UGALDE HERRA Y ASOCIADOS S.A.S.
Código: SGDP-A7
Versión: 1.0
Estado: Vigente
Tipo documental: Política institucional sanitaria, administrativa y de protección de datos personales
Ubicación documental: Carpeta General del Sistema de Gestión de Protección de Datos Personales / Página web institucional / Código QR de información al paciente
Ámbito de aplicación: Recepción, ventanilla, toma o recepción de muestras, procesamiento diagnóstico, gestión de resultados, entrega de resultados, archivo, canales físicos, canales digitales, página web, QR, WhatsApp, correo electrónico, formularios remotos y atención telefónica.

1. OBJETO
La presente Política establece el marco institucional obligatorio para la información, gestión, obtención, documentación, registro, conservación, trazabilidad, revocatoria y verificación de los consentimientos aplicables en UGALDE HERRA Y ASOCIADOS S.A.S., en adelante EL LABORATORIO, respecto de sus actividades sanitarias, diagnósticas, administrativas, tecnológicas y de tratamiento de datos personales.
Esta Política regula, de manera diferenciada pero operativamente integrada, los siguientes elementos:
a)      Consentimiento informado sanitario, aplicable a la toma, recepción, procesamiento, análisis, revisión, conservación técnica, emisión y entrega de resultados relacionados con muestras biológicas, estudios diagnósticos, informes clínicos, citológicos, histopatológicos, biomédicos, moleculares, genéticos o cualquier otro procedimiento diagnóstico ejecutado o gestionado por EL LABORATORIO.
b)     Autorización para el tratamiento de datos personales y datos relativos a la salud, aplicable a la recolección, registro, uso, conservación, comunicación, archivo, respaldo, trazabilidad, entrega de resultados, facturación, atención de derechos, control de calidad, cumplimiento sanitario, cumplimiento tributario, defensa de reclamaciones y atención de requerimientos de autoridad competente.
c)      Modelo híbrido de información y consentimiento, sustentado en información verbal breve en recepción, aviso impreso visible en ventanilla, consulta ampliada mediante código QR o enlace web, formularios físicos o digitales cuando corresponda, y registro mínimo de evidencia verificable.
La presente Política no sustituye el consentimiento informado sanitario exigido por la normativa del Ministerio de Salud Pública cuando el procedimiento requiera constancia escrita específica. Tampoco sustituye la obligación de informar al titular sobre el tratamiento de datos personales conforme a la Ley Orgánica de Protección de Datos Personales y su Reglamento.

2. FINALIDAD DE LA POLÍTICA
La finalidad de esta Política es garantizar que la gestión institucional de consentimientos cumpla con los siguientes objetivos:
a)      Asegurar que el paciente, titular de datos personales o representante autorizado reciba información previa, clara, suficiente, comprensible, accesible y verificable.
b)     Implementar un sistema documental compatible con inspecciones, auditorías o requerimientos del Ministerio de Salud Pública, ARCSA, Superintendencia de Protección de Datos Personales, autoridades judiciales, administrativas o sanitarias competentes.
c)      Evitar procesos burocráticos innecesarios en ventanilla mediante información verbal breve y estandarizada, sin disminuir el nivel de transparencia, información y trazabilidad exigible.
d)     Garantizar que la información completa se encuentre disponible mediante código QR, página web institucional o documento físico bajo solicitud.
e)      Diferenciar correctamente entre consentimiento informado sanitario, autorización para tratamiento de datos personales, base legitimadora del tratamiento y cumplimiento de obligaciones legales o sanitarias.
f)        Mantener evidencia razonable de información, aceptación, negativa, revocatoria, solicitud de información adicional o consentimiento reforzado.
g)      Facilitar el ejercicio de derechos de los titulares de datos personales y el contacto con el Delegado de Protección de Datos Personales.
h)      Prevenir consentimientos genéricos, tácitos, ambiguos, premarcados, insuficientes o no demostrables.

3. MARCO NORMATIVO APLICABLE
La presente Política se fundamenta en las siguientes normas, criterios y documentos:
3.1. Normativa constitucional
a)      Constitución de la República del Ecuador, especialmente el derecho a la protección de datos personales, que comprende el acceso, decisión y protección de la información de carácter personal.
b)     Derecho a la salud, dignidad, intimidad, autodeterminación informativa, confidencialidad y autonomía de la persona en el contexto de la atención sanitaria.
3.2. Normativa sanitaria ecuatoriana
a)      Acuerdo Ministerial MSP No. 5316, mediante el cual se aprueba el Modelo de Gestión de Aplicación del Consentimiento Informado en la Práctica Asistencial.
b)     Formulario 024 – Autorizaciones, Exoneraciones y Consentimiento Informado, aprobado como parte del modelo de gestión del consentimiento informado.
c)      Normativa emitida por el Ministerio de Salud Pública sobre historia clínica, calidad de servicios de salud, seguridad del paciente, confidencialidad, documentación sanitaria y consentimiento informado.
d)     Normativa aplicable a laboratorios, establecimientos de salud, servicios diagnósticos, gestión documental sanitaria y control de calidad.
El Acuerdo Ministerial MSP No. 5316 dispone que el consentimiento informado se aplica en procedimientos diagnósticos, terapéuticos o preventivos, luego de que el profesional de salud explique en qué consiste el procedimiento, riesgos, beneficios, alternativas, de existir, y posibles consecuencias de no intervenir; además, cuando se trate de procedimientos de salud de riesgo mayor, el consentimiento debe constar por escrito, firmado por el paciente o representante legal, y formar parte de la historia clínica.
3.3. Normativa de protección de datos personales
a)      Ley Orgánica de Protección de Datos Personales.
b)     Reglamento General a la Ley Orgánica de Protección de Datos Personales.
c)      Resoluciones, guías, criterios, normativa general y actos emitidos por la Superintendencia de Protección de Datos Personales.
d)     Resolución No. SPDP-SPD-2025-0028-R, Reglamento del Delegado de Protección de Datos Personales, respecto de la independencia, funciones, supervisión y rol del DPD.
e)      Normativa general de la SPDP sobre interés legítimo, cuando dicha base resulte aplicable, ponderada, documentada y compatible con la finalidad específica del tratamiento.
3.4. Estándar complementario GDPR
Cuando existan servicios digitales, infraestructura tecnológica, alojamiento, encargados de tratamiento, transferencias, destinatarios, proveedores o herramientas vinculadas con la Unión Europea, se aplicará el Reglamento General de Protección de Datos de la Unión Europea como estándar complementario de referencia.
El GDPR reconoce que el consentimiento debe ser una manifestación libre, específica, informada e inequívoca mediante declaración o clara acción afirmativa, y excluye el silencio, las casillas premarcadas o la inacción como formas válidas de consentimiento.
3.5. Documentos internos relacionados
La presente Política se integra con:
a)      Política de Protección de Datos Personales.
b)     Política de Tratamiento de Datos de Salud.
c)      Manual Interno de Gestión y Protección de Datos Personales.
d)     Registro de Actividades de Tratamiento.
e)      Procedimiento de Atención de Derechos ARSOPL.
f)        Política de Conservación Documental.
g)      Política de Seguridad de la Información.
h)      Procedimiento de Gestión de Incidentes y Vulneraciones de Seguridad.
i)        Contratos o acuerdos de encargo de tratamiento con proveedores.
j)        Acuerdos de confidencialidad y deber de secreto.
k)      Matriz de riesgos y evaluación de impacto, cuando corresponda.

4. NATURALEZA DEL CONSENTIMIENTO INFORMADO SANITARIO
El consentimiento informado sanitario constituye un proceso de comunicación, información, deliberación y decisión, no una simple firma.
En el ámbito de EL LABORATORIO, dicho proceso comprende la entrega de información suficiente sobre:
a)      Naturaleza general del procedimiento diagnóstico o estudio solicitado.
b)     Finalidad sanitaria, diagnóstica, preventiva, confirmatoria, complementaria o de seguimiento.
c)      Tipo de muestra o información requerida.
d)     Riesgos ordinarios o previsibles asociados a la toma, recepción, procesamiento o análisis.
e)      Beneficios esperados o finalidad médica del estudio.
f)        Limitaciones técnicas, preanalíticas, analíticas o postanalíticas.
g)      Posibilidad de resultados no concluyentes, necesidad de repetición, ampliación o correlación clínica.
h)      Alternativas disponibles, cuando existan.
i)        Posibles consecuencias de no realizar el procedimiento, no entregar información suficiente o no autorizar el análisis.
j)        Derecho a aceptar, negar, diferir, revocar o solicitar información adicional, conforme al caso.
El consentimiento informado sanitario podrá documentarse mediante formato escrito, formato digital, registro verbal, constancia de aceptación, formulario específico o Formulario 024, según el riesgo, tipo de procedimiento, exigencia normativa y contexto de atención.
Cuando el procedimiento sea de riesgo mayor, invasivo, extraordinario, especialmente sensible o normativamente sujeto a forma escrita, deberá utilizarse consentimiento escrito reforzado, firmado por el paciente o representante legal, conforme al modelo sanitario aplicable del MSP.

5. NATURALEZA DE LA AUTORIZACIÓN PARA TRATAMIENTO DE DATOS PERSONALES Y DATOS DE SALUD
La autorización para tratamiento de datos personales y datos relativos a la salud corresponde a la manifestación de voluntad, declaración, firma, aceptación digital, confirmación verbal registrada o acción afirmativa válida mediante la cual el titular o su representante autoriza el tratamiento de datos personales cuando el consentimiento sea la base legitimadora aplicable.
El RGLOPDP dispone que, cuando se requiera consentimiento explícito, el responsable debe informar previamente sobre tipos de tratamiento, finalidades, tiempo de conservación, medidas de protección, consecuencias de la entrega y demás aspectos determinados en la ley; además, el consentimiento debe reflejar aceptación indubitada y ser demostrable por el responsable.
En ningún caso se considerará válido el consentimiento basado únicamente en silencio, inacción, casillas premarcadas, aceptación tácita no demostrable, textos ocultos, lenguaje ambiguo o aceptación general que no permita identificar finalidades concretas.

6. DIFERENCIACIÓN ENTRE CONSENTIMIENTO SANITARIO Y PROTECCIÓN DE DATOS
EL LABORATORIO aplicará una separación conceptual y documental entre:
6.1. Consentimiento informado sanitario
Corresponde a la aceptación, negativa o revocatoria respecto del procedimiento diagnóstico, toma o recepción de muestra, procesamiento, análisis, emisión de resultado o actuación sanitaria relacionada.
6.2. Autorización para tratamiento de datos personales
Corresponde a la autorización o base legitimadora que permite recolectar, registrar, utilizar, conservar, comunicar, archivar, respaldar o tratar datos personales, incluidos datos relativos a la salud.
6.3. Integración operativa
Ambos componentes podrán gestionarse dentro del mismo flujo de atención, siempre que:
a)      Las finalidades estén claramente identificadas.
b)     La información completa sea accesible antes de continuar.
c)      El QR/web contenga información completa y vigente.
d)     Exista posibilidad de solicitar explicación adicional.
e)      Se registre evidencia mínima de información y aceptación.
f)        Las finalidades no necesarias se sometan a aceptación separada.
g)      Los procedimientos de riesgo mayor se documenten por escrito.

7. PRINCIPIOS RECTORES
La gestión de consentimientos se regirá por los siguientes principios:
7.1. Autonomía del paciente
El paciente o representante autorizado podrá aceptar, negar, diferir, revocar o solicitar información adicional sobre el procedimiento o tratamiento de datos, conforme a la normativa aplicable.
7.2. Información suficiente
La información deberá permitir comprender la finalidad del procedimiento, los datos tratados, los riesgos razonables, limitaciones, derechos, canales de contacto y consecuencias de la negativa.
7.3. Claridad y lenguaje comprensible
La información deberá presentarse en lenguaje claro, accesible y adecuado al canal utilizado.
7.4. Información por capas
La información se entregará mediante tres niveles:
a)      Primera capa verbal breve en recepción.
b)     Primera capa impresa ultra resumida en ventanilla.
c)      Segunda capa completa mediante QR, web o documento físico bajo solicitud.
7.5. No burocratización
La gestión del consentimiento deberá ser eficiente y proporcional al riesgo. No se exigirá lectura extensa en ventanilla para procedimientos ordinarios, siempre que exista información completa disponible, aviso verbal suficiente y registro de evidencia.
7.6. Consentimiento demostrable
Toda aceptación deberá contar con evidencia razonable, conforme al canal utilizado.
7.7. Confidencialidad reforzada
Los datos relativos a la salud, resultados, muestras, informes y documentos clínicos estarán sujetos a confidencialidad, acceso restringido y deber de secreto.
7.8. Seguridad y trazabilidad
La institución deberá conservar evidencia de información, aceptación, negativa, revocatoria, versión documental y canal utilizado.
7.9. Licitud y finalidad
Todo tratamiento deberá vincularse a una finalidad legítima, específica, informada y compatible.
7.10. Responsabilidad proactiva
EL LABORATORIO deberá poder demostrar ante autoridad competente la existencia de políticas, formatos, avisos, registros, QR/web, control de versiones, capacitación y mecanismos de supervisión.

8. ÁMBITO DE APLICACIÓN
La presente Política será obligatoria para:
a)      Gerencia.
b)     Representante legal.
c)      Personal administrativo.
d)     Personal de recepción.
e)      Personal técnico, sanitario o diagnóstico.
f)        Personal de archivo.
g)      Personal de facturación.
h)      Personal de entrega de resultados.
i)        Personal de soporte tecnológico.
j)        Encargados de tratamiento.
k)      Proveedores externos que accedan a datos personales, datos de salud, sistemas, resultados o muestras.
l)        Delegado de Protección de Datos Personales, en su rol de asesoría y supervisión independiente.

9. DATOS PERSONALES Y DATOS DE SALUD COMPRENDIDOS
La presente Política aplica sobre las siguientes categorías de datos:
a)      Datos identificativos: nombres, apellidos, cédula, pasaporte, fecha de nacimiento, edad, sexo, firma, código interno, número de solicitud, número de muestra o identificador de atención.
b)     Datos de contacto: teléfono, correo electrónico, dirección, canal digital, contacto de emergencia o medio autorizado.
c)      Datos administrativos: facturación, comprobantes, forma de pago, órdenes, convenios, aseguradoras, instituciones solicitantes, autorizaciones, solicitudes, documentos de respaldo y datos tributarios.
d)     Datos relativos a la salud: diagnóstico presuntivo, antecedentes, historia clínica referencial, orden médica, resultados, informes, hallazgos, observaciones, estudios, muestras biológicas, datos biomédicos, datos genéticos cuando correspondan, datos derivados de pruebas o sustancias corporales.
e)      Datos de representantes: nombres, identificación, relación con el titular, teléfono, firma, autorización, calidad de representante, acompañante, familiar o tercero autorizado.
f)        Datos de trazabilidad: fecha, hora, canal, operador, versión documental consultada, QR utilizado, registro de aceptación, negativa, revocatoria, solicitud de información adicional o entrega de resultados.
El RGLOPDP define los datos relativos a la salud de forma amplia, incluyendo información física o psíquica pasada, presente o futura, datos recogidos con ocasión de asistencia sanitaria, identificadores sanitarios, pruebas de partes del cuerpo o sustancias corporales, datos genéticos, muestras biológicas, historial médico, tratamiento clínico y estado fisiológico o biomédico.

10. MODELO HÍBRIDO DE INFORMACIÓN Y CONSENTIMIENTO
EL LABORATORIO adopta un modelo híbrido compuesto por los siguientes elementos:
10.1. Información verbal breve en recepción
Antes de registrar datos, recibir muestras, procesar solicitudes o iniciar el flujo ordinario de atención, recepción deberá informar verbalmente lo siguiente:
“Para procesar el examen, muestra o solicitud se requiere registrar datos personales, tratar información de salud y gestionar el resultado correspondiente. La información completa sobre consentimiento informado, uso de datos, derechos y contacto del Delegado de Protección de Datos está disponible en el código QR o enlace web. Se puede solicitar explicación adicional antes de continuar. ¿Se autoriza el procedimiento y el tratamiento necesario para el servicio?”
La frase deberá ser uniforme, breve y comprensible. Su finalidad es entregar información inicial sin generar carga burocrática excesiva.
10.2. Aviso impreso ultra resumido en ventanilla
Deberá mantenerse visible un aviso impreso, legible, actualizado y menor a una hoja A4, con:
a)      Identidad de EL LABORATORIO.
b)     Finalidad sanitaria y de tratamiento de datos.
c)      Advertencia de tratamiento de datos de salud.
d)     Referencia a confidencialidad.
e)      QR o enlace web a la política completa.
f)        Canal del Delegado de Protección de Datos.
g)      Derechos del titular.
h)      Opción de solicitar explicación adicional.
10.3. Segunda capa completa vía QR/web
El código QR o enlace web deberá dirigir a una página o documento digital vigente que contenga:
a)      Política completa de gestión de consentimientos.
b)     Consentimiento informado sanitario completo.
c)      Autorización para tratamiento de datos personales y datos de salud.
d)     Información sobre derechos del titular.
e)      Procedimiento de revocatoria.
f)        Procedimiento de negativa.
g)      Finalidades del tratamiento.
h)      Categorías de datos tratados.
i)        Bases legitimadoras.
j)        Plazos de conservación.
k)      Destinatarios o terceros.
l)        Canal del DPD.
m)   Control de versiones.
10.4. Registro mínimo de evidencia
La aceptación, negativa, revocatoria o solicitud de información adicional deberá registrarse por medios físicos, digitales o administrativos, de acuerdo con el canal utilizado.

11. VALIDEZ DEL CONSENTIMIENTO VERBAL
El consentimiento verbal podrá ser utilizado para procedimientos ordinarios, rutinarios o de bajo riesgo, siempre que concurran las siguientes condiciones:
a)      Información verbal breve proporcionada previamente.
b)     Aviso impreso visible en ventanilla.
c)      QR/web disponible y funcional.
d)     Posibilidad real de solicitar información adicional.
e)      Respuesta afirmativa, clara o conducta afirmativa inequívoca.
f)        Registro mínimo de evidencia.
g)      Ausencia de procedimiento de riesgo mayor o exigencia normativa de forma escrita.
El consentimiento verbal no será válido cuando exista silencio, inacción, falta de información previa, negativa expresa, duda relevante no atendida, procedimiento de riesgo mayor o exigencia normativa de consentimiento escrito.
El modelo de consentimiento oral ya previsto en documentos internos exige registro obligatorio del nombre del titular, representante cuando aplique, confirmación de autorización, fecha, hora, medio de contacto y operador.

12. CASOS DE CONSENTIMIENTO ESCRITO, REFORZADO O FORMULARIO 024
Se requerirá consentimiento escrito, digital reforzado, Formulario 024 o documento equivalente en los siguientes casos:
a)      Procedimientos de salud de riesgo mayor.
b)     Procedimientos invasivos o con riesgo superior al ordinario.
c)      Toma de muestra que implique intervención directa con riesgo clínico relevante.
d)     Estudios genéticos, moleculares, biomédicos especiales o altamente sensibles.
e)      Uso de muestras, resultados o datos para investigación, docencia, publicación, validación, entrenamiento, controles externos o finalidades no estrictamente asistenciales.
f)        Comunicación de datos o resultados a terceros no vinculados directamente con la prestación del servicio.
g)      Tratamientos automatizados, inteligencia artificial o tecnologías que puedan producir efectos relevantes sobre el titular.
h)      Atención de niñas, niños, adolescentes o personas incapaces cuando corresponda consentimiento de representante legal.
i)        Representación no plenamente acreditada.
j)        Negativa parcial, revocatoria, oposición o desacuerdo.
k)      Solicitud expresa del paciente o representante.
l)        Requerimiento del médico tratante, autoridad sanitaria, auditoría, contrato o normativa aplicable.
En los procedimientos de riesgo mayor se aplicará el criterio del Acuerdo Ministerial MSP No. 5316: consentimiento escrito, firmado por paciente o representante legal, incorporado al expediente o historia clínica correspondiente.

13. FINALIDADES DEL TRATAMIENTO
EL LABORATORIO tratará datos personales y datos relativos a la salud para las siguientes finalidades:
a)      Identificación del paciente, titular o representante.
b)     Registro de solicitud, orden médica, muestra, estudio, procedimiento o análisis.
c)      Toma, recepción, identificación, rotulación, procesamiento, análisis, revisión, conservación técnica y trazabilidad de muestras biológicas.
d)     Emisión, validación, archivo, entrega, reenvío o confirmación de resultados.
e)      Comunicación con el paciente, representante, médico tratante, institución solicitante o tercero autorizado.
f)        Gestión administrativa, facturación, cobranza, soporte documental y archivo.
g)      Cumplimiento de obligaciones sanitarias, regulatorias, tributarias, administrativas, judiciales o contractuales.
h)      Gestión de calidad, auditoría interna, control técnico, mejora continua y seguridad del paciente.
i)        Seguridad física, lógica, trazabilidad de accesos, respaldo y continuidad operativa.
j)        Atención de derechos de los titulares de datos personales.
k)      Atención de requerimientos de autoridades competentes.
l)        Defensa de reclamaciones, responsabilidades o controversias.
m)   Conservación documental conforme a normativa sanitaria, técnica, administrativa o legal.

14. BASES LEGITIMADORAS DEL TRATAMIENTO
El tratamiento de datos personales y datos relativos a la salud podrá sustentarse, según la finalidad concreta, en una o varias de las siguientes bases:
a)      Consentimiento del titular o representante autorizado.
b)     Cumplimiento de obligaciones legales, sanitarias, regulatorias, tributarias, administrativas o judiciales.
c)      Ejecución de una relación contractual, precontractual, asistencial, diagnóstica o de prestación de servicios.
d)     Protección de intereses vitales del titular o de otra persona natural.
e)      Interés público en el ámbito de la salud pública o privada, cuando corresponda.
f)        Mandato de autoridad competente.
g)      Interés legítimo, únicamente cuando sea aplicable, documentado, ponderado, proporcional y compatible con los derechos del titular.
El RGLOPDP contempla bases de tratamiento legítimo como misión en interés público, intereses vitales e interés legítimo, bajo criterios de proporcionalidad, finalidad, evaluación de impacto y garantías aplicables.

15. USO DEL INTERÉS LEGÍTIMO
El interés legítimo no se utilizará como mecanismo general para sustituir el consentimiento explícito en tratamientos de datos relativos a la salud cuando exista una base reforzada aplicable.
La aplicación del interés legítimo requerirá:
a)      Identificación de una finalidad legítima, real y concreta.
b)     Necesidad del tratamiento para alcanzar dicha finalidad.
c)      Ponderación documentada entre interés institucional y derechos del titular.
d)     Evaluación de expectativas razonables del titular.
e)      Implementación de garantías adicionales.
f)        Información clara y diferenciada.
g)      Mecanismo de oposición.
h)      Evidencia documental disponible para auditoría o requerimiento de autoridad.
 
16. REVOCATORIA DEL CONSENTIMIENTO
El titular podrá revocar el consentimiento otorgado cuando la base legitimadora aplicable sea el consentimiento y la revocatoria sea jurídicamente procedente.
La revocatoria se regirá por las siguientes reglas:
a)      No afectará la licitud del tratamiento realizado antes de la revocatoria.
b)     No impedirá la conservación de datos cuando exista obligación legal, sanitaria, tributaria, administrativa, judicial o necesidad de defensa de reclamaciones.
c)      No impedirá tratamientos sustentados en otra base legitimadora válida.
d)     Deberá registrarse documentalmente.
e)      Deberá gestionarse mediante canal sencillo, gratuito y accesible.
f)        Deberá comunicarse a las áreas internas pertinentes.
g)      Deberá suspender tratamientos no necesarios cuando no exista otra base legal aplicable.
El RGLOPDP reconoce el derecho a retirar el consentimiento en cualquier momento, exige procedimiento sencillo para revocarlo y aclara que la revocatoria no afecta la licitud del tratamiento previo.

17. DERECHOS DEL TITULAR
El titular podrá ejercer, cuando corresponda, los siguientes derechos:
a)      Acceso.
b)     Rectificación.
c)      Eliminación.
d)     Oposición.
e)      Portabilidad.
f)        Suspensión del tratamiento.
g)      Revocatoria del consentimiento.
h)      Reclamo ante la Autoridad de Protección de Datos Personales.
Canal oficial del Delegado de Protección de Datos Personales:
[email protected]
El RGLOPDP exige habilitar herramientas o canales informáticos simplificados y de fácil acceso para recibir y atender solicitudes de derechos, sin perjuicio de medios físicos, y requiere que el solicitante demuestre titularidad o representación legal.

18. MENORES DE EDAD Y PERSONAS INCAPACES
Cuando el titular sea niña, niño, adolescente o persona incapaz, se aplicarán reglas reforzadas:
a)      Para menores de 15 años, se requerirá consentimiento del representante legal.
b)     Para tratamiento de datos sensibles o decisiones basadas en valoraciones automatizadas de menores de edad, se requerirá consentimiento expreso del representante legal cuando corresponda.
c)      Los adolescentes desde los 15 años podrán otorgar consentimiento explícito para tratamiento de sus datos personales, siempre que la información sea clara, sencilla, comprensible y adecuada a su edad.
d)     El consentimiento no podrá menoscabar el interés superior de niñas, niños o adolescentes.
e)      La representación legal deberá verificarse o documentarse conforme al nivel de riesgo del caso.
f)        La negativa, revocatoria u oposición deberá evaluarse considerando interés superior, finalidad sanitaria, urgencia, obligación legal y protección del titular.
El RGLOPDP establece reglas específicas para tratamiento de datos de menores, consentimiento del representante legal, consentimiento expreso para datos sensibles y lenguaje claro para adolescentes desde los 15 años.

19. REPRESENTANTES, ACOMPAÑANTES Y TERCEROS AUTORIZADOS
La actuación de representantes, familiares, acompañantes o terceros autorizados deberá documentarse conforme al riesgo del procedimiento o tratamiento.
Se admitirán como fuentes de legitimación o acreditación:
a)      Representación legal formal.
b)     Patria potestad.
c)      Curaduría.
d)     Mandato.
e)      Autorización escrita.
f)        Declaración responsable de relación familiar o acompañamiento asistencial.
g)      Imposibilidad física, médica, jurídica o práctica del titular.
h)      Solicitud del médico tratante o entidad remitente.
i)        Orden o requerimiento de autoridad competente.
Cuando exista duda razonable sobre la representación, conflicto familiar, oposición del titular, solicitud de entrega de resultados a terceros o riesgo para la confidencialidad, se exigirá respaldo documental adicional o intervención de Gerencia, responsable sanitario o Delegado de Protección de Datos.

20. ENTREGA Y COMUNICACIÓN DE RESULTADOS
La entrega o comunicación de resultados se realizará únicamente a:
a)      Paciente titular.
b)     Representante legal o autorizado.
c)      Médico tratante o profesional solicitante.
d)     Establecimiento de salud remitente.
e)      Institución solicitante con base legal, contractual o autorización aplicable.
f)        Aseguradora o tercero autorizado, cuando exista habilitación suficiente.
g)      Autoridad competente, cuando exista mandato legal, judicial, administrativo o sanitario.
La entrega por medios digitales deberá sujetarse a controles mínimos de identificación, confidencialidad, trazabilidad y seguridad.

21. INFORMACIÓN MÍNIMA PUBLICABLE EN PÁGINA WEB O QR
La página web o documento vinculado al QR deberá contener, al menos:
a)      Nombre del responsable del tratamiento.
b)     Identificación de EL LABORATORIO.
c)      Objeto de la política.
d)     Explicación del consentimiento informado sanitario.
e)      Explicación de la autorización para tratamiento de datos personales.
f)        Finalidades del tratamiento.
g)      Categorías de datos tratados.
h)      Datos relativos a la salud tratados.
i)        Bases legitimadoras.
j)        Destinatarios o terceros posibles.
k)      Conservación de datos y evidencias.
l)        Derechos del titular.
m)   Canal del DPD.
n)      Procedimiento de revocatoria.
o)      Procedimiento de negativa.
p)     Procedimiento para solicitar explicación adicional.
q)     Reglas para menores y representantes.
r)       Fecha de vigencia.
s)      Código documental.
t)       Versión vigente.
u)     Historial mínimo de cambios o indicación de documento vigente.

22. AVISO IMPRESO ULTRA RESUMIDO PARA VENTANILLA
Código: SGDP-A7.1
Extensión máxima: Menor a una hoja A4
Ubicación: Recepción / ventanilla / área visible de atención
AVISO BREVE DE CONSENTIMIENTO INFORMADO Y PROTECCIÓN DE DATOS
Responsable: UGALDE HERRA Y ASOCIADOS S.A.S.
Para procesar exámenes, muestras, solicitudes o resultados, se requiere registrar y tratar datos personales y datos relativos a la salud. La información será utilizada para fines diagnósticos, administrativos, facturación, archivo, trazabilidad, entrega de resultados, control de calidad, seguridad y cumplimiento de obligaciones legales o sanitarias.
Los datos de salud, muestras, informes y resultados serán tratados bajo confidencialidad, acceso restringido y medidas de seguridad.
La información completa sobre consentimiento informado sanitario, tratamiento de datos personales, derechos, revocatoria, conservación, finalidades y contacto del Delegado de Protección de Datos se encuentra disponible mediante el código QR o enlace web:
https://www.labpato.com/consentimiento/
Antes de continuar, se podrá solicitar explicación adicional en recepción.
Canal del Delegado de Protección de Datos:
[email protected]
La aceptación del procedimiento y del tratamiento necesario de datos personales podrá registrarse mediante firma, aceptación verbal, formulario digital, checkbox, autorización remota o constancia equivalente, salvo negativa expresa o solicitud de información adicional.
☐ Autoriza
☐ No autoriza
☐ Solicita información adicional
Nombre: _______________________________
Identificación: _________________________
Firma / constancia: _____________________
Fecha: ________________________________
 
23. GUION OPERATIVO OBLIGATORIO PARA RECEPCIÓN
Código: SGDP-A7.2
Uso: Atención presencial, telefónica o remota
Texto obligatorio:
“Para procesar el examen, muestra o solicitud se requiere registrar datos personales, tratar información de salud y gestionar el resultado correspondiente. La información completa sobre consentimiento informado, uso de datos, derechos y contacto del Delegado de Protección de Datos está disponible en el código QR o enlace web. Se puede solicitar explicación adicional antes de continuar. ¿Se autoriza el procedimiento y el tratamiento necesario para el servicio?”
Respuestas registrables:
a)      Autoriza.
b)     No autoriza.
c)      Solicita información adicional.
d)     Requiere revisión por representante.
e)      Requiere revisión por médico tratante o personal técnico.
Recepción no deberá presionar, inducir, condicionar indebidamente ni continuar el flujo ordinario cuando exista negativa expresa, duda relevante o solicitud de información adicional no atendida.

24. REGISTRO MÍNIMO DE EVIDENCIA
Código: SGDP-A7.3
Todo consentimiento verbal, físico, digital o remoto deberá generar registro mínimo con los siguientes campos:
a)      Nombre del paciente o titular.
b)     Número de identificación.
c)      Nombre del representante, si aplica.
d)     Relación con el titular, si aplica.
e)      Fecha.
f)        Hora.
g)      Canal: presencial, telefónico, WhatsApp, correo, web, formulario digital u otro.
h)      Nombre del operador o responsable de registro.
i)        Versión documental informada o QR/web vigente.
j)        Constancia: “Información verbal breve proporcionada y QR/web disponible”.
k)      Resultado: autorizó, no autorizó, solicitó información adicional o revocó.
l)        Observaciones relevantes.
m)   Firma, check, registro digital, captura, correo, audio autorizado o evidencia aplicable según canal.

25. CHECKBOX DIGITAL INSTITUCIONAL
Código: SGDP-A7.6
Texto obligatorio para formularios web o digitales:
☐ Se confirma que la persona que registra la información actúa como titular de los datos personales o como representante autorizado. Se ha puesto a disposición información completa sobre consentimiento informado sanitario, tratamiento de datos personales, datos relativos a la salud, finalidades, derechos, revocatoria y canal del Delegado de Protección de Datos mediante QR o enlace web. Se autoriza la toma, recepción, procesamiento o análisis de la muestra/estudio solicitado, así como el tratamiento necesario de datos personales y datos relativos a la salud para fines diagnósticos, administrativos, entrega de resultados, archivo, trazabilidad, facturación y cumplimiento legal.
Regla obligatoria: el checkbox no podrá estar premarcado.

26. CONSERVACIÓN DE EVIDENCIAS
Las evidencias de consentimiento, negativa, revocatoria, autorización, información verbal, QR/web disponible o solicitud de información adicional deberán conservarse conforme a:
a)      Plazos legales sanitarios.
b)     Plazos de archivo clínico o técnico.
c)      Obligaciones tributarias y administrativas.
d)     Necesidad de defensa frente a reclamaciones.
e)      Política de conservación documental del SGDP.
f)        Principios de minimización, limitación de conservación y seguridad.
Los plazos de conservación no deberán exceder lo estrictamente necesario para cumplir las finalidades del tratamiento, salvo obligación legal, sanitaria, interés público, defensa de reclamaciones o base legitimadora aplicable.
El RGLOPDP dispone que, una vez cumplidas las finalidades y cuando no exista obligación legal, reglamentaria, interés legítimo o necesidad de conservación, el responsable deberá proceder a la eliminación, bloqueo o anonimización de los datos.
 
27. CONTROL DE VERSIONES DEL QR Y WEB
Todo documento publicado mediante QR o web deberá contener:
a)      Código documental.
b)     Nombre del documento.
c)      Versión.
d)     Fecha de aprobación.
e)      Fecha de vigencia.
f)        Responsable de aprobación.
g)      Responsable de publicación.
h)      Estado documental: vigente, reemplazado, derogado o en revisión.
i)        Historial de cambios.
j)        Canal de contacto para consultas.
No podrá utilizarse QR que dirija a enlaces rotos, documentos no aprobados, versiones desactualizadas, archivos sin identificación, documentos sin fecha o páginas sin control documental.

28. PROHIBICIONES
Queda prohibido:
a)      Utilizar casillas premarcadas como consentimiento.
b)     Considerar el silencio o la inacción como consentimiento.
c)      Omitir información mínima al paciente.
d)     Ocultar finalidades reales del tratamiento.
e)      Mezclar finalidades sanitarias necesarias con finalidades secundarias no necesarias.
f)        Condicionar indebidamente el servicio a finalidades no indispensables.
g)      Usar datos de salud para marketing sin autorización específica.
h)      Entregar resultados a terceros no autorizados.
i)        Usar interés legítimo para evadir consentimiento explícito cuando este sea exigible.
j)        Impedir el acceso a información ampliada.
k)      Mantener QR, enlaces o documentos desactualizados.
l)        Registrar consentimientos sin fecha, canal, operador o versión documental.
m)   Ejecutar procedimientos de riesgo mayor sin consentimiento escrito cuando corresponda.
n)      Sustituir el Formulario 024 o documento sanitario requerido por una simple cláusula de protección de datos.
 
29. FORMATOS ASOCIADOS
La presente Política se ejecutará mediante los siguientes documentos controlados:
a)      SGDP-A7.1 – Aviso impreso ultra resumido para ventanilla.
b)     SGDP-A7.2 – Guion operativo obligatorio para recepción.
c)      SGDP-A7.3 – Registro mínimo de consentimiento verbal, digital o remoto.
d)     SGDP-A7.4 – Consentimiento informado sanitario completo.
e)      SGDP-A7.5 – Autorización para tratamiento de datos personales y datos de salud.
f)        SGDP-A7.6 – Checkbox digital para formularios web o remotos.
g)      SGDP-A7.7 – Registro de negativa, revocatoria o solicitud de información adicional.
h)      SGDP-A7.8 – Control de versiones QR/web.
i)        SGDP-A7.9 – Formulario reforzado para procedimientos de riesgo mayor o estudios especiales.

30. ROL DEL DELEGADO DE PROTECCIÓN DE DATOS
El Delegado de Protección de Datos Personales tendrá funciones de asesoría y supervisión independiente respecto de esta Política.
Sus funciones incluirán:
a)      Revisar la coherencia de la Política con la LOPDP, RGLOPDP y normativa SPDP.
b)     Supervisar avisos, QR, formularios, cláusulas y textos de autorización.
c)      Emitir observaciones sobre tratamientos de datos relativos a la salud.
d)     Supervisar mecanismos de atención de derechos.
e)      Asesorar en casos de revocatoria, oposición, negativa o representación.
f)        Recomendar mejoras sobre trazabilidad y evidencia.
g)      Verificar que el canal del DPD se mantenga visible y operativo.
h)      Cooperar como punto de contacto en materia de protección de datos personales.
La Resolución No. SPDP-SPD-2025-0028-R reconoce que el Delegado debe asesorar o supervisar al responsable, personal del responsable o encargado en análisis de riesgos, atención de solicitudes de titulares, gestión de vulneraciones, eficacia de medidas de seguridad y cumplimiento de registros de actividades de tratamiento.

31. RESPONSABILIDADES INTERNAS
31.1. Gerencia
a)      Aprobar la Política.
b)     Disponer su implementación.
c)      Garantizar recursos mínimos.
d)     Aprobar versiones vigentes de avisos, formularios y documentos QR/web.
e)      Asegurar que el modelo sea compatible con inspecciones sanitarias y de protección de datos.
31.2. Recepción
a)      Aplicar el guion verbal obligatorio.
b)     Mantener visible el aviso impreso.
c)      Facilitar acceso al QR/web.
d)     Registrar aceptación, negativa o solicitud de información adicional.
e)      Escalar casos de duda, oposición, menores, representantes o procedimientos especiales.
31.3. Personal sanitario, técnico o diagnóstico
a)      Ampliar información cuando el procedimiento lo requiera.
b)     Advertir riesgos, limitaciones o necesidad de repetición de muestra.
c)      Solicitar consentimiento escrito o reforzado cuando corresponda.
d)     Registrar observaciones relevantes.
e)      Evitar la ejecución de procedimientos no autorizados cuando exista negativa válida.
31.4. Administración
a)      Custodiar registros.
b)     Mantener archivo físico o digital de evidencias.
c)      Coordinar actualización de formatos.
d)     Verificar conservación documental.
e)      Garantizar disponibilidad documental ante auditoría.
31.5. Sistemas o soporte tecnológico
a)      Mantener operativo el QR/web.
b)     Controlar accesos.
c)      Respaldar evidencias digitales.
d)     Verificar integridad de documentos publicados.
e)      Evitar publicación de versiones no vigentes.
 
31.6. Delegado de Protección de Datos
a)      Supervisar cumplimiento de la Política.
b)     Recomendar ajustes normativos.
c)      Asesorar en incidentes, derechos o tratamientos especiales.
d)     Mantener criterio independiente respecto de protección de datos personales.

32. VERIFICACIÓN ANTE AUTORIDADES
Para fines de inspección, auditoría o requerimiento de ARCSA, MSP, SPDP u otra autoridad competente, EL LABORATORIO deberá poder exhibir:
a)      Política vigente aprobada.
b)     Aviso impreso visible en ventanilla.
c)      Código QR funcional.
d)     Página web o documento digital vigente.
e)      Control de versiones.
f)        Formatos asociados.
g)      Registros de consentimiento, negativa o revocatoria.
h)      Evidencia de capacitación al personal.
i)        Canal operativo del Delegado de Protección de Datos.
j)        Procedimiento de atención de derechos.
k)      Evidencias de conservación documental.
l)        Registro de cambios o actualización normativa.
m)   Formularios escritos en procedimientos de riesgo mayor, cuando correspondan.
n)      Evidencia de cumplimiento del modelo de consentimiento informado sanitario aplicable.

33. CAPACITACIÓN
El personal de recepción, administración, archivo, entrega de resultados, sistemas y áreas técnicas deberá recibir capacitación mínima sobre:
a)      Diferencia entre consentimiento informado sanitario y autorización de datos personales.
b)     Acuerdo Ministerial MSP No. 5316 y Formulario 024.
c)      Uso del guion verbal.
d)     Uso del aviso impreso.
e)      Funcionamiento del QR/web.
f)        Registro de aceptación, negativa o solicitud de información adicional.
g)      Tratamiento de datos de salud.
h)      Manejo de menores, incapaces y representantes.
i)        Derivación de consultas al Delegado de Protección de Datos.
j)        Prohibición de presión, inducción, casillas premarcadas o silencio como consentimiento.
k)      Manejo de documentación ante inspección o auditoría.

34. REVISIÓN Y ACTUALIZACIÓN
La presente Política deberá revisarse:
a)      Al menos una vez al año.
b)     Cuando exista reforma normativa.
c)      Cuando la SPDP emita nuevas resoluciones aplicables.
d)     Cuando el MSP, ARCSA u otra autoridad sanitaria emita lineamientos aplicables.
e)      Cuando se modifiquen procedimientos, canales digitales, formularios o finalidades.
f)        Cuando se incorporen nuevas tecnologías, sistemas, proveedores o encargados.
g)      Cuando se produzca incidente, reclamo, observación de auditoría o requerimiento de autoridad.

35. PUBLICACIÓN EN PÁGINA WEB
La versión web de esta Política deberá publicarse en formato claro, accesible, legible y consultable desde dispositivos móviles.
La página web deberá incluir:
a)      Título completo de la Política.
b)     Identidad del responsable.
c)      Versión y fecha de vigencia.
d)     Acceso a consentimiento informado sanitario.
e)      Acceso a autorización para tratamiento de datos personales y datos de salud.
f)        Canal del Delegado de Protección de Datos.
g)      Procedimiento para ejercer derechos.
h)      Procedimiento para solicitar información adicional.
i)        Procedimiento para revocar consentimiento.
j)        Enlace a Política de Privacidad.
k)      Enlace a Política de Tratamiento de Datos de Salud.

36. CLÁUSULA DE CIERRE
La presente Política constituye documento obligatorio del Sistema de Gestión de Protección de Datos Personales y del sistema interno de cumplimiento sanitario de EL LABORATORIO.
Su aplicación deberá interpretarse de manera armónica con la Política de Protección de Datos Personales, Política de Tratamiento de Datos de Salud, Manual Interno del SGDP, Registro de Actividades de Tratamiento, Procedimiento de Atención de Derechos, Política de Conservación Documental, Política de Seguridad de la Información, Procedimiento de Gestión de Incidentes, acuerdos de confidencialidad, contratos de encargo de tratamiento y normativa sanitaria aplicable.
El incumplimiento de esta Política podrá generar medidas internas, correctivas, administrativas, contractuales o legales, especialmente cuando comprometa datos relativos a la salud, confidencialidad, derechos del paciente, derechos del titular, trazabilidad documental, entrega de resultados o cumplimiento frente a autoridad competente.
BLOQUE DE APROBACIÓN
Documento: Política de Gestión de Consentimientos, Consentimiento Informado Sanitario y Autorización para el Tratamiento de Datos Personales y Datos Relativos a la Salud
Código: SGDP-A7
Versión: 1.0
Estado: Vigente

Aprobado por:
UGALDE HERRA Y ASOCIADOS S.A.S.