Datos personales en tiempos de pandemia
Rafael Amador Espinosa
En México, recientemente la Secretaría de Salud publicó un acuerdo en el Diario Oficial de la Federación (“DOF”) donde se declara como “emergencia sanitaria por causas de fuerza mayor, a la epidemia de enfermedad generada por el virus SARS-CoV2 (COVID-19)” a la que la Organización Mundial de la Salud ya clasificó como Pandemia.
Esto ha tenido varios efectos legales en diversas materias, entre otras la relacionada con el tratamiento de datos personales en posesión de los particulares, pues debemos recordar que el estado de salud presente y futuro es considerado como un dato personal sensible, la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (la “Ley”) dispone que siempre es necesario obtener el consentimiento expreso y por escrito de su titular para darle tratamiento y que no podrán crearse bases de datos que contengan datos personales sensibles sin justificación.
El tratamiento de los datos personales sensibles puede hacerse sin consentimiento de su titular, cuando sean indispensables para la atención o tratamientos médicos, mientras el titular no esté en posibilidades de otorgar su consentimiento, pero solo puede hacerse por personas sujetas al secreto profesional.
El artículo cuarto de la Ley señala expresamente como uno de los límites a los principios y derechos de ésta, entre otros, la seguridad y la salud pública, por lo que surgen algunos cuestionamientos como los siguientes:
¿La declaratoria de emergencia puede considerarse como una excepción a los principios y derechos de la Ley?
Consideramos que no es una excepción para que los particulares sigan observando los principios y derechos contenidos en la Ley respecto del tratamiento de datos personales.
Sin embargo, tratándose de los casos que tienden a mantener la seguridad y la salud pública es necesario reconocer que, por ejemplo, el principio de consentimiento o los derechos de cancelación y oposición se ven limitados ante el estado de emergencia declarado por el Gobierno de México. Pero algunos otros deberán mantenerse como el principio de licitud, finalidad, calidad, proporcionalidad y responsabilidad, así como los derechos de acceso y rectificación.
En concordancia con la Ley, la Ley General de Salud, en sus artículos 136 y 138, señala que en los casos de cualquier enfermedad presentada en forma de epidemia, los jefes o encargados de laboratorios, los directores de unidades médicas, escuelas, fábricas, talleres, asilos, los jefes de oficinas, establecimientos comerciales o de cualquier otra índole y, en general, toda persona que por circunstancias ordinarias o accidentales tenga conocimiento de alguno de los casos, debe notificar inmediatamente a la Secretaría de Salud o la autoridad sanitaria más cercana.
Por lo que, para el tratamiento de datos personales sensibles, en cuanto al estado de salud de una persona, cuando se encuentra infectada o posiblemente infectada del virus SARS-COVID-19 no requiere de su consentimiento, por ser una obligación prevista en la Ley General de Salud y adicionalmente por considerarse una situación de emergencia.
El resto de la información considerada como datos personales y datos personales sensibles deberá estar protegida por todos los principios y derechos establecidos en la Ley. Como lo ha señalado el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) en el Acuerdo mediante el cual se aprueban diversas medidas para garantizar los derechos de protección de datos personales y acceso a la información, ante la situación de contingencia generada por el denominado virus COVID-19, publicado en el DOF con fecha 27 de marzo de 2020 se instruyó Direcciones Generales competentes como parte de las actividades de transparencia proactiva a establecer “canales de comunicación con los diversos sujetos regulados del sector salud, a fin de garantizar el debido tratamiento de los datos personales de todas aquellas personas que pudieran verse afectadas por la pandemia del virus COVID-19”.
Esta ha sido la manera uniforme de actuar en el ámbito internacional, en el caso de Canadá se ha señalado que durante una crisis de salud pública, las leyes de privacidad siguen aplicando, pero esto no es una barrera para el intercambio apropiado de información[1].
¿Los responsables pueden solicitar a sus empleados o visitantes que les reporten su estado de salud (cualquier síntoma de Covid-19) como medida de mitigación de la pandemia? ¿Los responsables pueden solicitar los antecedentes de viajes de sus empleados o personas que los visitan?
De acuerdo con la Ley, los datos que recaben los responsables de datos personales deben hacerse de manera responsable y proporcional, además tratándose de datos personales consideraros como sensibles deberá hacerse bajo el principio de consentimiento expreso. Como recomendación, se debe realizar las enmiendas y adiciones necesarias al aviso de privacidad de los responsables para poder recabar este tipo de información con apego al principio de licitud e información.
Por su parte el INAI ha habilitado un micrositio debido a la pandemia, donde responde a la pregunta “Con motivo del COVID-19 ¿Se puede solicitar información de la salud adicional a la que sus trabajadores le informan?” Señalando: “Preferentemente, se recomienda que el empleador incentive a los trabajadores voluntariamente a comunicar sobre los síntomas que presenten o los viajes recientes a sitios de riesgo a los que han acudido, de manera personal al médico ocupacional y no así a través de formularios extensos sobre su situación de salud o de sus destinos frecuentes, al resultar desproporcionado.
Los datos personales de salud que se solicite a los trabajadores deberán ser los mínimos necesarios para que se tomen las medidas para la seguridad del centro de trabajo y asegúrese de que toda la información recopilada sea tratada con las garantías adecuadas.”
¿Es válido tomar la temperatura de las personas a través de aparatos en la entrada de sus instalaciones o a través de cámaras termográficas?
En principio, este tipo de información se relaciona directamente con el estado de salud de una persona, no debemos perder de vista que se trata igualmente de un dato personal considerado sensible, por lo tanto, sigue los mismos principios que hemos comentado sobre el consentimiento expreso.
No obstante, al tratarse de un aspecto relacionado con la seguridad y salud pública, se considera como un límite al principio de consentimiento, por su parte el Consejo de Salubridad General ha recomendado que se haga con la finalidad de prevenir contagios.
En Francia, por ejemplo, la toma de temperatura de empleados o visitantes no se permite en los trabajos, pero invitan a las empresas a informar a las autoridades sanitarias sobre las personas con síntomas y resaltan la obligación de los trabajadores de revelar los síntomas conforme al código de trabajo de este país.
¿Los responsables deben avisar sobre estas medidas?
Definitivamente, es recomendable que se hagan las revisiones y en su caso, las adecuaciones necesarias a los avisos de privacidad de los responsables para que los datos sean recabados de manera legítima, controlada e informada.
Por ejemplo, si el responsable usa cámaras termográficas para medir la temperatura de sus empleados o visitantes es recomendable dar aviso a los titulares, a través de su aviso de privacidad o señalización especial.
¿Los responsables pueden transferir esa información a terceros, ya sean instituciones de salud o no?
Los responsables de datos personales deben apegarse en todo momento a lo establecido en su aviso de privacidad, así como en los principios establecidos en la Ley y su reglamento. Al referirnos a información considerada como datos personales sensibles, la transmisión debe apegarse a los principios de consentimiento expreso y por escrito.
Ahora bien, una excepción para la transmisión de datos personales es que se encuentre una obligación establecido en una ley, en este caso la obligación de notificar a la Secretaría de Salud o a la autoridad sanitaria más cercana. Esta transmisión de datos personales sólo debe hacerse a las autoridades sanitarias y no a otro tercero.
Asimismo, posterior a la notificación se recomienda que esa información sea pasada por un proceso de disociación para evitar que el titular sea objeto de discriminación. La transferencia a terceros, distintos de las autoridades sanitarias, no está permitido como una excepción, sino que debe ser apegada a las disposiciones de Ley y del aviso de privacidad que corresponda.
Por ejemplo, en Perú revelar el estado de salud sin el consentimiento de la persona puede ser multado con un monto entre los 21,500 y 215,000 soles. En México, la multa por transferir datos personales sensibles puede ser entre $49,288.00 y $78,860,800.00.
¿Las instituciones u organizaciones públicas pueden tratar datos personales relacionados o no con la salud de las personas?
Las instituciones públicas solo pueden tratar los datos personales con apego a la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados y en la Ley General de Transparencia y Acceso a la Información Pública.
Particularmente es posible que traten los datos personales de los titulares, aun sin su consentimiento, cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o cuando los datos personales sean necesarios para efectuar un tratamiento para la prevención, diagnóstico, la prestación de asistencia sanitaria.
En Argentina el Ministerio de Salud de la Nación y los ministerios provinciales puede tratar información de salud sin consentimiento de los titulares, conforme a su legislación.
¿Las empresas que trabajan desde casa debe tomar medidas adicionales para la protección de datos personales?
Debido a que mucha información será tratada fuera de la fuente de trabajo es altamente recomendable que se concientice y sensibilice al personal sobre el cuidado y confidencialidad que deben guardar ante los datos personales y mantener en todo momento los mismos estándares de protección establecidos en el aviso de privacidad del responsable.
Asimismo, es recomendable utilizar los medios electrónicos proporcionados por la empresa y mediante aplicaciones y sistemas confiables, así como el uso de medidas de seguridad para la protección de la información.
* * *
En conclusión, nuestra recomendación es que los responsables de datos personales se prevengan mediante la revisión de sus avisos de privacidad y en caso de ser necesario se modifiquen estos para cumplir con los principios de la Ley, así como con las medidas adoptadas frente a la pandemia.
Es importante que todos nos corresponsabilicemos con la prevención de contagio del virus COVID-19, atendiendo en todo momento las recomendaciones de las autoridades sanitarias, particularmente las establecidas en el Acuerdo que determina las actividades esenciales que podrán seguir operando en el periodo del 30 de marzo al 30 de abril de 2020.
Para información adicional, puede comunicarse con cualquiera de los miembros de nuestro Equipo de Propiedad Intelectual.
Lic. Rafael Amador Espinosa
NOTA IMPORTANTE: La información aquí contenida es de naturaleza general y de carácter informativo. Por favor considere que lo aquí señalado no aborda las circunstancias de ningún individuo o entidad. Recomendamos no tomar ninguna medida basado en esta información sin la debida asesoría profesional de nuestros abogados con base en su situación particular.
