Salud presiona solo a una clínica psicológica para entrega de datos sensibles de pacientes
El Ministerio de Salud confirmó que solo una clínica de salud mental en el país recibió una orden sanitaria por negarse a entregar datos personales de pacientes atendidos por depresión e intentos de suicidio, según la obligación de notificar eventos de salud mental vigente desde 2017.
Se trata de la clínica Poïesis, que cuestionó la seguridad del canal utilizado para remitir esa información.
Ante la consulta de este medio sobre cuántos centros médicos, clínicas o profesionales independientes enfrentan órdenes similares, la respuesta fue clara: "Solo se reporta una".
La obligación de notificar eventos de salud mental rige desde 2017 para todos los establecimientos de salud. Sin embargo, en nueve años, solo Poïesis fue sancionada. Ocurrió después de plantear dudas sobre quién recibe los datos sensibles y cómo se resguardan.
La clínica no se negó a reportar
Carlos Bonilla, director del centro, dijo que la clínica no rechazó la entrega de información. Más bien, solicitó aclaraciones sobre el manejo de los datos: quién los recibe, qué funcionario los procesa, si está sujeto al secreto profesional y cuáles son las medidas de seguridad para proteger información como nombre, número de cédula y diagnóstico.
"Lo que cualquier profesional de la salud responsable haría antes de compartir la información más sensible que puede existir sobre un ser humano: preguntar quién la va a recibir y cómo la van a proteger. La respuesta que recibimos no fue una garantía; fue una amenaza de clausura", afirmó Bonilla.
En vez de responder las consultas, el Área Rectora de Salud de La Unión emitió una orden sanitaria y otorgó a la clínica un plazo de 24 horas para cumplir con lo solicitado. Con la advertencia de que podría enfrentar una multa, el cierre del establecimiento e incluso una denuncia penal.
La clínica apeló la decisión, pero el recurso fue rechazado por el viceministro de Salud, Allan Mora Vargas, mediante una resolución firmada el 31 de marzo de 2026.
Datos terminan en la nube de Microsoft
El Ministerio de Salud confirmó que los datos sensibles e identificatorios de pacientes se almacenan en plataformas en la nube bajo su control, como el OneDrive institucional.
Esto implica que información de pacientes, con nombre, número de cédula y diagnósticos relacionados con depresión o intentos de suicidio, se envía por correo electrónico ordinario y se resguarda en servidores de Microsoft Corporation.
"Nos pidieron que enviáramos los datos más sensibles que existen sobre nuestros pacientes a tres buzones genéricos de correo electrónico, sin indicarnos quién los revisa, y ahora sabemos que terminan en OneDrive. Mientras tanto, nos sancionaron por preguntar exactamente eso", cuestionó Bonilla.
Diferencias con enfermedades infecciosas
Para justificar la recopilación de datos sensibles, el ministerio comparó los eventos de salud mental con enfermedades como dengue, malaria o tuberculosis.
La clínica sostiene que la comparación no es equivalente debido al estigma asociado a los diagnósticos de salud mental.
"Equiparar un diagnóstico de depresión o un intento de suicidio con un caso de dengue revela una comprensión insuficiente de lo que significa la salud mental para las personas. El estigma es real. El miedo a que se sepa es real. Por más apertura que exista hoy, un dato así en las manos equivocadas puede costarle a alguien un empleo o un seguro. Y ese temor puede impedir que alguien busque ayuda. Eso es lo que estamos tratando de proteger", expresó el director de la clínica.
Reportes continuos y reclamos sin respuesta
Poïesis asegura que mantiene la entrega de reportes epidemiológicos de forma ininterrumpida durante más de 22 semanas, aunque sin incluir datos de identidad de los pacientes.
La clínica fundamenta esta decisión en la Ley N.° 8968 de Protección de la Persona frente al Tratamiento de sus Datos Personales.
"Nunca dejamos de reportar. Nunca dejamos de cooperar. Lo que hicimos fue pedir que se cumpliera la ley de protección de datos mientras cumplíamos con la ley de vigilancia de la salud. Ambas leyes existen por una razón. No son incompatibles", afirmó Bonilla.
La Sala Constitucional de la Corte Suprema de Justicia admitió para estudio un recurso de amparo interpuesto por Grupo Poïesis S. A. contra el Ministerio de Salud el 16 de marzo, por la exigencia de datos sensibles de pacientes.