbito de aplicación. Las disposiciones contenidas en el presente acto administrativo serán aplicables a los actores que a continuación se relacionan, quienes deberán cumplir los lineamientos y estándares establecidos en el Marco de interoperabilidad para Gobierno Digital y el modelo de seguridad y privacidad de la política de gobierno digital:
2.1 La persona titular de la historia clínica.
2.2 Los prestadores de servicios de salud públicos y privados.
2.3 Las Entidades Promotoras de Salud (EPS).
2.4 Las Entidades Adaptadas al Sistema General de Seguridad Social en Salud (SGSSS).
2.5 Las Entidades que administren planes voluntarios de salud.
2.6 Las Administradoras de Riesgos Laborales y los fondos de pensiones en sus actividades de salud.
2.7 Las entidades pertenecientes a los Regímenes de Excepción o Especial de salud.
2.8 Las secretarías, institutos y unidades administrativas departamentales, distritales y municipales de salud, siempre que accedan a la información de forma innominada.
2.9 Las compañías de seguros que emiten pólizas de seguros de accidentes de tránsito, siempre que tengan la autorización del titular de la información o de quien esté legitimada para autorizar el conocimiento de los datos.
Parágrafo. Las disposiciones aquí previstas también se aplicarán a las entidades pertenecientes al SGSSS en proceso de liquidación, a los profesionales independientes que decidan no continuar con la prestación del servicio de salud y a los mandatarios y Patrimonios Autónomos de Remanentes que hayan recibido y tengan bajo su custodia historias clínicas como consecuencia de procesos de liquidación o cierre definitivo de servicios de salud.
Artículo 3°. Definiciones. Para la implementación de lo previsto en el presente acto administrativo, en la interoperabilidad de los datos clínicos relevantes de la historia clínica se tendrán en cuenta las definiciones previstas en la Ley Estatutaria 1581 de 2012, la Ley 2015 de 2020, la Sección Primera del Capítulo 25 del Título 2 de la Parte 2 del Libro 2 del Decreto 1074 de 2015 y las siguientes definiciones, las cuales fueron adaptadas basándose en las establecidas en el Marco de Interoperabilidad de la política de Gobierno Digital, definidos por el Ministerio de Tecnologías de la Información y las Comunicaciones, así:
3.1. Catálogo. Conjunto ordenado o clasificado de datos con características comunes, que determina el grupo de valores permitidos de un elemento de dato.
3.2 Conjunto de elementos de datos clínicos relevantes para la interoperabilidad de la historia clínica. Comprende los elementos de datos de la historia clínica que se van a interoperar, con sus características y valores, los cuales son los establecidos por el Ministerio de Salud y Protección Social.
3.3 Datos clínicos relevantes. Para los efectos del presente acto administrativo, entiéndase por datos clínicos relevantes, aquellos datos de la historia clínica de una persona, que los prestadores de servicios de salud requieren conocer para su atención a lo largo del curso de vida. Estos datos corresponden a la identificación de la persona, a los relacionados con la atención recibida en los servicios de salud, al uso de las tecnologías en salud y a los resultados del uso de las mismas, en cualquiera de las fases de la atención, esto es, promoción, prevención, diagnóstico, tratamiento, rehabilitación o paliación de la enfermedad.
3.4 Elemento de dato. Identifica y define la unidad básica de información, a partir de la cual se realiza el intercambio de información, de acuerdo con los requerimientos funcionales definidos dentro del proceso o servicio de intercambio de información.
3.5 Interoperabilidad de datos clínicos relevantes de la historia clínica. Capacidad de los actores del Sistema de Salud del país para intercambiar información y conocimiento de los datos de la historia clínica, en el marco de los procesos de salud, para interactuar hacia objetivos mutuamente beneficiosos, con el propósito de facilitar la entrega de servicios en línea a las personas, empresas y a otras entidades, mediante el intercambio de datos entre sus sistemas.
3.6 Lenguaje común de intercambio. Es el estándar nacional definido y administrado por el Ministerio de Tecnologías de la Información y las Comunicaciones, que facilita el intercambio de información entre las entidades, con el propósito de mejorar los servicios digitales dirigidos a las personas y empresas, fortaleciendo los procesos de interoperabilidad y la eficiencia en el país.
3.7 Mecanismo electrónico de interoperabilidad de datos de la historia clínica. Es el conjunto de herramientas de tecnología de la información, que permite la interoperabilidad de datos clínicos relevantes de la historia clínica, basado en los estándares y lineamientos definidos por la política de Gobierno Digital y los lineamientos de la Plataforma de Interoperabilidad del país.
3.8 Modelo de medición de la madurez tecnológica. Esquema organizado que permite realizar un diagnóstico sobre el nivel de avance en un conjunto de diferentes dimensiones y procesos en una organización, que mide la capacidad instalada, las debilidades y las oportunidades para establecer procesos de mejora y transformación que deriven en un incremento del desempeño institucional.
Artículo 4°. Principios de la interoperabilidad de datos clínicos relevantes de la historia clínica. Para la implementación de lo dispuesto en el presente acto administrativo, además de lo definido en la Ley 2015 de 2020 y en el Marco de Interoperabilidad de la Política de Gobierno Digital, se tendrán en cuenta los siguientes principios:
4.1 Confidencialidad. Los datos clínicos relevantes interoperables se manejan y conservan con criterios de reserva, privacidad y deberán contar con mecanismos de protección para todos los procesos informáticos.
4.2 Disponibilidad. Es la característica de la información contenida en la historia clínica que permite que esta sea accesible y utilizable cuando se requiera.
4.3 Integridad. Los datos interoperables deben corresponder a la realidad de los hechos que se registran y capturarse en la fuente del dato, por lo tanto, deben ser fiables, completos, inalterados, consistentes, coherentes y unificados.
4.4 Intercambio. Los datos clínicos relevantes de la historia clínica deben estar disponibles a través de medios electrónicos con mecanismos de seguridad y privacidad que permitan la entrega a quién legítimamente tenga la facultad de acceder a ellos.
4.5 Oportunidad. Disposición permanente de los datos clínicos relevantes interoperables de la historia clínica para la continuidad de la atención y la toma de decisiones.
4.6 Seguridad. Los datos que se generan o se consultan se deben manejar con las medidas técnicas, humanas y administrativas que sean necesarias para garantizar la seguridad evitando su adulteración, pérdida, consulta o uso no autorizado.
4.7 Uniformidad. Los conceptos, definiciones y nomenclaturas son únicos, con el fin de permitir la integración de la información y la comparación de resultados.
4.8 Veracidad. Los datos se presumen reales, completos, exactos, actualizados, comprobables y comprensibles desde su generación y a través de su flujo en el proceso de interoperabilidad.
Artículo 5°. Conformación del conjunto de elementos de datos clínicos relevantes para la interoperabilidad de la historia clínica. El conjunto de elementos de datos clínicos relevantes para la interoperabilidad estará constituido por:
5.1. Elementos de datos de identificación del usuario de los servicios de salud. Corresponde a aquellos datos que apoyan la atención y motivan la determinación de riesgos relacionados con la identificación del lugar de origen y de residencia de la persona, la identificación de la persona en los sistemas de identificación del país, la edad al momento de la atención, la condición de sexo y género, el grupo poblacional que determina la vulnerabilidad a la que pertenece, la ocupación, presunción legal de donación y voluntad anticipada, la categoría de la discapacidad, si la tiene, la condición étnica, el asegurador responsable de la gestión del riesgo del individuo.
5.2. Elementos de datos de contacto con el servicio de salud. Datos relacionados con los antecedentes del individuo al momento de la atención que incluyen: la fecha en que se inicia el evento, la priorización para la atención, la vía de ingreso y la modalidad de atención y el diagnóstico inicial que motiva la atención.
5.3. Elementos de datos de tecnologías en salud. Corresponde a aquellos datos relacionados con las tecnologías prescritas, aplicadas o entregadas al usuario, como son: procedimientos en salud, medicamentos, dispositivos médicos, componentes anatómicos, aplicados o entregados en las fases de promoción de la salud, prevención, diagnóstico, tratamiento, rehabilitación y paliación de la enfermedad en la secuencia cronológica durante el curso de vida, entre otras.
5.4. Elementos de datos de resultados del uso de las tecnologías en salud. Incluye datos relacionados con los diagnósticos finales asociados al evento de salud, las especificaciones de los resultados de la valoración clínica o de salud que son importantes durante la atención del paciente, la especificación de la referencia y/o contrarreferencia, datos de la incapacidad y licencia si ocurre y del profesional de salud responsable del egreso o finalización del evento.
Artículo 6°. Obligatoriedad del uso del conjunto de elementos de datos clínicos relevantes para la interoperabilidad de la historia clínica y sus catálogos estandarizados. El conjunto de elementos de datos clínicos relevantes para la interoperabilidad de la historia clínica y los catálogos de datos son de uso obligatorio por todos los prestadores de servicios de salud públicos y privados y demás personas naturales o jurídicas que se relacionen con la atención en salud para el intercambio de información entre los actores del sistema de salud en el país. También será obligatorio en las solicitudes o intercambios de información que realice el Ministerio de Salud y Protección Social, los actores del SGSSS y otras entidades dentro de lo regulado por la Ley 1581 de 2012. La fuente de los datos clínicos relevantes para la interoperabilidad es la historia clínica de las personas.
Artículo 7°. Prohibición de modificación del conjunto de elementos de datos clínicos relevantes para la interoperabilidad de la historia clínica. El conjunto de elementos de datos clínicos relevantes para la interoperabilidad de la historia clínica y los catálogos de datos no podrán ser modificados, reducidos o adicionados por los actores que generan, transportan, almacenan, disponen o usan datos.
Artículo 8°. Administración del conjunto de elementos de datos clínicos relevantes para la interoperabilidad de la historia clínica y catálogos estandarizados. La administración del conjunto de elementos de datos clínicos relevantes para la interoperabilidad de la historia clínica y los catálogos de datos, estarán a cargo del Ministerio de Salud y Protección Social, para lo cual se definirá y establecerá el procedimiento que los individualice en el Sistema Integrado de Información de la Protección Social (Sispro).
Todo elemento de dato y su catálogo asociado, cuando aplique, se administrará de acuerdo con el procedimiento de gestión de elementos de datos y catálogos de información para la interoperabilidad de datos de la historia clínica definido en el Sistema Integrado de Gestión (SIG) en la página web www.minsalud.gov.co del Ministerio de Salud y Protección Social. Se mantendrán actualizados los elementos de datos o los catálogos que fueron registrados en el Lenguaje Común de Intercambio del Marco de Interoperabilidad para Gobierno Digital.
Artículo 9°. Mecanismo electrónico de interoperabilidad de los datos clínicos relevantes de la historia clínica. El mecanismo electrónico de interoperabilidad de datos clínicos relevantes de la historia clínica permitirá visualizar los datos de las atenciones de salud que deberán ser usados para dar continuidad a la atención en salud y estará debidamente articulado con la política de Gobierno Digital, particularmente, con el habilitador de los Servicios Ciudadanos Digitales expedido por el Mintic.
Para su implementación, se tendrán en cuenta los Lineamientos Técnicos de Seguridad y Privacidad de la Información, Arquitectura y Servicios Ciudadanos Digitales determinados en la Política de Gobierno Digital del Ministerio de Tecnologías de la Información y las Comunicaciones.
Parágrafo. Los Ministerios de Salud y Protección Social y de las Tecnologías de la Información y las Comunicaciones implementarán el mecanismo en los términos del artículo 4 de la Ley 2015 de 2020.
Artículo 10. Disposición de datos clínicos relevantes de la interoperabilidad de la historia clínica en el mecanismo electrónico de interoperabilidad. Los prestadores de servicios de salud en el país y los demás actores autorizados para la interoperabilidad, en lo que aplique de acuerdo con su competencia, deberán disponer los datos de las atenciones de salud realizadas de forma permanente, a través del mecanismo electrónico de interoperabilidad y las herramientas tecnológicas que se utilicen en la plataforma de interoperabilidad del país, una vez esté disponible, de conformidad con los principios de seguridad y circulación restringida de la información, establecidos en la presente resolución y en las Leyes 1581 de 2012, 2015 de 2020 y demás normas vigentes.
Los datos de las atenciones de salud dispuestos en el mecanismo de interoperabilidad deben ser usados exclusivamente para el proceso de atención integral en salud de las personas y vinculados a las funciones específicas de cada uno de los actores.
Parágrafo 1°. La gestión documental de los expedientes clínicos en el marco de la interoperabilidad se realizará de acuerdo con lo establecido en la normativa vigente.
Parágrafo 2°. Cuando en el tratamiento de los datos clínicos relevantes para la interoperabilidad de la historia clínica se evidencie una inconsistencia y se requiera la corrección de algún dato, se agregará el nuevo dato con la fecha, hora, nombre e identificación de quien hizo la corrección. En ningún caso se podrá solicitar tratamiento a los datos que sean generados en la atención por otras razones diferentes a inconsistencias demostradas.
Artículo 11. Estructura del conjunto de elementos de datos clínicos relevantes para la interoperabilidad de la historia clínica. Los sujetos obligados deberán adoptar las características principales de estructura y formato del conjunto de elementos de datos clínicos relevantes para la interoperabilidad de la historia clínica que se establecen en el Anexo Técnico “Estructura y formato del conjunto de elementos de datos clínicos relevantes para la interoperabilidad de la historia clínica” de la presente resolución.
Artículo 12. Actualización del conjunto de elementos de datos clínicos relevantes para la interoperabilidad de la historia clínica y de los catálogos de datos utilizados. Los elementos de datos y catálogos establecidos para la interoperabilidad de datos clínicos relevantes de la historia clínica serán revisados y ajustados cuando el Ministerio de Salud y Protección Social lo considere pertinente.
Artículo 13. Integración de los elementos de datos en los registros de la historia clínica. Los prestadores de servicios de salud deben incorporar los elementos de datos en los registros de la historia clínica para lo cual deberán garantizar que se cumplan las siguientes relaciones entre los elementos de datos:
13.1 Los datos de información del titular de la historia clínica deben tener asociados datos de contacto con el servicio de salud.
13.2 Los datos de contacto con el servicio de salud deben tener asociados datos relacionados con el uso de una o varias tecnologías en salud.
13.3 Los datos de una tecnología de salud pueden tener asociado uno o varios resultados del uso de las tecnologías en salud.
Artículo 14. Actualización de fuentes de información del Sistema de Salud. Toda fuente de información relacionada con los elementos de datos de que trata la presente resolución, podrá ser actualizada por el Ministerio de Salud y Protección Social.
Artículo 15. Titularidad y accesibilidad. Cada persona es titular de los datos clínicos relevantes para la interoperabilidad de la historia clínica, a los cuales tendrá acceso, además del titular, las personas autorizadas por este y los demás previstos en la normatividad vigente.
Artículo 16. Responsable y encargado del tratamiento. Los actores descritos en el artículo 2° del presente acto administrativo, serán responsables del tratamiento de los datos que suministre la persona. Asimismo, serán los encargados del tratamiento de los datos que otras entidades les proporcionen en el marco de la Interoperabilidad de datos de la historia clínica.
En cada caso, los responsables y encargados del tratamiento de datos de las personas deberán cumplir los deberes establecidos en la Ley 1581 de 2012 o las normas que la modifiquen o sustituyan, sin perjuicio de las obligaciones que se establecen en el presente acto administrativo.
Artículo 17. Acreditación de la responsabilidad. Los actores que participen en la interoperabilidad de los datos clínicos relevantes deberán adoptar medidas apropiadas, efectivas y verificables que les permitan demostrar el correcto cumplimiento de las normas sobre tratamiento de datos personales y cumplir los lineamientos de responsabilidad demostrada previstos por la Superintendencia de Industria y Comercio (SIC) y demás que fije sobre la materia. Igualmente, deberán establecer y adoptar un Programa Integral de Gestión de Datos Personales (PIGDP) y cumplir con la guía para la implementación de la responsabilidad demostrada de la SIC.
Una vez se establezca el mecanismo de interoperabilidad este debe cumplir con la normatividad existente sobre responsabilidad demostrada que aplica al régimen de protección de datos personales, de conformidad a los límites que impone la Ley de Protección de Datos de Carácter Personal, Ley 1581 de 2012, el cumplimiento de las funciones constitucionales, legales y reglamentarias de cada autoridad pública y/o particular que cumpla funciones públicas, y los límites que impone la Ley de Transparencia y del Derecho de Acceso a la Información Pública Nacional, Ley 1712 de 2014, o las normas que la modifiquen, deroguen o subroguen.
Artículo 18. Privacidad desde el diseño y por defecto. Los actores que participen en la interoperabilidad de los datos clínicos relevantes de la historia clínica deberán atender la normativa que rige la protección de la privacidad y el tratamiento de datos personales que igualmente deberán aplicarse a las fases del ciclo de vida de desarrollo del software, desde su diseño, hasta la arquitectura lógica y física de los sistemas de información, de tal forma que se garantice la privacidad de los datos de las personas durante su recolección, uso, almacenamiento, divulgación y disposición, a través de cualquier mecanismo de intercambio o disposición de datos.
Las responsabilidades en el tratamiento de los datos personales aplican de igual forma a todos los terceros que participen directa o indirectamente en el tratamiento de los datos personales.
De conformidad con el artículo 2.2.2.25.4.4. del Decreto 1074 de 2015, los actores que participen en la interoperabilidad de los datos clínicos relevantes de la historia clínica deberán designar a una persona o área que asuma la función de protección de datos personales, quien dará trámite a las solicitudes de los titulares para el ejercicio de los derechos a que se refiere la Ley 1581 de 2012 y el Capítulo 25 del Título 2 de la Parte 2 del Libro 2 del Decreto 1074 de 2015, quienes deberán tener en cuenta los siguientes lineamientos en el marco del intercambio de datos por la plataforma de interoperabilidad:
a) Realizar y actualizar las evaluaciones de impacto del tratamiento de los datos personales y el Programa Integral de Gestión de Datos Personales ante cambios que generen riesgos de privacidad.
b) Incorporar prácticas y procesos de desarrollo necesarios destinados a salvaguardar la información personal de los individuos a lo largo del ciclo de vida de un sistema, programa o servicio.
c) Mantener las prácticas y procesos de gestión adecuados durante el ciclo de vida de los datos que son diseñados para asegurar que los sistemas de información cumplen con los requisitos, políticas y preferencias de privacidad de los ciudadanos.
d) Adoptar las medidas necesarias para preservar la seguridad, confidencialidad e integridad de la información personal durante el ciclo de vida de los datos, desde su recolección original, a través de su uso, almacenamiento, circulación y supresión al final del ciclo de vida.
e) Asegurar la infraestructura, sistemas de tecnología de la información y prácticas de negocios que interactúan o implican el uso de cualquier información o dato personal, siendo sujeta a verificación independiente por parte de todas las partes interesadas, incluyendo clientes, usuarios y organizaciones afiliadas.
Artículo 19. Seguridad de la información y seguridad digital. Los actores que participen en la interoperabilidad de los datos clínicos relevantes de la historia clínica deben contar con una estrategia de seguridad y privacidad de la información, seguridad digital y continuidad de la prestación del servicio en la cual, deberán hacer periódicamente una evaluación del riesgo de seguridad digital, que incluya una identificación de las mejoras a implementar en su Sistema de Administración del Riesgo Operativo.
Para el desarrollo de la estrategia se deberá contar con normas, políticas, procedimientos, recursos técnicos, administrativos y humanos necesarios para gestionar efectivamente el riesgo. Deben adoptar los lineamientos generales para la implementación del Modelo de Seguridad y Privacidad de la Información (MSPI), la guía de gestión de riesgos de seguridad de la información, el procedimiento para la gestión de los incidentes de seguridad digital, y, los lineamientos y estándares para la estrategia de seguridad digital emitidos por el Ministerio de Tecnologías de la Información y las Comunicaciones en el marco de la política de Gobierno Digital.
Artículo 20. Responsabilidad en el tratamiento seguro de los datos clínicos relevantes para la interoperabilidad de la historia clínica. Los actores involucrados en la generación, el flujo y consolidación de los datos clínicos relevantes para la interoperabilidad de la historia clínica serán responsables del cumplimiento del régimen de protección de datos y demás aspectos relacionados con el tratamiento de información, que les sea aplicable en el marco de las Leyes Estatutarias 1581 de 2012 y 1712 de 2014, del Capítulo 25 del Título 2 del Libro 2 de la Parte 2 del Decreto 1074 del 2015, y las normas que las modifiquen o sustituyan.
Los actores definidos en la presente resolución deberán evaluar el impacto del tratamiento de datos clínicos relevantes para la interoperabilidad de la historia clínica y garantizar que se implementen las acciones preventivas, de mitigación o superación de riesgos asociados al tratamiento de dichos datos personales, asegurando la garantía y el cumplimiento de lo dispuesto en la Ley 1581 de 2012 y sus decretos reglamentarios, o las normas que le modifiquen o sustituyan. Igualmente, deberán realizar una evaluación del impacto de tratamiento de datos personales antes de dar inicio, incluyendo como mínimo lo siguiente:
a) Una descripción detallada de las operaciones de tratamiento de datos personales que involucran el intercambio de datos y de los fines del tratamiento.
b) Una evaluación de la necesidad y la proporcionalidad de las operaciones de tratamiento con respecto a su finalidad.
c) Una evaluación de los riesgos específicos para los derechos y libertades de los titulares de los datos personales.
d) Las medidas previstas para afrontar los riesgos, incluidas garantías, medidas de seguridad, tecnologías y mecanismos que garanticen la protección de datos personales, pudiendo realizar diseño de software, teniendo en cuenta los derechos e intereses legítimos de los titulares de los datos y de otras personas eventualmente afectadas.
e) Los resultados de esta evaluación, junto con las medidas para mitigar los riesgos, serán tenidos en cuenta e implementados como parte de la aplicación del fundamento de privacidad por diseño y por defecto.
Artículo 21. Calidad del dato clínico relevante interoperable. Es responsabilidad de los actores que intervienen en el proceso de la interoperabilidad, garantizar que los datos clínicos relevantes para la interoperabilidad de la historia clínica cumplan los principios definidos en la Ley 1581 de 2012 y en el artículo 4° del presente acto administrativo.
Artículo 22. Limitación en el uso de los datos. Los datos personales y los datos de los usuarios enviados a través del servicio ciudadano digital de interoperabilidad y la información generada, producida, almacenada, enviada o compartida, no podrán ser objeto de comercialización, ni de explotación económica de ningún tipo, ni de otro uso que no sea la atención en salud, de conformidad con los límites que impone la Ley 1581 de 2012.
Artículo 23. Servicios ciudadanos digitales. Los sujetos referidos en el artículo 2° de la presente resolución deberán cumplir las condiciones y estándares establecidos en la guía para vinculación y uso de los servicios ciudadanos digitales que se encuentran señaladas en el Anexo Técnico 2 de la Resolución 2160 de 2020, expedida por el Ministerio de Tecnologías de la Información y las Comunicaciones, para la preparación, adecuación, integración, uso y apropiación de los servicios ciudadanos digitales, a través de los cuales podrán integrar a sus sistemas de información los mecanismos de interoperabilidad.
Artículo 24. Responsabilidades. En el marco de la interoperabilidad de datos clínicos relevantes de la historia clínica, se tendrán las siguientes responsabilidades:
24.1. Prestadores de servicios de salud.
a) Adoptar los estándares para la interoperabilidad de los datos clínicos relevantes para la interoperabilidad de la historia clínica, de acuerdo con los lineamientos que para el efecto defina el Ministerio de Salud y Protección Social con base en la Política de Gobierno Digital.
b) Adecuar sus propios instrumentos de registro para la generación de datos.
c) Fortalecer las capacidades del talento humano y desarrollar procesos de gestión del cambio, teniendo en cuenta los lineamientos definidos por el Ministerio de Salud y Protección Social para la interoperabilidad.
d) Contar con soluciones tecnológicas para disponer los datos clínicos relevantes para la interoperabilidad de la historia clínica, necesarios en el mecanismo electrónico de interoperabilidad.
e) Verificar la consistencia de los datos clínicos relevantes para la interoperabilidad de la historia clínica, previo a su disposición en el mecanismo electrónico de interoperabilidad, en cuanto a los valores que asumen los elementos de datos y las validaciones.
f) Disponer permanentemente de los datos en las atenciones en salud realizadas a los usuarios, para optimizar la prestación del servicio de salud, en uso del mecanismo electrónico de interoperabilidad.
g) Cumplir con los lineamientos de seguridad de la información y seguridad digital para que en el uso de los mecanismos de comunicación y en el intercambio de datos de la historia clínica se garantice la confidencialidad, integridad, disponibilidad, autenticación y autorización.
h) Garantizar el cumplimiento de los principios, mecanismos, procesos y procedimientos definidos para la interoperabilidad de los datos en el SGSSS.
i) Cumplir las obligaciones derivadas de la condición de responsable o encargado del tratamiento de datos y las derivadas de la Ley 1581 de 2012 y las normas que la modifiquen, sustituyan o desarrollen.
j) En desarrollo de los principios de finalidad y libertad de los datos personales, la recolección, la transferencia y el uso de estos datos deberán limitarse a aquellos que son pertinentes y necesarios para la finalidad para la cual son recolectados o requeridos conforme a lo previsto en la normativa vigente.
24.2. De los demás actores de la interoperabilidad.
a) Adoptar los estándares para la interoperabilidad de los datos clínicos relevantes para la interoperabilidad de la historia clínica, de acuerdo con los lineamientos que para el efecto defina el Ministerio de Salud y Protección Social con base en la Política de Gobierno Digital.
b) Adecuar sus propios instrumentos de registro para el uso de los datos.
c) Implementar la estrategia que el Ministerio de Salud y Protección Social defina para el fortalecimiento del talento humano para la interoperabilidad.
d) Contar con soluciones tecnológicas para acceder los datos clínicos relevantes para la interoperabilidad de la historia clínica necesarios en el mecanismo electrónico de interoperabilidad.
e) Validar previamente los datos clínicos relevantes para la interoperabilidad de la historia clínica dispuestos en el mecanismo electrónico de interoperabilidad, de acuerdo con su propia información y sus competencias.
f) Disponer permanentemente al Ministerio de Salud y Protección Social los datos adicionales, propios del ejercicio de sus competencias.
g) Cumplir las obligaciones derivadas de la condición de responsable o encargado del tratamiento de datos y las derivadas de la Ley 1581 de 2012 y las normas que la modifiquen, sustituyan, o desarrollen.
h) Cumplir con los lineamientos de seguridad de la información y seguridad digital para que en el uso de los mecanismos de comunicación y en el intercambio de datos clínicos relevantes de la interoperabilidad de la historia clínica se garantice la confidencialidad, integridad, disponibilidad, autenticación y autorización.
i) Usar los datos dispuestos en el mecanismo electrónico de interoperabilidad para apoyar los procesos administrativos y asistenciales de los usuarios de los servicios de salud y cumplir con los principios de la interoperabilidad de datos clínicos relevantes para la interoperabilidad de la historia clínica, establecidos en el artículo 4° del presente acto administrativo.
Artículo 25. Inspección, vigilancia y control. La inspección, vigilancia y control a las actividades de que trata la presente resolución se realizará por parte de la Superintendencia Nacional de Salud, la Superintendencia de Industria y Comercio y demás autoridades que, en el marco de sus competencias, tengan que conocer de una o varias de las actividades involucradas.
Artículo 26. Transitoriedad. A partir de la fecha de publicación de la presente resolución, los actores definidos en el artículo 2°, deberán ajustar sus sistemas de información a la estructura y formato que aquí se adoptan, y contarán con seis (6) meses para integrarlos e interoperarlos a partir de que se disponga el mecanismo de interoperabilidad por parte de los Ministerios de Salud y Protección Social y de Tecnologías de la Información y las Comunicaciones.
Publíquese y cúmplase.
Dada en Bogotá, D. C., a 25 de junio de 2021.
El Ministro de Salud y Protección Social,
Fernando Ruiz Gómez.
La Ministra de Tecnologías de la Información y las Comunicaciones,
Karen Abudinen Abuchaibe.