El COVID-19 ha sido calificado como una pandemia por la Organización Mundial de la Salud. En las últimas semanas en todo el mundo, las empresas y organismos públicos han estado tomado las medidas necesarias para contener el virus. Para ello, se han tomado medidas para identificar si una persona presenta síntomas o no. Inevitablemente, esto implica un tratamiento de datos personales de salud, información que es catalogada como sensible en nuestra legislación. Esta crisis ha traído muchas dudas en torno a cómo dar cumplimiento a las obligaciones en materia de protección de datos personales. En este artículo daremos respuesta a algunas de las cuestiones más comunes que las empresas se están planteando con el objetivo de dar cumplimiento a la normativa en mención frente a esta crisis de salud pública:
- ¿Debemos dejar de tener en cuenta la normativa de protección de datos personales mientras dure el Estado de Emergencia?
No, la normativa de protección de datos personales sigue en plena aplicación. En ese sentido, este derecho no ha sido suspendido por Decreto Supremo N° 044-2020-PCM, Decreto Supremo que declara Estado de Emergencia Nacional por las graves circunstancias que afectan la vida de la Nación a consecuencia del brote del COVID-19.
Inclusive así lo ha confirmado la Autoridad Nacional de Protección de Datos Personales, pues en una nota de prensa de fecha 12 de marzo, señaló que compartir información sobre la salud de una persona, identificándola sin su consentimiento, es una infracción a la Ley N° 29733, Ley de Protección de Datos Personales, que puede ser sancionada con una multa de entre 21,500 y 215,000 Soles.
- ¿Por qué es importante proteger los datos personales ante esta situación?
Hace un par de días leí un tweet que decía lo siguiente: “Por favor ayuda. Mi vecino dio positivo al Coronavirus y las demás personas del edificio están exigiendo que se vaya. Inclusive le echan cloro. Todo esto está sucediendo por que se reveló su identidad”. No puedo dar fe que esto sea cierto. Sin embargo, el fundamento de este tweet es claro: Un tratamiento indebido de los datos personales de una persona infectada con el virus puede ser muy peligroso para su integridad física y mental.
- ¿Se pueden tratar datos personales debido a la pandemia del COVID-19?
La regla fundamental en materia de protección de datos personales es que una compañía (responsable de tratamiento) tiene que tratar los datos personales del titular con su consentimiento o tener una base legal que legitime el tratamiento. Bajo este contexto, una empresa está legitimada a tratar los datos de salud sin el consentimiento del titular siempre que se utilicen para prevenir, tratar o controlar la propagación del COVID-19 (coronavirus) y mitigar sus efectos. El sustento legal es que se trata de una razón de salud pública definida como tal por el Ministerio de Salud. También se podrán tratar siempre que sea para la realización de estudios epidemiológicos o análogos, en tanto se apliquen procedimientos de disociación adecuados (Artículo 14°, Inciso 6 de la Ley de Protección de Datos Personales).
En el supuesto en que un empleador quiera tratar los datos de salud de sus trabajadores también estará legitimado, pues es una obligación legal por parte de los empleadores cumplir con el principio de prevención que se encuentra en la Ley de Seguridad y Salud en el Trabajo (Artículo 14°, Inciso 13 de la Ley de Protección de Datos Personales).
Por tanto, la base principal para tratar los datos de salud es el consentimiento del titular. Sin embargo, para el caso concreto del COVID-19, se permite a los empleadores y a las autoridades sanitarias competentes tratar datos personales en el marco de epidemias sin la necesidad de obtener el consentimiento de los interesados.
- ¿Esto significa que se puede hacer un tratamiento ilimitado de los datos personales de salud amparándome en las excepciones al consentimiento?
De ninguna manera. Los datos personales deberán ser tratados siguiendo los principios de información, finalidad, proporcionalidad y seguridad. En tal sentido, antes de tratar los datos personales se le deberá informar, de conformidad con el artículo 18° de la Ley de Protección de Datos Personales, las finalidades del tratamiento. El uso de esta información de carácter sensible se deberá limitar a la finalidad que fue determinada al momento de la recopilación de los datos. Es decir, no podrá ser utilizada para otras finalidades ulteriores, a excepción de los casos de actividades de valor histórico, estadístico o científico cuando se utilice un procedimiento de disociación o anonimización.
Asimismo, el tratamiento deberá ser proporcional, es decir, tendrá que minimizarse el uso de datos personales. Por ejemplo, a fin de indagar si un trabajador pudiese estar infectado por el virus, el empleador podrá realizar preguntas al personal. Sin embargo, las preguntas deben limitarse exclusivamente a indagar sobre la existencia de síntomas, o si el trabajador ha dado positivo. Resultaría contrario a este principio la circulación de cuestionarios de salud extensos y detallados, o que incluyan preguntas no relacionadas con la enfermedad.
Finalmente, se deberán implementar medidas complementarias de seguridad a nivel jurídico, organizativo y técnico. Esto implica que se deberán restringir los accesos y privilegios respecto a la información de aquellas personas que pueden estar infectados por el virus. Solamente las personas necesarias podrán tener acceso a dicha información y deberán firmar compromisos de confidencialidad. También se deberá conservar esta información en herramientas digitales sometidas a protección mediante cifrado seguro y con contraseñas especialmente robustas. En caso la información se encuentre en un repositorio no automatizado, esta información deberá estar bajo llave. Una vez terminada esta epidemia, se deberá destruir o eliminar dicha información.
- ¿Puedo comunicar dentro de mi empresa si un trabajador dio positivo a la prueba del COVID-19?
Esta información debería proporcionarse sin identificar a la persona afectada a fin de mantener su privacidad, salvo en aquellos casos en que sea estrictamente necesario para que la empresa pueda adoptar las medidas oportunas para garantizar la salud de los trabajadores, en cuyo caso deberá informarse previamente al empleado afectado acerca de la comunicación de sus datos.
- ¿Qué consideraciones merece el Sistema Integrado para la Gestión de la Emergencia Sanitaria COVID-19?
Mediante el artículo 4° del Decreto de Urgencia N° 031-2020, se crea el Sistema Integrado para la Gestión de la Emergencia Sanitaria COVID-19, el cual contiene la información centralizada de las bases de datos utilizadas para la implementación y seguimiento de las acciones vinculadas a la prevención, control, diagnóstico y tratamiento de COVID-19.
El Ministerio de Economía y Finanzas, en coordinación con la Secretaria de Gobierno Digital de la Presidencia del Consejo de Ministros, es responsable de centralizar las bases de datos que se requieran para efectos de la priorización, asignación e implementación de acciones para la oportuna y adecuada asignación de recursos en el marco del Decreto Supremo que declara en Emergencia Sanitaria a nivel nacional por el plazo de noventa (90) días calendario y dicta medidas de prevención y control del COVID-19.
Cabe señalar que dicha norma no menciona nada acerca de la correcta protección de datos personales. No se señalan cuáles son los limites al tratamiento, el plazo, qué otras entidades pueden acceder a nuestros datos y cómo se eliminarán una vez que hayan dejado de ser necesarios.
- ¿Qué consideraciones deben tomar los centros de salud?
Todo paciente o usuario de los servicios de salud, públicos o privados tiene derecho de ser atendido con pleno respeto de su dignidad e intimidad sin que se incurra en acto de discriminación de ningún tipo; así también cuenta con la garantía de la confidencialidad y protección de los datos referidos a su atención.
La Constitución Política del Perú, la Ley General de Salud, así como la Ley que establece los derechos de las personas usuarias de los servicios de salud, reconocen el derecho fundamental de toda persona a la intimidad personal y familiar y disponen guardar la reserva de la información en salud. Asimismo, la Ley de Protección de Datos Personales, regula el adecuado tratamiento de datos personales sensibles, cuya información está relacionada a la salud de las personas, lo cual incluye el diagnóstico, tratamiento y condición médica, estableciendo que estos datos no pueden ser divulgados sin consentimiento previo de su titular.
Cabe precisar, que la divulgación de los datos del estado de salud de los pacientes contraviene las disposiciones previstas en el marco normativo citado y constituye la comisión de una falta grave, de acuerdo al Anexo III-A Reglamento de Infracciones y Sanciones de la Superintendencia Nacional de Salud aprobado por el Decreto Supremo N° 031-2014-SA, lo que conlleva a la aplicación de una sanción administrativa de hasta 300 UIT, equivalente a 1’290,000 Soles.
Sin perjuicio de lo anterior, los titulares de las entidades donde se hubiera cometido la infracción, están obligados a accionar la investigación y sanción de los responsables de la falta.
- ¿Qué consideraciones deben tomar los desarrolladores de aplicaciones?
Ante esta situación, se están desarrollando aplicaciones cuyo objetivo principal es evitar o ayudar al posible colapso del sistema sanitario. A modo de ejemplo, existen aplicaciones que persiguen realizar un autodiagnóstico de COVID-19, como prestar teleasistencia o ayuden a controlar el aislamiento y la trazabilidad del contagio a través de la geolocalización.
Como bien señala Erick Iriarte en su cuenta de Twitter (@coyotegris), una solución que se está planteando es el seguimiento de ciudadanos por medio de sus celulares. Con esta medida nos enfrentamos a dos escenarios: (i) Recolección anonimizada; (ii) Recolección con identificación.
La primera opción se encuentra permitida, pues es una de las excepciones al consentimiento que está contemplada en el numeral 8 del artículo 14° de la Ley de Protección de Datos Personales. Si nos centramos en datos de localización y movimiento de los usuarios generados por los propios dispositivos de los usuarios, datos con los que cuentan los operadores de telecomunicaciones por su actividad, basándonos en razones de interés público y en técnicas de disociación, sí podrían facilitarse datos anonimizados y agregados que permitan determinar el movimiento de las personas durante este estado de excepcionalidad. Así, las autoridades públicas podrían realizar el procesamiento de los datos de ubicación de forma anónima, permitiendo generar informes sobre la concentración de dispositivos móviles en una determinada ubicación (“mapas de calor”). Este tratamiento se deberá realizar todas las medidas de seguridad pertinente, pues existen investigaciones que a través de la tecnología se podría revertir este procedimiento y, por tanto, se podría conocer la identidad de la persona, lo cual podría afectar su privacidad.
La segunda opción también estaría permitida por la excepción contemplada en el numeral 6° del artículo 14° de la Ley de Protección de Datos Personales. Cabe señalar que, para una monitorización individualizada, debería hacerse el análisis de proporcionalidad exigido por la normativa aplicable, teniendo en este caso, un extraordinario peso la excepcionalidad de la situación epidémica y sanitaria, y el interés público derivado. Cabe indicar que esto podría entrar en conflicto con la sentencia Escher vs Brasil de la Comisión Interamericana de Derechos Humanos, pues el punto 114 de dicha resolución señala que la metadata (en este caso la geolocalización sería la metadata) forma parte del derecho al secreto y a la inviolabilidad de las comunicaciones, que se encuentra reconocida en el inciso 10 del artículo 2 de la Constitución Política del Perú.
Por otro lado, el desarrollo de aplicaciones que faciliten la comunicación entre médicos sanitarios y los propios pacientes, basadas en procesos de teleasistencia, no deben olvidar las exigencias derivadas de la normativa sanitaria en relación con la legitimación para el tratamiento, que podría derivarse de la relación contractual previa entre médico y paciente, pero que debe completarse con cuestiones básicas como quién puede acceder a datos que podrían entenderse dentro de la historia clínica de los pacientes o que deben quedar guardados por un periodo de cinco años, contabilizado desde la última prestación recibida por el paciente[1]. Otro de los aspectos clave hace referencia posibles comunicaciones de datos, por ejemplo, a las autoridades sanitarias o la reutilización de la información, donde tendrán que valorarse otros posibles usos como la realización de estudios clínicos, los cuales deberán estar debidamente anonimizados.
- ¿Qué consideraciones en materia de protección de datos personales deben tener en cuenta los empleadores que empleen el trabajo remoto?
Si el empleador decide continuar sus actividades a través del trabajo remoto, debe tener en cuenta la normativa en materia de protección de datos personales. Los trabajadores que presten sus servicios de forma remota deben tener exactamente los mismos derechos que tenían cuando prestaban sus servicios de forma presencial. Por tanto, el empleador tendrá que establecer criterios de utilización de los dispositivos digitales con respecto a los estándares mínimos de protección de la intimidad, pues es uno los derechos fundamentales protegidos especialmente en la Constitución.
En caso el empleador no pudiese facilitar los medios corporativos para que el trabajador preste sus servicios, la compañía deberá valorar si permite el uso de dispositivos personales del empleado para uso profesional (conocido como “Bring Your Own Device”) y establecer parámetros y normas dado que dicho uso puede entrañar riesgos para proteger la seguridad de la información si no se aplican las medidas adecuadas.
- ¿Cuándo termine el aislamiento social obligatorio se podrá tomar la temperatura a los trabajadores, proveedores o clientes con el fin de detectar casos de coronavirus?
Considerando que el empleador debe adoptar las medidas necesarias para proteger la vida y salud de los trabajadores bajo su dependencia, sumado a que nos encontramos en una emergencia sanitaria, se estima que no existe inconveniente en que el empleador adopte como medida de protección de los trabajadores, que se tome la temperatura con termómetros que no impliquen un contacto físico con los trabajadores o que tengan un contacto restringido con los mismos. Ello, pues de esa forma se podría saber si un trabajador tiene uno de los síntomas del virus, lo que podría evitar el contagio con otros trabajadores. Es importante que se toman las medidas de seguridad pertinentes como la restricción de acceso a esa información a fin de cumplir con la Ley de Protección de Datos Personales.
A modo de conclusión, la Ley de Protección de Datos Personales no debería utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en el combate contra el COVID-19, por cuanto la normativa en mención contiene una regulación sobre el tratamiento de datos personales para este tipo de casos, ponderando los intereses públicos con los derechos de las personas en arras del bien común. La protección de la privacidad de las personas debe ser compatible con el objetivo de mitigar la propagación de la pandemia, mediante la implementación de sistemas de anonimización de los datos o la aplicación de principios tales como el de proporcionalidad, a través del cual debemos tratar los datos estrictamente necesarios para la finalidad perseguida. Finalmente, la seguridad debe ser un factor clave, que evite las fugas o filtraciones de datos, así como su pérdida o falta de disponibilidad o actualización cuestiones que podrían afectar a la efectividad de aplicación desarrollada.
________________________________________________________________
[1] Una vez transcurrido ese periodo de tiempo, la historia clínica formará parte del denominado archivo pasivo, que está conformado por las historias clínicas de los pacientes que han fallecido y las historias de pacientes que no han concurrido a las Instituciones Prestadoras De Servicios De Salud (IPRESS), por más de cinco (5) años; estas historias permanecerán por un periodo de quince (15) años, debiendo luego ser transferido al Órgano de Administración de Archivos para ser propuesto a eliminar ante el Archivo General de la Nación o Archivos Regionales, o para su conservación, de conformidad con la legislación vigente.