Estamos en Estado de Emergencia pero eso no significa que todos nuestros derechos fundamentales estén restringidos. El mandato de protección de los datos personales se mantiene vigente, por lo que toda estrategia orientada a combatir la pandemia del nuevo Coronavirus debe ser respetuosa de este derecho. Hoy, más que nunca, resultan imperativos los procedimientos de anonimización o disociación, así como la elaboración de mapas de contagios que no pongan en peligro a las personas diagnosticadas con esta enfermedad.
En el Estado de Emergencia Nacional en el que actualmente nos encontramos se restringieron los derechos fundamentales relativos a la libertad y la seguridad personales, la inviolabilidad del domicilio, la libertad de reunión y de tránsito en el territorio y la garantía de no de detención sin orden judicial previa. Nuestra Constitución no habilita a que en Estado de Emergencia se restrinja el derecho fundamental a la protección de datos personales (artículo 2 inciso 6), por lo que este y sus contenidos desarrollados a través de la Ley N° 29733 se encuentran plenamente vigentes.
Este derecho fundamental garantiza que todas las personas puedan decidir con quién comparten y cómo se usa la información que los identifica o hace identificables. Es decir, que nuestros datos personales sean tratados conforme a ley; con nuestro consentimiento; que sean recopilados de acuerdo a la finalidad determinada, explícita y lícita; que el uso que se le dé a estos datos sea conforme a esta finalidad; y, que sean tratados conforme a estándares de calidad que garanticen su seguridad y un nivel de protección adecuado.
Datos personales y datos sensibles
Un dato personal, tal como lo indica la Ley de Protección de Datos Personales, es toda información que identifique o haga identificable a una persona. Así, un dato personal sería, por ejemplo, el nombre, el número de Documento de Identidad, la imagen del rostro de una persona, etcétera. Ello porque estos datos identifican a una persona.
Sin embargo, también tenemos que tomar en cuenta que hay cierta información que si bien no nos identifica de manera directa, nos puede identificar “de manera indirecta”. Por ejemplo, nuestro número de celular: por sí mismo no nos identifica; no obstante, juntando dicha información (número de celular) con otra (registros en empresas de telecomunicaciones) se nos podría identificar. A ello es lo que hace referencia la ley cuando enuncia que dato personal es toda información que haga identificable a una persona.
Dentro de lo que son nuestros datos personales, existe una categoría de estos que goza de especial protección: los llamados datos sensibles. Estos son datos personales cuya protección es de suma importancia debido a su calidad o debido a la información que revelan sobre una persona: datos referidos al origen étnico, ingresos económicos, opiniones o convicciones políticas, filiación sindical, a la salud o a la vida sexual. Estos datos sensibles son objeto de una especial protección. Así, por ejemplo, el consentimiento para su tratamiento debe constar por escrito según la ley peruana.
¿Qué importancia tienen los datos personales al momento de enfrentar la pandemia del Covid-19?
El uso masivo de datos personales podría ayudar a generar modelos que permitan plantear estrategias para enfrentar al nuevo coronavirus. Sin embargo, no hay que dejar de lado que el uso de estos datos personales debe realizarse conforme a ley y, más aún, si estamos ante datos referidos a la salud (si una es positivo o no para Covid-19), que son datos sensibles.
Todo ello implicaría en principio que, por ejemplo, si el Estado pretende implementar una base de datos en la que se registre quiénes son portadores del Covid-19, debería requerir el consentimiento de los pacientes. No obstante, la Ley de Protección de Datos Personales habilita una serie de excepciones para que en determinados casos no se requiera el consentimiento de los titulares de datos personales. Así, las excepciones que nos interesa para el presente caso son las siguientes:
Artículo 14. Limitaciones al consentimiento para el tratamiento de datos personales
No se requiere el consentimiento del titular de datos personales, para los efectos de su tratamiento, en los siguientes casos:
(…)
- Cuando se trate de datos personales relativos a la salud y sea necesario, en circunstancia de riesgo, para la prevención, diagnóstico y tratamiento médico o quirúrgico del titular, siempre que dicho tratamiento sea realizado en establecimientos de salud o por profesionales en ciencias de la salud, observando el secreto profesional; o cuando medien razones de interés público previstas por ley o cuando deban tratarse por razones de salud pública, ambas razones deben ser calificadas como tales por el Ministerio de Salud; o para la realización de estudios epidemiológicos o análogos, en tanto se apliquen procedimientos de disociación adecuados.
(…)
-
Cuando se hubiera aplicado un procedimiento de anonimización o disociación.
Respecto a la excepción establecida en el inciso 6 artículo 14 de la Ley, se puede apreciar que esta se formula de la siguiente manera:
No se requiere el consentimiento para tratar datos personales relativos a la salud en los siguientes supuestos:
- En circunstancia de riesgo, para la prevención, diagnóstico y tratamiento médico o quirúrgico del titular, siempre que dicho tratamiento sea realizado en establecimientos de salud o por profesionales en ciencias de la salud, observando el secreto profesional;
- Cuando medien razones de interés público previstas por ley o cuando deban tratarse por razones de salud pública, ambas razones deben ser calificadas como tales por el Ministerio de Salud;
- Para la realización de estudios epidemiológicos o análogos, en tanto se apliquen procedimientos de disociación adecuados.
Como podemos apreciar, nuestra ley permite que se puedan tratar datos relacionados a la salud en circunstancias como las que vivimos hoy en día: por razones de salud pública y para estudios epidemiológicos o análogos. No obstante, cabe llamar la atención que el inciso 6 únicamente habilita el tratamiento para datos personales relativos a la salud.
Respecto al inciso 8, podemos mencionar que sí se habilita hacer un tratamiento más expansivo de los datos personales, no únicamente de datos relativos a la salud, pero siempre y cuando se apliquen procedimientos de anonimización y disociación.
¿Qué debe de tener en cuenta el Estado, las empresas y los particulares al momento de plantear soluciones tecnológicas para enfrentar al Covid-19?
Todos y todas tenemos la obligación de respetar los datos personales del otro u otra
Tal como lo indica el Poder Judicial y el Ministerio Público, el compartir información de la salud de otra persona (en este caso, si es positivo con Covid-19) es un acto ilegal que implica una multa de hasta S/. 215000.00. Por lo tanto instamos a que si por algún motivo recibes información sobre una persona diagnosticada con el nuevo coronavirus, no lo compartas.
Además de infringir la ley, también estás poniendo en riesgo a la persona y a su entorno familiar. Al ser este un tema de suma sensibilidad social, se debe tener mucha prudencia con el manejo de esta información, pues puede darse situaciones en las que compartir información sobre un paciente pueda llevar a que otras personas quieran atentar contra su bienestar físico o sicológico y el de su entorno familiar. El compartir información sobre la salud de una persona no es solo un tema de cumplir la ley, sino también de proteger la integridad personal de una persona y su entorno.
En efecto, en Perú se detuvo recientemente a una persona que, al momento de elaborar un mapa de casos, difundía datos personales (y datos relativos a la salud) sin el consentimiento de estas. En este caso, se utilizaron datos georreferenciados y el dato de salud de personas diagnosticadas con Covid-19.
Al momento de elaborar herramientas tecnológicas se debe tomar en cuenta que el dato referido a la salud es un dato sensible y el contexto actual
Existe la posibilidad de utilizar la geolocalización a través de los celulares de personas que hayan dado positivo para Covid-19. Así, se podría dar seguimiento, por parte de las autoridades de salud, sobre si cumplen aislamiento o no o qué lugares frecuentan. También se podrían elaborar mapas de riesgo donde se podría conocer en qué zonas existen personas que resultaron positivo para el nuevo coronavirus. Para realizar todo ello, se debe tomar en cuenta el marco legal de actuación previamente descrito.
En principio, se debería conseguir el consentimiento de la persona para tratar su dato personal referido a su geolocalización. Si no es posible recabar el consentimiento, habría que analizar si alguno de los supuestos de excepción al consentimiento establecidos en la ley resultaría aplicable. Como pudimos apreciar, el inciso 6 del artículo 14 únicamente habilita el tratamiento para datos referido a la salud (mas no el de geolocalización). Otra posibilidad es tratar el dato personal haciendo un proceso de anonimización o disociación.
Por ejemplo, al elaborar un mapa con los infectados, el colocar en el mapa el lote o la dirección exacta en la que se encuentra el infectado sería una vulneración a la ley. Sin embargo, el elaborar un mapa en donde, conforme a criterios técnicos y epidemiológicos, se establezca un área o un radio en el cual está una persona con Covid-19, sin que se especifique la ubicación exacta, sí podría ser una medida admitida por la ley.
En Perú, hace poco se lanzó una aplicación por parte de la Presidencia del Consejo de Ministros en la cual se buscaba brindar información sobre zonas de riesgo para contagios y monitorear los desplazamientos de la población. En Hiperderecho ya realizamos un análisis técnico y legal sobre esta aplicación y, en un primer estante, se muestra respetuosa del derecho de protección de datos personales.
En suma, hacemos nuestras las recomendaciones hechas por Access Now entorno a la utilización de datos relativos a la salud y los datos referidos a la geolocalización: considerar todas las posibilidades al mapear la expansión del virus, considerar que datos de geolocalización podrían ser defectuosos, anonimizar los datos, no realizar vigilancia masiva y no retener los datos más allá de su estrictamente necesario. El uso y tratamiento que se deba dar a ellos tiene que estar fundamentado en interés público, debe ser legal, necesario y proporcional a la finalidad que se persigue.
Ver más:
https://stats.karisma.org.co/category/blog/comunicados-blog/
Director Ejecutivo
Abogado por la Pontificia Universidad Católica del Perú.
Un comentario