sábado, 8 de julio de 2023

COMPLIANCE PARA CENTROS DE SALUD Y DESAFÍOS QUE PRESENTA LA CONFIDENCIALIDAD DE DATOS Y LA ACTUACIÓN PROFESIONAL DEL ABOGADO INTERNO

 

“COMPLIANCE” PARA CENTROS DE SALUD Y DESAFÍOS QUE SE PRESENTAN EN   RELACIÓN A LA CONFIDENCIALIDAD DE DATOS Y A LA ACTUACIÓN PROFESIONAL DEL ABOGADO INTERNO

Artículo editorial de la Revista “Enfoques sobre Salud, Bioética y Derecho”-Directora: María C. Cortesi

AUTORA: María Cristina Cortesi

Abogada y Procuradora. Posgrado en Derecho de la Salud (UBA).Posgrado en “Administración y Gerenciamiento en Servicios de Salud” – Prefectura Naval Argentina-Universidad del Salvador. “Posgrado en Auditoría Estratégica en Servicios de Salud”, Prefectura Naval Argentina –Universidad del Salvador. Diplomada en Psiquiatría Forense. CPACF-Universidad de Belgrano. Docente y Coordinadora  en la Escuela de Posgrado del Colegio Público de Abogados de la Capital Federal. Cursos: Actualización en Derecho y Legislación Sanitaria,  y Derecho Farmacéutico y Legislación Sanitaria. Docente de la “Maestría en Gerencia y Administración de Sistemas y Servicios de Salud” de la Universidad Favaloro. Docente  del posgrado Instituciones del Derecho de la Salud-UCA. Autora de los libros: “Derecho Sanitario y Régimen Jurídico del Medicamento” – (Co-autora ) Publicado por editorial Visión Jurídica – Julio de 2013. Libro “Judicialización de la Salud: métodos alternativos para la resolución de conflictos” – Visión Jurídica Ediciones- Año 2015 y II Edición Año 2018.Libro “Medicamentos: introducción a su regulación jurídica”-Visión Jurídica Ediciones (II Edición año 2019). Miembro de la Comisión de Derecho de la Salud de la Federación Argentina de Colegios de Abogados (FACA). Vicepresidenta de la Comisión de Derecho Sanitario de la Asociación de Abogados de Buenos Aires (AABA). EX Directora del Instituto de Derecho Sanitario del Colegio Público de Abogados de la Capital Federal, (CPACF).

 

LA LEY N° 27.401 Y LOS PROGRAMAS DE INTEGRIDAD

La Ley 27.401 incorporó a nuestra legislación la regulación sobre la responsabilidad penal de las personas jurídicas privadas, de capitales nacionales o extranjeros, tengan o no participación estatal, para los siguientes delitos:

a)    Cohecho y tráfico de influencias (arts. 258 y 258 bis del C. Penal)

b)    Negociaciones incompatibles con el ejercicio de las funciones públicas (art. 265 del C. Penal)

c)    Concusión (art. 268 del C. Penal)

d)    Enriquecimiento ilícito de funcionarios y empleados (art. 268 del C. Penal)

e)    Balances e informes falsos agravados (art. 300 C. Penal)

Las condenas a las personas jurídicas, según la ley,  subsisten independientemente de que se haya podido penalizar o no a la persona física que cometió el hecho, y  aunque aquélla haya modificado su forma societaria.


Dispone la norma en su artículo 9° que no obstante, queda eximida de pena y responsabilidad penal la persona jurídica que con anterioridad al hecho del proceso, hubiese implementado un “programa de integridad”, el que define en su artículo 22 como “un conjunto de acciones, mecanismos y procedimientos internos  de promoción de la integridad, supervisión y control, orientados a prevenir, detectar, y corregir irregularidades y actos ilícitos comprendidos por esta ley”.

Dicho programa es optativo en líneas generales, y se convierte en obligatorio cuando la persona jurídica contrate con el Estado Nacional en convenios que por su monto deban ser aprobados por autoridad con rango no menor a Ministro, y en demás situaciones contempladas en el art. 24 de la Ley.

Me permito hacer una salvedad: que exista un “programa de integridad” o “compliance” no implica que la persona jurídica posea una estructura impecable que le impida la comisión de algún ilícito. En todo caso se da una presunción “iuris tantum” de que en su organización existe un programa de transparencia. De esa forma, debemos dejar en claro que la sola existencia de estos programas no resulta eximente de responsabilidad y dependerá de cada situación en particular y de la prueba a producirse durante el proceso.

La ley también contiene en sus arts. 22 y 23 una serie de parámetros para determinar la idoneidad de dichos programas de integridad[1]:

·         Debe guardar relación con los riesgos propios de la actividad de la persona jurídica, su dimensión y su capacidad económica

·         Debe contener un código de ética o de conducta

·         Debe contener las reglas y procedimientos específicos para evitar los ilícitos

·         Se deben realizar capacitaciones periódicas a todo el personal

Cada programa de integridad es como un “traje hecho a medida” para cada empresa en cuestión. Por eso el art. 23 agrega, que podrá contener los siguientes elementos:

·         Análisis periódico de riesgos y su adaptación al programa de integridad

·         Apoyo visible e inequívoco al programa por parte de la alta dirección y gerencia

·         Canales internos de denuncia

·         Políticas de protección a denunciantes contra represalias

·         Un sistema de investigación interna

·         Procedimientos para comprobar la integridad de terceros (socios, proveedores, distribuidores, prestadores de servicios, intermediarios, etc. Al momento de contratar los servicios y durante toda la contratación).

·         Monitoreo y evaluación continua del programa

·         Un responsable interno a cargo del desarrollo, coordinación y supervisión del programa de integridad (Compliance Officer)

La doctrina es pacífica en señalar que una de las principales claves del éxito de cualquier programa de integridad lo constituye el apoyo de la alta dirección de la empresa y la existencia de canales internos de denuncia de irregularidades que ofrezcan garantías de confidencialidad y anonimato.

En relación a las sanciones disciplinarias no hay que perder de vista lo dispuesto en los Convenios Colectivos de Trabajo.

POR QUÉ RESULTA IMPORTANTE ESTABLECER PROGRAMAS DE “COMPLIANCE” EN ESTABLECIMIENTOS DE SALUD

En primer lugar, porque los programas de integridad no sólo actúan como  sistemas de exención o atenuación de las penas en caso de  comisión de algún delito sino que lo más importante, es que actúan como sistemas de control de riesgos médico-legales, es decir, como un aporte más  para mejorar todo el sistema de seguridad del paciente relacionado con la atención sanitaria. Este programa de gestión, acredita que el establecimiento de salud tiene como principio preponderante el de la ética, basado en la cultura del cumplimiento y de las buenas prácticas. Recordemos la definición que da la ley de “programa de integridad”: ..“un conjunto de acciones, mecanismos y procedimientos internos  de promoción de la integridad, supervisión y control, orientados a prevenir, detectar, y corregir irregularidades y actos ilícitos comprendidos por esta ley” (lo subrayado es mío).

El principal concepto a considerar es que la seguridad no reside en las personas, sino que es una característica del sistema en su conjunto. Los errores deben analizarse desde la perspectiva de que se producen porque existen fallas en los componentes del sistema. Cuando se analizan los accidentes desde esa perspectiva, se suele comprobar que los mismos no se deben a una única falla, sino que casi siempre son el resultado de la combinación de múltiples errores (figura del “queso suizo” de J. Reason[2]) entre los que se distinguen deficiencias en la organización, procedimientos de trabajo, medios técnicos, condiciones laborales, etc.  

En el campo de la salud también es importante tener en cuenta para elaborar un programa de integridad, la normativa ética de nivel internacional como por ejemplo, los principios dados por la OMS[3]:

  • Integridad: comportarse de acuerdo con los principios éticos y actuar de buena fe, honestidad intelectual y equidad.
  • Rendición de cuentas: responsabilizarse de las propias acciones y decisiones y de sus consecuencias.
  • Independencia e imparcialidad: Actuar teniendo presentes solo los intereses de la OMS y bajo la sola autoridad del Director General, y velar por que las opiniones y convicciones personales no pongan en entredicho los principios éticos, obligaciones oficiales o los intereses de la OMS.
  • Respeto: respetar la dignidad, la valía, la igualdad, la diversidad y la intimidad de todas las personas.
  • Compromiso profesional: demostrar un grado elevado de profesionalidad y lealtad a la Organización, su mandato y objetivos.

 

Además de los errores que ya conocemos, que pueden ser institucionales y que producir lesión o complicación médica según las especialidades, hay delitos que podrían cometerse en el ámbito sanitario, como ser:

      Violación del secreto profesional

      Venta de datos personales

      Abandono de paciente

      Tráfico y trasplante ilegal de órganos

      Manipulación genética

      Tráfico de drogas

      Radiaciones ionizantes y daños ambientales

      Discriminación y acoso (delitos de género)

      Delitos contra la salud  pública

      Delitos tecnológicos

      Delitos contra la propiedad industrial e intelectual

      Blanqueo de capitales.

      Financiación ilegal de partidos políticos

      Contrabando

      Asociación ilícita, etc.

 

Un programa de compliance debe entonces buscar integrar a los riesgos de comisión de delitos en la empresa de salud, los de los eventos adversos relacionados con la seguridad de los pacientes para disponer de acciones preventivas que puedan beneficiarla, y a la vez le creen un compromiso que pondere la imagen y reputación de la empresa sanitaria. Sabemos que existen riesgos asociados a cada paciente y riesgos específicos de cada procedimiento médico que hacen que se produzcan eventos no deseados. Por tal motivo, la gestión de riesgos médico- legales por la que venimos bregando hace ya bastante tiempo como parte fundamental de la responsabilidad social empresaria que debe prevalecer en el ámbito privado de la salud,  debería formar parte de los programas de integridad.

 

LOS DESAFÍOS:   1) LA PROTECCIÓN DE DATOS PERSONALES; 2) EL SECRETO PROFESIONAL DEL ABOGADO INTERNO

 

Protección de datos personales: En nuestro país la introdujo la Ley N° 25.326[4], su Decreto Reglamentario[5], y el artículo 43 de la C.N. en cuanto incorpora en el texto constitucional la acción de hábeas data[6].

 

Teniendo en cuenta la gran cantidad de datos que originan las empresas, esta ley les da a las personas la posibilidad  de ejercer el control sobre sus datos personales y de esa forma, tutelar el derecho que tienen a que se les respete la confidencialidad de los mismos. Rige tanto para personas físicas como para las jurídicas.

 

La protección de datos está ligada al derecho a la intimidad (art. 19 de la CN) que incluye el de supervisar a quienes tienen la información. Por eso son clave en este tema  la transparencia en el manejo de los mismos, el desenvolvimiento de los bancos de datos y la participación de las personas, a fin de que el ser humano no termine convirtiéndose en un “conjunto de datos”.

 

Por otra parte debemos tener presente que en el área del Big Data, hoy en día los datos personales tienen una muy importante relevancia económica, son muy requeridos en una sociedad de consumo y por ende, esto termina teniendo consecuencias directas con el derecho a la privacidad de las personas. Un nuevo derecho nace entonces para los ciudadanos, que es el de exigir la transparencia en el manejo de los datos, a través de la existencia de códigos de conducta.

 

La ley establece, entre otras cosas que:

·         Los datos deben recolectarse en relación a la finalidad para la que se hubieran obtenido y, una vez que se produzca el cese de dicha finalidad, deben ser destruidos

·         Deben recolectarse de manera de que su titular pueda tener acceso a los mismos.

·         La recolección no debe hacerse por medios desleales o fraudulentos

·         El titular tiene derecho a que el usuario los rectifique, los suprima o los convierta en confidenciales cuando corresponda.

·         Prohibe la transferencia internacional de datos sin las medidas de protección adecuadas (disociación de datos).

·         Declara como “datos sensibles” los referidos a la salud, entre otros.

 

Lo cierto es que el “compliance” obliga a revisar todo lo que es materia de protección de datos ya que las empresas, productoras y usuarias de los mismos, deberán contener políticas específicas de privacidad más allá de lo que la ley dispone. La posibilidad de que exista en la organización, una posible violación a la normativa de protección de datos, debe tomarse dentro de la prevención de riesgos.

 

En Europa, existe la figura del “Data Protection Officer” que supervisa el cumplimiento y contralor de lo dispuesto por la legislación en materia de protección de datos. Como expresan algunos autores[7] es común que ciberseguridad y protección de datos personales no siga siendo administrado por el área de legales de las empresas, y lo sea por el área de compliance.

 

Cabe recordar que la Ley 25.326 sancionada en el año 2000 fue pionera en America Latina, y que en el año 2003 nuestro país fue designado por la Unión Europea como un país con un “nivel de protección adecuado de los datos transferidos desde la Comunidad”[8]. Hoy en día esta regulación por sí sola no alcanza; las casas matrices europeas están imponiendo estándares de protección superiores a sus filiales en nuestro país, lo que convierte en prácticamente obligatorias las normas europeas en esta materia.

 

El Reglamento UE 2016/679 del Parlamento Europeo que entró en vigencia en  Mayo de 2018 dispone en su art. 3 que: “1. El presente Reglamento se aplica al tratamiento de datos personales en el contexto de las actividades de un establecimiento del responsable o del encargado en la Unión, independientemente de que el tratamiento tenga lugar en la Unión o no. 2. El presente Reglamento se aplica al tratamiento de datos personales de interesados que residan en la Unión por parte de un responsable o encargado no establecido en la Unión, cuando las actividades de tratamiento estén relacionadas con: a) la oferta de bienes o servicios a dichos interesados en la Unión, independientemente de si a estos se les requiere su pago, o b) el control de su comportamiento, en la medida en que este tenga lugar en la Unión. 3. El presente Reglamento se aplica al tratamiento de datos personales por parte de un responsable que no esté establecido en la Unión sino en un lugar en que el Derecho de los Estados miembros sea de aplicación en virtud del Derecho internacional público”.

 

Esto hace conveniente que las empresas elaboren programas de privacidad integrales que tengan en cuenta dicha normativa, tomando así una perspectiva más global, ya que nada impide que en algún momento empresas locales también puedan generar una transferencia de datos desde o hacia el exterior, o tengan que contratar con empresas situadas en la Comunidad Europea.

 

Por lo pronto tenemos un anteproyecto de reforma a la ley[9] considerado a la altura de las leyes más avanzadas del mundo,  que busca mantener los estándares internacionales en nuestra legislación.  Entre otras cosas, el proyecto amplía la definición de datos sensibles con la incorporación de datos genéticos y biométricos.

Sobre el consentimiento, señala que debe ser previo, libre, específico, informado e inequívoco. Se incluye un artículo específico para los derechos de niñas, niños y adolescentes con el consentimiento lícito desde los 13 años. En este grupo, no se podrán tratar datos sensibles, salvo excepciones.

También se incorpora el concepto de “extraterritorialidad”, dentro del ámbito de aplicación, para los casos en que los responsables del tratamiento no se encuentran en el país.

 

El anteproyecto fue producto de un arduo trabajo llevado a cabo por la Dirección Nacional de Protección de Datos Personales y actores de la comunidad. A lo largo de este proceso se recibieron 173 opiniones, aportes y comentarios presentados por 123 participantes correspondientes a la ciudadanía en general, organizaciones de la sociedad civil, universidades e investigadores, sector privado y sector público nacional e internacional [10]

 

El abogado interno y el secreto profesional frente al “compliance”.

 

¿Qué sucede con el “secreto profesional” del abogado que ocupa el cargo de “Compliance Officer” dentro de la empresa? ¿Qué pasa si fuese citado como testigo en un procedimiento penal de la empresa en donde desempeña esa labor? ¿Se debe amparar en el derecho-deber del secreto profesional o colabora con la investigación para lo cual fue designado en un programa de integridad?

En nuestro país el secreto profesional del abogado se encuentra protegido a través de numerosas normas: arts 18 y 19 de la CN, art. 156 del C. Penal, art. 244 del CPP, art. 444 del CPCC, además de los Códigos de Etica de los distintos Colegios Profesionales. La Ley N° 23187 y el art. 10 del Código de Etica del CPACF se refieren a este punto.

A su vez  la jurisprudencia argentina con el conocido fallo “Halabi”[11]  declaró la inconstitucionalidad de una ley y de su decreto reglamentario por considerar que vulneraban las garantías de los arts. 18 y 19 de la CN, en cuanto autorizaban la intervención de comunicaciones telefónicas y por Internet. El argumento, al que adhirió el Colegio Público de Abogados de la Capital Federal (CPACF), no sólo refería a la violación de la intimidad y la privacidad individual, sino que ello también implicaba un menoscabo a la confidencialidad entre el abogado y su cliente.

Nuestra legislación y jurisprudencia no establece diferencias entre el abogado interno y el externo de la empresa, contemplando entonces, a mi entender, el derecho-deber del secreto profesional en ambos supuestos. Otros países como Francia e Italia sí establecen diferencias y no otorgan el privilegio del secreto profesional al abogado interno de la empresa en base a diferentes argumentos.

El debate sobre el tema del abogado in-house se inició en el año 2010 en Europa, a través de las sentencias en los casos AKSO (2010) y PUKE (2012) en donde se determinó que los abogados de empresas al ser dependientes y estar sujetos a una relación laboral, no gozaban del secreto profesional.

Reitero que la cuestión no es pacífica en Europa y el estándar de protección difiere entre los Estados Miembros; y que tanto el Tribunal de Justicia de la Unión Europea como el Tribunal Europeo de Derechos Humanos en su jurisprudencia, subordinan la confidencialidad a que el abogado sea “independiente”.

Como principio general, sería ilógico pretender que las empresas tengan que contratar abogados externos sólo para resguardar la confidencialidad y el secreto profesional. No obstante ello, algunos autores consideran al abogado interno como un “empleado” que actúa en forma exclusiva para un único “cliente”.

Comparto la posición de Gobbi[12]que sostiene que en nuestro derecho un abogado que trabaja en relación de dependencia mantiene su condición de abogado con todas las obligaciones y derechos inherentes a su profesión.

Otros autores como Goena Vives, en una posición menos formalista, toma en cuenta la función de la labor que ejercen, independientemente de la posición de “internos” o “externos”[13]. Para la autora el abogado interno asume muchas funciones y sólo alguna de ellas, como por ejemplo en casos de defensa procesal, estaría protegido por el secreto profesional; no así cuando actúa como gestor en cuyo caso le cabe el deber de información. En relación a su actuación como asesor jurídico, manifiesta la autora que el abogado se mueve en una zona gris.

Estimo por mi parte que quizás la diferencia la podamos encontrar entre aquellos abogados que trabajan en empresas y que están matriculados, de los que no lo están. Pero esto también es relativo ya que la función de todo abogado se vincula con la tutela judicial efectiva y sólo en tal medida se debe a su cliente; es un colaborador de la justicia, sea independiente o no.

Aunque el problema no quedaría zanjado,  luego de que Gobbi manifiesta en el  escrito citado más arriba, que por las dudas, no resulta conveniente que el abogado interno tenga la responsabilidad de hacer cumplir el compliance  (Compliance Officer). Con tales afirmaciones, como podemos apreciar, no tenemos la situación resuelta[14].

En Estados Unidos ha surgido la teoría del “work product” o “producto legal” a partir del leading case de la Corte Suprema de los EEUU sobre el derecho del abogado cliente en relación a las comunicaciones entre los empleados y los abogados internos de la empresa[15]. El Tribunal sostuvo allí la protección contra la divulgación de los documentos, producto de las “impresiones mentales” del investigador. Creo que con base en la protección como “propiedad intelectual” del abogado, más que por una confidencialidad intrínseca.  Lo cierto es que tales afirmaciones lograron que algunos autores[16]sostuvieran que el “work product” podría referirse a todo el trabajo incorporado en la carpeta de su cliente, que adquiere así la característica de “confidencial”.

Si lo comparáramos con el secreto profesional médico, podríamos afirmar que así como el secreto y la confidencialidad se guardan en la historia clínica, el secreto del abogado se preserva en la carpeta del cliente.

Otra cuestión a considerar, que resultaría de suma importancia a fin de despejar todo tipo de dudas, es si el secreto profesional protege al confidente, o al profesional que receptó el secreto. Volviendo a la analogía con otras disciplinas, el secreto profesional del médico por ejemplo, protege sin dudas al paciente, que de esta forma se encontrará en libertad de manifestarle todos sus síntomas, males y antecedentes suyos y de su familia, y así puede el galeno llegar a un diagnóstico más efectivo. Sería la contra cara del derecho a la confidencialidad que tiene el paciente. La doctrina se encuentra dividida en relación al abogado. Por otra parte la obligación de guardar secreto por parte del médico no es absoluta, puede ser dispensada por “una causa legal”. ¿Es también así en relación al abogado? Tampoco acá la doctrina no es pacífica.

Por todo lo expuesto es que se hace indispensable un debate sobre este desafío complejo que presenta la Ley de Responsabilidad Penal de las Personas Jurídicas, pues ha provocado un cambio fundamental: el traspaso a las empresas privadas de una función eminentemente pública, como lo es la prevención de delitos. Es por eso que en aras de garantizar la seguridad jurídica y unificar criterios,  será muy importante el papel de los códigos de ética y por ende, el de los Colegios Profesionales los los que deberían expedirse sobre estos temas.


[1] El Decreto 277/18-PEN le otorga a la Oficina Anticorrupción la capacidad de dictar guías para los programas de compliance

[2] REASON, James comparó los sistemas humanos a varias rebanadas de queso suizo que se apilan.

[3] Organización Mundial de la Salud OMS “Código de Etica y Conducta Profesional” de Abril de 2017http://origin.who.int/about/ethics/code_of_ethics_full_version.pdf

[4] Sancionada el 4/10/2000

[5] Decreto 1558/01 modificado por Decreto 1160/10

[6] Si bien la primera ley de confidencialidad de datos en nuestro país fue la Ley 24.766 sancionada en 1996, la misma se refiere exclusivamente a la protección de datos de prueba de los medicamentos innovadores y se dictó como complementaria de la ley de patentes.

[7] PALAZZI, Pablo A “Compliance y protección de datos personales”

[9] https://www.argentina.gob.ar/sites/default/files/proyecto_de_ley_de_proteccion_de_datos_personales_-_febrero_2023.pdf

[10] https://www.argentina.gob.ar/aaip/datospersonales/proyecto-ley-datos-personales

[11] “HALABI, Ernesto c. PEN – 25873-Dcto. 1563/04 s/amparo ley 16.986” – 24-2-09. Fallos:332:111

[12] GOBBI, Marcelo “Abogacía interna en la Argentina. Reflexiones a partir de una sentencia europea sobre confidencialidad de la comunicación entre clientes y abogados”- Revista del Colegio de Abogados de la Ciudad de Bs. As. T° 68 N°2 , 2008

[13] GOENA VIVES, Beatriz “El secreto profesional del abogado in-house en la encrucijada: tendencias y retos en la era del compliance” –Revista Electronica de Ciencia Penal y Criminología 2019, N° 21-19, pp. 1-26

[14] Los Chief Compliance Officer , como los que elaboran los programas deben ser abogados debido al conocimiento profundo de la normativa que deben poseer y porque deben llevar adelante las investigaciones. Es una tarea en la que deben empezar a formarse mis colegas.

[15][15] Upjohn v.United States, 449 US 383 - 1981

[16] LOPEZ MIRÓ, Horacio G.:”La prueba confesional, el privilegio de confidencialidad y el derecho de rehusarse a responder”, LL Litoral 1999, 515

No hay comentarios: