INTRODUCCIÓN

La acelerada digitalización de los servicios de salud en el Ecuador como es el caso de la historia clínica electrónica, la telemedicina, la interoperabilidad y el uso secundario de datos para la investigación, ha incrementado la recolección y circulación de datos especialmente sensibles. Aunque la Ley Orgánica de Protección de Datos Personales (LOPDP) determina las bases para la legalidad y reglas para el consentimiento, existen aún vacíos interpretativos y operativos que derivan en consentimientos inadecuados y tratamientos poco transparentes, con el riesgo de que exista una vulneración de los derechos en la práctica clínica y en el ecosistema sanitario digital (Asamblea Nacional del Ecuador, 2021).

Paralelamente la Ley Orgánica de Salud (2006) en el artículo 6 y 7 y la normativa sanitaria relacionada exigen el consentimiento informado clínico y la confidencialidad de la historia clínica, sin embargo, no siempre se articulan apropiadamente estas exigencias con los requisitos específicos del consentimiento para el tratamiento de datos personales previstos en la LOPDP, produciendo una brecha entre el consentimiento médico y el consentimiento para el tratamiento de datos personales, que aunque guardan relación, son dos instrumentos jurídicamente independientes, el primero vinculado a la práctica clínica y el segundo a la protección de datos en entornos digitales (Congreso Nacional del Ecuador, 2006).

En la bioética, el consentimiento informado está anclado al respeto de la autonomía y de la autodeterminación del paciente, su formulación se articula principalmente en los principios de Beauchamp y Childress (2019), relacionados a la autonomía, beneficencia, no maleficencia y justicia, que otorgan al consentimiento un papel de garantía frente a la simetría clínica y tecnológica.

En este campo han surgido modelos innovadores como es el caso del consentimiento dinámico, que facilita la participación continua del titular en proyectos sanitarios y de los investigadores, dando aporte a un paradigma útil para la práctica en el Ecuador (Kaye et al., 2019).

En el Reglamento General a la LOPDP (2023) se desarrollan aspectos operativos del consentimiento como por ejemplo la revocatoria, entendida como el derecho del titular a dejar sin efecto su consentimiento en cualquier momento y bajo procedimientos accesibles y equivalentes a los del otorgamiento inicial, y se refuerza el estándar de validez y prueba ha exigido el responsable, además de precisar las obligaciones de conservación, eliminación y anonimiza, los cuales son relevantes para las historias clínicas electrónicas y usos secundarios.

En el plano sanitario la Ley Orgánica de Salud (2006) íntegra el consentimiento informado clínico y el deber de confidencialidad, a su vez algunas normas de administrativas como el acuerdo ministerial AM-5216-2014 (información confidencial en el SNS), además, el AM-5316-2016 (Modelo de gestión del consentimiento informado) y la Agenda Digital de Salud 2023–2027, pues ambos se refieren al reglamento para el manejo de la historia clínica única, introduciendo lineamientos operativos del consentimiento en la práctica asistencial y digital, en el marco de la LOPDP (Congreso Nacional del Ecuador, 2006).

En Ecuador, la progresiva digitalización de los servicios sanitarias ha incrementado significativamente tanto la recolección como el movimiento de datos personales sensibles, fundamentalmente mediante la elaboración electrónica de las historias clínicas electrónica, los servicios de telemedicina y el uso circunstancial de datos. Aun cuando la LOPDP consagra principios y pautas para el consentimiento, aún existen vacíos tanto normativos como procedimentales que originan abordajes poco claros y consentimientos inapropiados. Este escenario arriesga de manera peligrosa los derechos de los pacientes en ambientes hospitalarios y digitales.

La débil coyuntura entre el consentimiento clínico y el consentimiento para tratar datos personales genera y supone una brecha legal debilitando las garantías de resguardo. Las normas sanitarias requieren y demandan privacidad y consentimiento informado, pero en oportunidades no se alinean con los respectivos esquemas de protección de datos. Esta separación procedimental restringe la validez de los derechos ampliamente reconocidos. Por tanto, urge la revisión y unificación de ambos espacios jurídicos.

De cara a este escenario, es forzoso investigar cómo se aplica actualmente el consentimiento en el tratamiento de datos de salud y cuáles limitaciones imposibilitan su aplicación de manera efectiva. La bioética contempla el consentimiento como una manifestación autonomía, sin embargo, su puesta en marcha en el ambiente digital demanda novedosos instrumentos y estándares, tales como el consentimiento dinámico. Del mismo modo, el Reglamento General a la LOPDP inserta la revocatoria y la anonimización, aun cuando su implementación en la práctica desafía retos. La ausencia de directrices claras y de unificación de las normativas sectoriales y de resguardo de datos imposibilita una gestión relacionada del consentimiento.

La presente investigación plantea reformas normativas como la formulación de guías operativas que refuercen en la práctica al consentimiento como un factor garante de derechos. Teniendo como objetivo el reconocimiento y la identificación de vacíos normativos y operativos para plantear mejoras que garanticen efectivamente la protección de los datos de salud desde la perspectiva de la LOPDP.

Ante esta realidad surgen interrogantes como las siguientes que deben ser respondidas a través de un proceso de investigación:

¿En el Ecuador, de qué forma está configurado e implementado el consentimiento para el tratamiento de datos de salud de los pacientes desde la perspectiva de la LOPDP ecuatoriana, y qué vacíos normativos y funcionales delimitan su valor como instrumento garante de derechos en ambientes clínicos y digitales?

MÉTODO

La investigación establece un enfoque documental, dogmático y comparado, desde la investigación descriptiva, que está orientado a describir y analizar las condiciones de validez del consentimiento para el tratamiento de datos de salud en el Ecuador (LOPDP y su Reglamento) y a su vez contrastar los estándares con el Reglamento General de Protección de Datos (RGPD) y las directrices del Comité Europeo de Protección de Datos (EDPB), apoyado de la doctrina bioética y de metodología jurídica.

En lo dogmático, se realiza la interpretación sistemática y teleológica de la LOPDP, especialmente poniendo atención a los artículos 7 referidos al tratamiento legítimo, 8 consentimiento, el 25 categorías especiales y los 30 a 32 referidos a los datos de salud, y en relación al reglamento general, los artículos 5 al 7, permitiendo de esta manera identificar los elementos constitutivos del consentimiento (libre, específico, informado, inequívoco; revocabilidad y prueba) y la proyección que tiene en los entornos clínicos y digitales (LOPDP, 2021; Reglamento LOPDP, 2023).

Con relación a la comparación, se toma como referencia al reglamento de la Unión Europea 2016/679 y su art. 7 (condiciones del consentimiento), art. 9 (categorías especiales, incluida salud) y art. 25 (protección de datos desde el diseño y por defecto) y las Directrices 05/2020 del EDPB relativos al consentimiento, destacando las convergencias y divergencias normativas que son relevantes para la práctica clínica y la salud digital (RGPD, 2016; EDPB, 2020). El análisis ha considerado la metodología de Zweigert y Kötz (1998) relacionado al derecho comparado, considerando función, método y trasplante de soluciones, con atención en la identidad de traslación al orden ecuatoriano.

En este sentido, es preciso resaltar que esta metodología es oportuna y acertada pues admite la comparación de procedimientos jurídicos desde un punto de vista funcional, determinando cómo diferentes normativas solventan problemas semejantes, facilitando la identificación de vacíos en la LOPDP y considerar integrar las buenas prácticas que en este sentido se han implementado a nivel internacional, lo cual refuerza y favorece el diseño de planteamientos normativos factibles de aplicar en Ecuador.

El método hermenéutico está apoyado en la teoría de argumentación y principios para resolver las colisiones de derechos, considerando salud y autodeterminación informativa, especialmente importantes ante categorías especiales como son la salud (Alexy, 2007).

Como criterios de selección de fuentes secundarias se han privilegiado las obras de artículos indexados o de editoriales de alta calidad en bioética y derecho de datos personales. En bioética se ha empleado el marco de Beauchamp y Childress (2019), relacionado a la autonomía y consentimiento. Con relación a la protección de datos se ha incorporado aportes contemporáneos que relacionan los problemas de las ficciones de consentimiento y proponen el rediseño regulativo, juntamente con propuestas de consentimiento dinámico para investigación biomédica.

Se puede reconocer limitaciones como la evolución reciente del ecosistema regulatorio y la disponibilidad de guías nacionales específicas para la salud digital y es por ello por lo que se han triangulado fuentes oficiales y directrices de europeas que son las que permiten reforzar la solidez del análisis normativo y la relevancia práctica.

RESULTADOS

Definición y características del consentimiento para el tratamiento de datos de salud en la LOPDP

En el ordenamiento jurídico ecuatoriano, la LOPDP(2021) define al consentimiento en el artículo 8 como la manifestación de voluntad libre, específica, informada e inequívoca a través de la cual, el titular le autoriza al tratamiento de los datos personales, su validez a su vez exige de forma precisa y esas cualidades y, además la posibilidad de revocarlo en cualquier momento a través de un procedimiento sencillo que es expedito y gratuito, sin ningún tipo de efecto retroactivo sobre los tratamientos guía realizados (LOPDP, 2021).

En el caso de pluralidad de finalidades, la autorización debe abarcar todas ellas, lo que impone separar y explicar finalidades en términos comprensibles para el titular (LOPDP, 2021). Estas exigencias son el núcleo mínimo de legalidad en el caso de que la base jurídica es el consentimiento, el correcto diseño y la documentación es fundamental en el ámbito sanitario debido al nivel de sensibilidad y al riesgo incremental de los datos de salud (LOPDP, 2021).

El Reglamento General a la LOPDP refuerza el estándar, es decir exige que el consentimiento sea una acción clara afirmativa, prohíbe presumirlo por silencio o inacción, reconoce el derecho de retirar el consentimiento en cualquier momento y de manera fundamental, establece la carga del responsable de demostrar que obtuvo un consentimiento válido cuando la autorización lo requiera (Reglamento LOPDP, arts. 5–6). La explicación reglamentada de la prueba del consentimiento y la asimetría en su retirada acerca el modelo ecuatoriano a las de exigencias del RGPD y constituyen componentes prácticos para auditorías internas e inspección en establecimientos de salud (RGPD, 2023).

En Ecuador, la LOPDP en Ecuador contempla una clasificación dual entre “datos de salud” (art. 25) y “datos sensibles”, requiriendo que el consentimiento para su tratamiento sea claro en el cumplimiento de los estándares más altos al respecto. Esta diferencia en la norma propone el reto de vincular apropiadamente el consentimiento con la reglamentación determinada para el tratamiento y excepciones establecidas en la ley, sobre todo en entornos sanitarios (LOPDP, arts. 25–31).

Específicamente, el artículo 31 exige consentimiento previo del titular en establecimientos de salud, indicando “siempre que sea posible”, anonimización o seudonimización, y añade una cláusula atípica relacionada a que el tratamiento de los datos de salud anonimizados debe ser autorizados previamente por la Autoridad de Protección de Datos Personales en la normative emitida para el efecto, presentando un protocolo técnico y un informe sanitario favorable. Esta exigencia última, inusual si la anonimización es auténtica, tiene alto impacto operativo para la investigación, la salud pública e interoperabilidad (LOPDP, 2021).

En entornos digitales como es el caso de la telemedicina, historia clínica electrónica, interoperabilidad con laboratorios o farmacias y los usos secundarios para la investigación o Inteligencia Artificial (IA) clínica, las características del consentimiento tendrían matices adicionales. Primeramente, la información previa debe especificar finalidades y tratamientos de forma central, como la provisión asistencial, un análisis de calidad, investigación futura, entrenamiento algorítmico, permitiendo al titular en el caso que sea jurídicamente viable, segundo, la trazabilidad de la obtención y de las revocación deben quedar auditadas tercero, el consentimiento no puede diluirse en textos muy extensos que confunden al acto clínico con los datos, sino que deben mostrarse de forma separada y con opciones claras.

Este tipo de exigencias responden a los patrones de RGPD, Como se indica en el artículo 7: “tan fácil retirarlo como darlo” y las Directrices 05/2020 del EDPB (clara acción afirmativa; prohibición del consentimiento por silencio; transparencia y prueba), Mismas que constituyen buenas prácticas que pueden ser trasladables al ecosistema ecuatoriano (RGPD, 2016; EDPB, 2020).

Por tanto, en la LOPDP el consentimiento para datos de salud debe ser libre, específico, informado e inequívoco, revocable y probado por el responsable; cuando se opere sobre categorías especiales, y particularmente salud, se impone una cautela reforzada que, en la práctica, demanda formularios claros y separados, registro electrónico de la voluntad y mecanismos simétricos de revocación. La coexistencia de reglas de salud (arts. 30–32) con las de sensibles (art. 26) exige adoptar el estándar más protector (consentimiento explícito cuando proceda), junto con medidas organizativas y técnicas (anonimización/seudonimización, minimización, privacidad desde el diseño), los cuales permitan asegurar que el consentimiento no sea solamente un trámite, sino una garantía efectiva en el contexto sanitario digital (LOPDP, 2021; Reglamento LOPDP, 2023; (Parlamento Europeo y Consejo de la Unión Europea, 2016).

Marco normativo ecuatoriano aplicable a los datos de salud

El régimen ecuatoriano relativo a la protección de datos personales estructura el tratamiento de datos de salud desde tres puntos normativos: 1. la Ley Orgánica de Protección de Datos Personales (LOPDP), la cual establece las bases de la licitud, requisitos del consentimiento y un capítulo específico para categorías especiales y salud; 2. el Reglamento General a la LOPDP, mismo que desarrolla condiciones operativas del consentimiento, definiciones sectoriales y obligaciones de gestión del riesgo y 3. la normativa sanitaria (Ley Orgánica de Salud y acuerdos ministeriales), la cual regula el consentimiento clínico, la confidencialidad y la gestión de la historia clínica, aspectos que deben articularse con la LOPDP, con el fin de evitar zonas grises en la práctica asistencial y digital (LOPDP, 2021; Reglamento LOPDP, 2023; LOS, 2006). (Asamblea Nacional del Ecuador, 2021; Presidencia de la República del Ecuador, 2023).

Como bases de legalidad y consentimiento, considerando los artículos 7 y 8 de la LOPDP, se establece que el tratamiento es legítimo y si concurre alguna base de licitud, entre ellas, el consentimiento, obligación legal, orden judicial, misión en interés público, contrato, intereses vitales, fuentes de acceso público e interés legítimo (art. 7). En materia sanitaria, la coexistencia de bases como intereses vitales y misión en interés público refuerza la continuidad asistencial y de salud pública, sin embargo, exige una ponderación estricta cuando el dato es de salud. El artículo 8 define el consentimiento como libre, específico, informado e inequívoco, revocable en todo momento, y exige que, cuando existan múltiples finalidades, el consentimiento debe abarcar todas ellas con transparencia (LOPDP, 2021). (LOPDP, 2021).

Las categorías de especiales y salud, de los artículos 25–26 y 30–32 de la LOPDP establecen un título específico para categorías especiales de datos y distingue, de manera expresa, datos de salud como categoría propia, juntamente con datos sensibles, niños /adolescentes y discapacidad. Para los datos sensibles, cuando la base sea el consentimiento, este debe ser explícito, además la ley prevé excepciones tasadas como es el caso laboral, seguridad social, intereses vitales, datos hechos manifiestamente públicos, orden judicial e investigación científica/estadística bajo garantías) (LOPDP, 2021). En el capítulo sanitario el artículo 30 habilita a las instituciones del Sistema Nacional de Salud y a profesionales a tratar los datos de salud acorde a la LOPDP y la legislación sanitaria, imponiendo el deber de confidencialidad y de medidas técnicas-organizativas apropiadas.

En este sentido, el artículo 31 establece parámetros mínimos en el establecimiento de salud, el titular debe brindar consentimiento previo, salvo en los supuestos como intereses vitales o fines de medicina preventiva sanitaria bajo secreto profesional y “siempre que sea posible”, se exige anonimización o seudonimización. De forma atípica, el artículo 31 dispone que el tratamiento de datos de salud anonimizados requiere previa autorización de la autoridad, con protocolo técnico e informe sanitario favorable, umbral que impacta investigación y calidad asistencial. Estas previsiones se completan mediante referencias a interés público en salud pública y a calidad y seguridad a la asistencia (LOPDP, 2021).

Desde el punto de la privacidad, el diseño y evaluación de impacto, la LOPDP incorpora un deber de protección de datos desde el diseño y por defecto, el cual obliga a limitar por defecto los datos al mínimo necesario y a implementar medidas técnicas y organizativas desde la concepción de proyectos, como por ejemplo la historia clínica electrónica, telemedicina o interoperabilidad. El reglamento desarrolla herramientas de gestión del riesgo llévalo oración del impacto, las mismas que se configuren como instrumentos de prevención con el fin de identificar y mitigar los riesgos previo a tratar datos de salud a mayor escala. Estas obligaciones son críticas en circuitos sanitarios digitalizados (LOPDP, 2021; Reglamento LOPDP, 2023).

Reglamento General: consentimiento, prueba y “silencio no es consentimiento”.

En la práctica, el reglamento general a la LOPDP hace énfasis en la forma de obtener un consentimiento válido cuando hay esa sola base jurídica que se prevé en el artículo 7. Exige una señal clara y activa del paciente, como marcar una casilla vacía, firmar, pulsar “acepto” tras una explicación breve y comprensible. No admite que el acuerdo se interfiera por omisión o por casillas preparadas y tampoco el silencio es consentimiento.

Además, traslada al responsable del tratamiento una tarea concreta como es el poder demostrar que el consentimiento se obtuvo correctamente cuando la autoridad lo requiera. En la práctica esto implica conservar una pista de auditoría, es decir fecha, canal, versión del texto mostrado, identidad del firmante y finalidades que autorizó.

El consentimiento tampoco es definitivo, es decir debe poder retirarse en cualquier momento de forma sencilla y sin costo. En entornos digitales, esto se traduce en ofrecer un mecanismo visible para revocar y que el sistema deje usar los datos para las finalidades revocadas, dejando constancia de la decisión.

Por último, el reglamento define “datos relativos a la salud” de forma amplia. Esto facilita a los hospitales y proveedores tecnológicos el poder identificar cuándo se trata de categorías especiales en los términos del artículo 25, por ejemplo: información clínica, resultados de pruebas, datos genéticos o muestras biológicas y activar de esta manera salvaguardas reforzadas (Reglamento LOPDP, 2023).

Normativa sanitaria: consentimiento clínico, confidencialidad e historia clínica. Conviene distinguir 2 planos que se complementan. El primero el consentimiento clínico autoriza el procedimiento médico, con riesgos, beneficios, alternativas y suele ser documentado por escrito cuando el acto lo requiere. Segundo, el consentimiento de protección de datos autoriza el uso de la información personal, generada a través de este acto, como historia clínica, exámenes, imágenes, informes, etc. y, cuando se utilice como base debe cumplir lo que está previsto en el artículo 7 de la LOPDP.

Las reglas sanitarias refuerzan la autonomía del paciente y la confidencialidad de la historia clínica única. Para que esto en la práctica digitar tenga función real, los formularios clínicos deberían integrar cláusulas claras sobre qué datos se tratarán, para qué, que sea asistencia, docencia, calidad, investigación, con quién se compartirá esta información ya sea laboratorios, aseguradoras, redes integradas y como el paciente puede revocar estas autorizaciones. Paralelamente, los establecimientos deben asegurar la custodia, acceso restringido y trazabilidad de la historia clínica sobre quién accedió, cuándo y con qué propósito, atendiendo al hecho de que la salud es una categoría especial del artículo 25 (MSP, 2015; MSP, 2016).

Historia Clínica Electrónica y lineamientos digitales.

Las políticas públicas impulsan la historia clínica electrónica (HCE) y la interoperabilidad. Los beneficios asistenciales son muy importantes, pero también incrementan las exigencias como son minimizar datos, perfilar accesos por rol, registrar toda consulta o descarga y realizar evaluaciones del impacto cuando el tratamiento sea de alto riesgo, por ejemplo, en el caso de la analítica poblacional o entrenamientos de modelos de IA.

La historia clínica electrónica debe nacer con privacidad desde su diseño, con información breve y clara, con sentimientos separados y específicos por fiabilidad, además la facilidad para retirar el consentimiento y registros que demuestren la recepción de las decisiones del titular. Dado que el tratamiento abarca datos incluidos en el artículo 25, estas garantías no son accesorias, sino que son la condición para un despliegue digital seguro y legítimo (Ministerio de Salud Pública del Ecuador (MSP), 2023).

Coordinación institucional y rol de la Autoridad

La autoridad de protección de datos personales cumple con tres funciones decisivas para el sector de la salud que son: orientar e interpretar, es decir emitir guías sobre el consentimiento, lo cual corresponde a la base del artículo 7 y otros requisitos particulares del ámbito sanitario incluyendo aclaraciones respecto a las exigencias especiales que actualmente son vigentes, por ejemplo, los supuestos en que se invoca “anonimización”. También, sancionar y supervisar, manteniendo registros, con medidas correctivas y sancionando incumplimientos. Esto promueve homogeneidad de prácticas entre hospitales, laboratorios, aseguradoras y proveedores tecnológicos. Además, profesionalizar el cumplimiento, impulsando códigos de conducta sectoriales, esquemas de certificación y la incorporación sistemática de evaluaciones de impacto en la Historia Clínica Electrónica (HCE), telemedicina e interoperabilidad. Así, el objetivo no es solamente sancionar, sino que se estandarice y acompañen para que toda la red sanitaria tenga una convergencia hacia un nivel de cumplimiento comparable (LOPDP, 2021; Reglamento LOPDP, 2023).

Es así como, en el Ecuador, el tratamiento de datos de salud puede ser apoyado en distintas bases de licitud, acorde al artículo 7, sin embargo, cuando se opte por el consentimiento, el mismo debe ser claro, informado, específico, revocable y demostrable. La ley de salud asegura de esta manera el consentimiento clínico y la confidencialidad, la LOPDP y su Reglamento Añade en el enfoque de la protección de datos con énfasis especial en el caso de que se trata de categorías del artículo 25 relativo a la salud.

Marco normativo europeo y comparación con Ecuador

En la Unión Europea, el RGPD ofrece un guion práctico para el consentimiento en la salud, de manera que debe ser libre, informada, específica y clara, estar separada de otros trámites, además el responsable debe poder probar que lo obtuvo y el titular puede retirarlo con la misma facilidad que la dio. Es así como la salud se trata como categoría especial por lo que rige una regla estricta con excepciones tasadas (asistencia, salud pública, investigación, o consentimiento explícito). Además, en el caso que los datos estén verdaderamente anonimizados, el RGPD no se aplica. Este conjunto ha servido en Europa como un estándar operativo y especialmente en entornos clínicos y digitales (Parlamento Europeo y Consejo, 2016).

Las Directrices 05/2020 del EDPB traducen ese estándar a instrucciones concretas con lo cual el consentimiento exige una acción afirmativa, sin silencios o casillas marcadas por defecto, debe ser granular y por finalidad irrevocable de forma sencilla, además la carga de la prueba recae en el responsable. Estas pautas son trasladables de forma fácil a formularios clínico-digitales y a plataformas de telemedicina, en donde sin claridad y trazabilidad el consentimiento puede volverse ficción (EDPB, 2020).

En datos de salud, el RGPD funciona con una lógica dual, Además de una base del artículo 6, por ejemplo, el interés público, asistencial o contrato, que requiere una excepción del artículo 9, como consentimiento explícito, Asistencia bajo secreto profesional, salud pública o investigación con garantías. Las Directrices 03/2020 del EDPB (nacidas en COVID-19, pero de valor general) señalan que el consentimiento explícito es una opción, no la única, cuando existen finalidades sanitarias legítimas y bien garantizadas (EDPB, 2020b).

La exigencia de privacidad desde el diseño y por defecto tiene guía técnica propia (Directrices 4/2019), las cuales buscan minimizar datos, configurar por defecto el acceso más restrictivo, seudo/anonimizar con rigor, probar medidas y dejar traza de cumplimiento. La Agencia Española de Protección de Datos (AEPD) complementa con una guía operativa que baja estos principios a configuraciones concretas, muy útiles para historias clínicas de electrónicas y telemedicina (EDPB, 2019; AEPD, 2020).

Se puede analizar cómo esta normativa se diferencia con la del Ecuador:

1.En la claridad categorial. En la unión europea la salud está plenamente dentro de las categorías de especiales y se evita la duplicidad. En Ecuador, conviven “sensibles” y “salud”, lo que puede generar dudas acerca del consentimiento si es de explícito cuando se elige esa base, en el modelo europeo existe mayor nitidez y facilita la exigibilidad práctica (Parlamento Europeo y Consejo, 2016; LOPDP, 2021).

2.Interés legítimo. En la unión europea no se tratan datos de salud amparados en interés legítimo sin encajarlos además en una excepción del artículo 9; en el Ecuador el interés legítimo aparece como base general sin exclusión expresa para la salud, lo cual genera la necesidad de una lectura restrictiva (Parlamento Europeo y Consejo, 2016; LOPDP, 2021).

3.Anonimización. El considerando 26 del RGPD excluye del ámbito de aplicación los datos verdaderamente anónimos. En la LOPDP ecuatoriana, aunque la norma distingue de forma expresa entre anonimización y seudonimización en el artículo cuatro, se establece en el artículo 25 la exigencia de autorización previa inclusive en el uso de datos anonimizados, lo cual resulta atípico frente al estándar europeo y puede generar obstáculos en proyectos de investigación y en proyectos de mejora de la calidad sanitaria. Las guías europeas insisten en distinguir anonimización de seudonimización y evaluar el riesgo de reidentificación sin exigir permisos ex ante en casos donde la anonimización es auténtica (Parlamento Europeo y Consejo, 2016; AEPD, 2020).

La UE, además ha creado el Espacio Europeo de Datos de Salud (EHDS) a través del Reglamento (UE) 2025/327, en el que se establecen reglas y gobernanza sectorial para el uso primario y secundario de datos sanitarios de electrónicos con interoperabilidad, transparencia y accesos seguros. Esto no sustituye al RGPD, sino que lo complementa y marca una pauta de reutilización que Ecuador puede observar al diseñar políticas de HCE e interoperabilidad (Unión Europea, 2025).

Doctrina y lineamientos propositivos

En la teoría jurídica contemporánea, el consentimiento enfocado al tratamiento de datos de salud se entiende como una garantía fundamental que articula la autodeterminación informativa del paciente con el funcionamiento del sistema sanitario. La legitimidad descansa en condiciones materiales, como la libertad real de elección, información suficiente, especificidad irrevocabilidad, y en diseños institucionales que puedan evitar convertir en una ficción. La doctrina bioética, considerando autonomía, beneficencia, no maleficencia, justicia, sostiene esta estructura, ubicando al consentimiento como una salvaguarda frente a las asimetrías clínicas y tecnológicas (Beauchamp y Childress, 2019).

A nivel regulatorio, la experiencia europea a densificado los estándares operativos del consentimiento, con una acción afirmativa clara, la separación en relación con otros actos, retirada tan fácil como el otorgamiento y carga del responsable de demostrar su validez. Estas exigencias que actualmente son ampliamente aceptadas por las autoridades ofrecen un parámetro útil para la evaluación y perfeccionamiento de la práctica ecuatoriana en salud digital (EDPB, 2020).

La literatura señala que, al trasladar todo el peso de la protección a las decisiones individuales, se produce una “fatiga del consentimiento” y asimetrías que vacían de contenido la elección del paciente, es por ello por lo que se aboga por enfoques que estén centrados en el diseño el riesgo y el uso que complementen y no sustituyan el consentimiento como pilar (Solove y Schwartz, 2024).

Desde el punto de vista del derecho internacional y la política pública, instrumentos como son la Recomendación de la Organización para la Cooperación y el Desarrollo Económicos (OCDE) relativo a la Gobernanza de Datos de Salud y la Estrategia Mundial de Salud Digital de la Organización Mundial de la Salud (OMS) reiteran que se requieren usos primarios y secundarios de datos con garantías como son la transparencia, rendición de cuentas, seguridad, evaluación de impacto, con ello se ubica el consentimiento como parte de una arquitectura de protección más amplia (OECD, 2022; OMS, 2021).

Una base ético-jurídica adicional proviene del Consejo de Organizaciones Internacionales de Ciencias Médicas (CIOMS) (2016) y de la Declaración de Helsinki (2013), En los que se reafirmó los deberes de información comprensible, especialmente con cuidado a grupos vulnerables y control de usos secundarios de datos de investigación. La Declaración Universal sobre Bioética y Derechos Humanos (Asociación Medica Mundial, 2013; UNESCO, 2025).

Por su parte integra la autonomía y el consentimiento enclave de derechos humanos, reforzando el estándar de respeto a la dignidad y la no discriminación (CIOMS, 2016).

En materia categorial, el marco del Consejo de Europa, el Convenio 108+ y Recomendación CM/Rec (2019) sobre datos de salud, se refuerza la idea de que la salud exige un estatus reforzado, clarificando salvaguardas para reutilización, investigación y salud pública, y ofreciendo guías útiles para sectores como laboratorios, aseguradoras y plataformas de telemedicina (CoE, 2018/2019) (Consejo de Europa, 2018/2019).

Desde esta base doctrinal y comparada y el análisis correspondiente realizado, se proponen algunos lineamientos para el marco normativo ecuatoriano:

Unificación práctica del consentimiento clínico y del consentimiento de datos.

Es decir, diseñar un instrumento integral, tanto físico como digital que pueda documentar en un mismo flujo el consentimiento clínico y el consentimiento de protección de datos, con secciones que estén claramente separadas para las finalidades primarias como asistencia y secundarias como docencia, calidad e investigación, con plazos de conservación, transferencias y un mecanismo de revocación que sea tan fácil retirar como otorgado. Esta solución permite alinear la práctica clínica con estándares EDPB y reduce la invalidez por consentimientos integrados que puedan ser ambiguos.

Estándar reforzado para datos de salud: consentimiento “explícito” cuando la base sea el consentimiento.

Ante el solapamiento LOPDP entre “sensibles” y “salud”, se debe adoptar por interpretación administrativa y en lo posible por reforma legal, que siempre que esté fundado un tratamiento de salud en el consentimiento, este debe ser explícito y granular y que, para usos que no sean estrictamente asistenciales, se justifica además la necesidad y proporcionalidad. Para ello el modelo europeo (art. 9 RGPD) puede servir de guía para eliminar esta ambigüedad (Parlamento Europeo y Consejo, 2016). (Parlamento Europeo y Consejo, 2016).

Exclusión expresa (o presunción de inidoneidad) del “interés legítimo” para datos de salud.

Emisión de un criterio vinculante de la autoridad o reforma a la LOPDP para el excluir el interés legítimo como base de tratamientos de salud, salvo que se produzca una excepción sanitaria específica con garantías, en armonía con la estructura del art. 9 RGPD, esto podrá brindar certeza a los hospitales, aseguradoras y proveedores de telemedicina y evita prácticas inapropiadas.

Reforma de la cláusula sobre “datos de salud anonimizados”.

Sustituyendo la autorización previa general por una prueba de riesgo de reidentificación, si el conjunto es verdaderamente anónimo, debe quedar fuera del ámbito de la LOPDP, mientras que en el caso de ser seudonimizado o existe riesgo no residual de reidentificación, debe haber garantías, por ejemplo, de la gestión de claves, aislamiento funcional, controles de acceso, auditoría y, en su caso, autorización sectorial. Para ello las Guías de AEPD/EDPS y trabajos de la Agencia de la Unión Europea para la Ciberseguridad (European Union Agency for Cybersecurity) ENISA ofrecen criterios técnicos que pueden ser considerados (Considerando 26 RGPD; AEPD-EDPS, 2021).

“Privacidad desde el diseño y por defecto” operativizada en sanidad.

Exigir EIP (evaluación de impacto) para HCE, telemedicina, interoperabilidad y reutilización con IA; minimización y configuración por defecto restrictiva; seudonimización/anonimización robusta; controles de acceso por función clínica; registro de accesos y de decisiones de consentimiento; y pruebas de efectividad periódicas. Las Directrices 4/2019 del EDPB y guías de autoridades europeas brindan listas de verificación y buenas prácticas aplicables (EDPB, 2020; AEPD, 2020).

La gestión dinámica del consentimiento y experiencia del paciente.

Es decir, adoptar interfaces de consentimiento dinámico, con paneles de preferencias revocables, avisos por capas, los cuales permitan decisiones continuas y granulares acerca del uso secundario con lenguaje claro y opciones diferenciadas. La evidencia académica muestra que esta aproximación mejora la agencia y la confianza social en investigación y salud digital (Nissenbaum, 2010)

Códigos de conducta y certificación sectorial en salud.

Con promoción de códigos de conducta específicos para los hospitales redes integradas de atención, laboratorios, aseguradoras y plataformas de telemedicina, que dispongan de métricas auditables sobre el consentimiento y gobernanza de los datos, paralelamente esquemas de certificación que puedan integrar los requisitos de consentimiento, seguridad y trazabilidad. La experiencia europea, especialmente mediante el RGPD/EDPB) y la OCDE ofrecen marcos que pueden ser replicables relativos a la responsabilidad proactiva (accountability) (EDPB, 2020; OECD, 2022).

Gobernanza para uso secundario de datos de salud.

Se puede considerar el Espacio Europeo de Datos de Salud (EEDS) para crear ventanillas y procedimientos que habiliten el uso secundario (investigación, evaluación de calidad, políticas públicas) con transparencia, acceso controlado y trazabilidad, sin erosionar el consentimiento ni la confianza del paciente (UE, 2025). (Unión Europea, 2025).

DISCUSIÓN

Los hallazgos muestran que existe una brecha entre la normativa ecuatoriana y los estándares más operativos que consolida la Unión Europea, con efectos directos relacionados a la validez y exigibilidad del consentimiento en salud digital. En la Unión Europea (UE), el RGPD exige libre consentimiento, especifico, informado e inequívoco, separado de otros actos, hacerlo tan fácil derretirán como de otorgar y obliga al responsable a demostrar su obtención vale (Parlamento Europeo y Consejo, 2016; EDPB, 2020). En el Ecuador, aunque la LOPDP recoge los aspectos centrales conceptuales, y el reglamento detalla los requisitos operativos, como acción la acción afirmativa, el silencio no es igual al consentimiento, la prueba y revocación, existen aún zonas oscuras como la doble categorización sensibles-salud, la eventual invocación del interés legítimo y la autorización previa para “datos de salud anonimizados” (LOPDP, 2023; Presidencia de la República del Ecuador, 2023).

La evidencia comparada respalda que la salud debe ser tratada como una categoría especial única con salvaguardas reforzadas, evitando el solapamiento qué diluyan el estándar del consentimiento, en el caso que sea la base elegida, hacia la exigencia de consentimiento explícito y granular (Parlamento Europeo y Consejo, 2016). Además, el uso del interés legítimo se considera inidóneo para datos del art. 9 RGPD, lo cual sugiere en Ecuador una interpretación que es restrictiva o exclusión expresa para el tratamiento sanitarios, reservando así otras bases o excepciones sanitarias con garantías (EDPB, 2020; Parlamento Europeo y Consejo, 2016).

Este alineamiento lograría que sea más predecible la práctica hospitalaria, de aseguradoras y de plataformas de telemedicina en relación con la anonimización, la doctrina regulatoria europea distingue con precisión los datos que son verdaderamente anónimos de los seudonimizados, los cuales todavía son personales y están sujetos a garantías. Las guías técnicas recomiendan la evaluación del riesgo de re-identificación y documentar medidas, sin exigir autorizaciones ex ante para conjuntos que sean realmente anónimos (AEPD, 2020). En contraste, la LOPDP introduce una autorización previa para “anonimizados”, la cual podría desincentivar la investigación, salud pública y mejora de calidad asistencial. La evidencia comparada respalda la reformulación hacia una prueba de riesgo y salvaguardas proporcionadas (LOPDP, 2023; AEPD, 2020).

Algunos organismos internacionales coinciden en que el consentimiento debe integrarse como una arquitectura de gobernanza más amplia, con el fin de sostener los usos primarios y secundarios con legitimidad social (OECD, 2022). Estas pautas se tornan críticas anteproyectos de historia clínica electrónica e interoperabilidad, en los cuales la responsabilidad proactiva exige la prueba del consentimiento y sus límites, así como la gestión de accesos, conservación y revocación.

La literatura académica señala la necesidad de un mejoramiento en la experiencia del titular y combatir la “fatiga del consentimiento” en entornos digitales. Los modelos de consentimiento dinámico a través del uso de interfaces de preferencias revocables, tales como avisos por capas han demostrado un potencial para incrementar la confianza, principalmente en la investigación biomédica y pueden ser adaptados a los conceptos clínicos en el Ecuador (Kaye et al., 2015); (Prictor, 2020). La adopción de estos modelos, combinada con guías sectoriales de la autoridad, podrían contribuir a cerrar la distancia entre la ley y la práctica.

Finalmente, la agenda europea más reciente como es el Espacio Europeo de Datos de Salud permite una referencia para habilitar el uso secundario de datos con gobernanza reforzada, transparencia y acceso seguro, sin dañar las garantías del consentimiento (Comisión Europea, 2025).

La adopción a nivel de Ecuador de este tipo de conocimientos y elecciones, con los respectivos ajustes a la realidad institucional, podrían fortalecer el marco nacional, protegiendo finalmente los derechos sin frenar la innovación en la salud.

CONCLUSIONES

A través de la presente investigación ha sido posible confirmar que el consentimiento para el tratamiento de datos de salud en el Ecuador dispone de un armazón normativo suficiente en sus enunciados básicos, sin embargo, es insuficiente en su operatividad. La doble categorización sensibles-salud, la ausencia de exclusión expresa del interés legítimo y la autorización previa para anonimizado producen incertidumbre y prácticas dispares en las clínicas, hospitales, aseguradoras y plataformas de salud digital. De la misma forma, el Reglamento de la LOPDP aproxima al estándar ecuatoriano a las mejores prácticas al exigir acción afirmativa, prueba y revocación, sin embargo, también requiere ser reforzado a nivel de ley.

Al comparar la normativa con la que dispone la unión europea, se puede aportar una hoja de ruta más clara, como es la unificación categorial, la prohibición funcional del interés legítimo para salud, la anonimización basada en riesgo y una aplicación decidida de privacidad desde el diseño con evaluaciones de impacto. La doctrina y los organismos internacionales coinciden también en que el consentimiento debe coexistir con las respectivas salvaguardas técnicas y organizativas verificables y con modelos de gestión que estén centrados en el titular.

Por tanto, se propone integrar el consentimiento clínico y el de datos en instrumentos únicos, claros y auditables, además elevar a rango legal la carta de la prueba y la separación del consentimiento, reformular la cláusula de “anonimizados” y finalmente promover guías sectoriales, códigos de conducta y certificaciones. Con estas medidas será posible convertir el consentimiento en una garantía efectiva, habilitando simultáneamente el uso legítimo de datos para asistencia, calidad e investigación, como una mayor seguridad jurídica y confianza social.

FINANCIAMIENTO

No monetario.

AGRADECIMIENTO

A todos los factores sociales que influyeron en el desarrollo de esta investigación.

REFERENCIAS CONSULTADAS

Asamblea Nacional del Ecuador. (2021). Ley Orgánica de Protección de Datos Personales. Registro Oficial Suplemento N.º 459, 26-05-2021 (Ecuador). https://n9.cl/mv7ow

Agencia Española de Protección de Datos (AEPD). (2020). Guía de protección de datos por defecto. https://n9.cl/3eqsl

Alexy, R. (2007). Teoría de los derechos fundamentales (2.ª ed., trad. C. Bernal). Centro de Estudios Políticos y Constitucionales. https://n9.cl/78p30z

Asociación Médica Mundial (2013).La Declaración de Helsinki. https://n9.cl/ptcvt

Beauchamp, T., y Childress, J. (2019). Principles of biomedical ethics (8th ed.). Oxford University Press. https://n9.cl/7tk3v

Comité Europeo de Protección de Datos (EDPB). (2020). Guidelines 05/2020 on consent under Regulation 2016/679. https://n9.cl/4n3f76

Kaye, J., Whitley, E., Lund, D., Morrison, M., Teare, H., y Melham, K. (2019). Dynamic consent: A patient interface for twenty-first century research networks. European Journal of Human Genetics, 23(2), 141–146. https://n9.cl/bf3jh

Asamblea Nacional del Ecuador. (2006). Ley Orgánica de Salud. Registro Oficial Suplemento N.º 423, 22-12-2006 (Ecuador). https://n9.cl/xwwdko

Ministerio de Salud Pública del Ecuador (MSP). (2015). Acuerdo Ministerial N.º 5216: Reglamento para el manejo de información confidencial en el Sistema Nacional de Salud. https://n9.cl/i3y1tf

Ministerio de Salud Pública del Ecuador (MSP). (2016). Acuerdo Ministerial N.° 5316: Modelo de gestión del consentimiento informado en salud. Quito: MSP. https://n9.cl/25re2

Ministerio de Salud Pública del Ecuador (MSP). (2023). Agenda Digital de Salud 2023–2027. https://n9.cl/pku1uc

Nissenbaum, H. (2010). Privacy in Context: Technology, Policy, and the Integrity of Social Life. Stanford University Press. https://n9.cl/l8y33e

Organización Mundial de la Salud (OMS). (2021). Global strategy on digital health 2020–2025. World Health Organization. https://n9.cl/sxpp1y

Organización para la Cooperación y el Desarrollo Económicos (OECD). (2022). Health Data Governance: Privacy, monitoring and security. OECD Publishing. https://acortar.link/R2fhXK

Parlamento Europeo y Consejo de la Unión Europea. (2016). Reglamento (UE) 2016/679 (RGPD). Diario Oficial de la Unión Europea L119/1. https://n9.cl/qa1w6

Presidencia de la República del Ecuador. (2023). Reglamento General a la Ley Orgánica de Protección de Datos Personales (Decreto Ejecutivo 904). https://n9.cl/sv3ly

Prictor, M. e. (2020). Dynamic Consent: An Evaluation and Reporting Framework. Journal of Empirical Research on Human Research Ethics, 15(3):175-186. https://n9.cl/i9a73h

Solove, D., y Schwartz, P. (2024). Privacy Law Fundamentals (7th ed.). IAPP. https://n9.cl/48qhk

UNESCO. (2025)(2005). Universal Declaration on Bioethics and Human Rights. https://n9.cl/0bbkm

Unión Europea. (2025). Reglamento (UE) 2025/327 relativo al Espacio Europeo de Datos de Salud (EEDS). https://n9.cl/1tb4c

Zweigert, K., y Kötz, H. (1998). An introduction to comparative law (3rd ed., trans. T. Weir). Oxford University Press. https://n9.cl/ygtqz

©2025 por los autores. Este artículo es de acceso abierto y distribuido según los términos y condiciones de la licencia Creative Commons Atribución-NoComercial-CompartirIgual 4.0 Internacional (CC BY-NC-SA 4.0) (https://creativecommons.org/licenses/by-nc-sa/4.0/).