Como es de conocimiento público, el Gobierno emitió diversas normas legales con la finalidad de contener la propagación del Coronavirus (COVID-19) en el territorio nacional. Entre ellas, cabe resaltar al Decreto de Urgencia No. 026-2020 y al Decreto Supremo N° 044-2020-PCM, que declara Estado de Emergencia Nacional por las graves circunstancias que afectan la vida de la Nación a consecuencia del brote del COVID-19.
Con la declaratoria del Estado de emergencia por 28 días calendarios y la disposición del aislamiento social obligatorio se suspenden diversos derechos fundamentales. Ésta situación de emergencia conlleva una contrapartida de cumplimiento con respecto a la normativa de Protección de Datos Personales porque por un lado no puede suponer la suspensión de éste derecho fundamental y por el otro no puede utilizarse para obstaculizar o limitar la efectividad de las medidas que adopte el Estado, en la lucha contra la pandemia, ya que en ellas se prevén soluciones que permitan el uso lícito de los datos personales con las medidas necesarias para garantizar eficazmente el bien común.
Se vienen dando escenarios que implican un elevado volumen de tratamientos de datos personales y, especialmente, de datos sensibles como los de salud. Los datos de salud son datos de especial protección, dado que revelarlos sin consentimiento puede vulnerar la esfera más íntima de la persona.
A continuación; brindaremos una serie de recomendaciones a los ciudadanos, a empleadores y trabajadores para que sean diligentes a la hora de informarse de quién, para qué y con qué garantías van a tratarse sus datos personales.
En el ámbito de Plataformas Tecnológicas y Aplicativos de Salud
Aplaudimos la iniciativa de los aplicativos médicos y páginas web que vienen brindando apoyo y recomendaciones sobre el COVID-19 a la ciudadanía; considero éstos aplicativos deben cumplir con el deber de información contando con una política de privacidad en dónde se detalle lo siguiente:
- Categorías de datos personales procesados.
- Razón del Tratamiento de los datos (debe especificarse el estado de emergencia y el tratamiento temporal de la información).
- Base legal para el Tratamiento de los datos Personales.
- Existencia de los derechos de los Titulares de Datos Personales y cómo ejercer dichos derechos.
- Especificar sí existe Transferencia de los Datos Personales Tratados.
- Se debe indicar el tiempo de duración del Tratamiento de los Datos Personales.
- Los aplicativos que utilizan inteligencia artificial deben informar sobre la toma de decisiones automáticamente en función de los datos personales sin ninguna intervención humana significativa.
Éstos aplicativos deben contener límites al Tratamiento de Datos Personales Sensibles:
1. Que sea seguro y proporcional. El desarrollo de las herramientas debe ser segura y la recopilación de datos personales debe ser proporcional a su necesidad. No se puede aprovechar esta crisis para aumentar el control o perfilado de información sensible de la ciudadanía.
2. Que la conservación de los datos tenga un fin y caducidad. El periodo de crisis debe tener un objetivo y un límite. Al acabar esta crisis, los datos más sensibles de muchos peruanos, como los de geolocalización o salud, estarán en manos de muchos actores públicos y privados que pueden utilizarlos para otras finalidades que no se encuentren descritas en la Política de Privacidad. Pero los datos solo podrán ser usados para lo que se han pedido y deberán ser eliminados cuando el peligro termine.
3. Que el desarrollo de las herramientas sea cuidadoso con los datos. En épocas de urgencias, el cuidado por los detalles es complejo.
4.- Deben brindar a los usuarios medidas de seguridad y en estricto respeto del principio de proporcionalidad del tratamiento de los datos. Todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para la que estos hubiesen sido recopilados.
5.-El respeto de los siguientes principios relativos al tratamiento de datos personales: Los datos personales deben ser recopilados para una finalidad determinada, explícita, lícita y una vez cumplida ésta finalidad deberán ser eliminados. El tratamiento no debe extenderse a otra finalidad que no haya sido la establecida de manera inequívoca como tal al momento de su recopilación, según el cual dichos datos únicamente podrán utilizarse para la finalidad comunicada, gestionar y acabar con la pandemia.
6.- Las finalidades para las que pueden tratarse los datos son, únicamente, las relacionadas con el control de la epidemia, entre ellas, las de ofrecer información sobre el uso de las aplicaciones de autoevaluación realizadas o la obtención de estadísticas con datos de geolocalización agregados para ofrecer mapas que informen sobre áreas de mayor o menor riesgo.
En el ámbito de medios de Prensa
Los medios de comunicación sí pueden tener acceso y revelar información acerca del número de pacientes atendidos, edad, sexo, lugar de contagio, así como aquella información que no identifique ni haga identificables a los pacientes de COVID-19, sin embargo; no deben revelar los nombres ni las fotos de los pacientes sin su consentimiento. Si realizan la difusión es necesario que el consentimiento sea brindado por escrito al tratarse de datos relacionados con la salud y si carece de ello se configura una infracción a la Ley de Protección de Datos Personales, que puede ser sancionada con una multa de entre 21,500 y 215,000 soles.
En el Ámbito Laboral
Según la Ley Nº 29783 (Ley de Seguridad y Salud en el Trabajo) y su Reglamento (el Decreto Supremo Nº 005-2012-TR), la empresa tiene la obligación de promover una cultura de prevención de riesgos laborales. En ésta situación de emergencia el empleador debe anteponer su rol de vigilancia y control de salud de todos sus trabajadores, esto quiere decir que está facultado de verificar sí el estado de salud de sus trabajadores puede constituir un peligro para ellos mismos o para el resto del personal. Asimismo; tiene la obligación de mantener el lugar de trabajo libre de riesgos sanitarios, por lo que estaría justificada la solicitud de información a los empleados y visitantes externos sobre síntomas o factores de riesgo sin necesidad de pedir su consentimiento explícito (Ley de Protección de Datos Personales, artículo 14, numeral 6 y Ley de Prevención de Riesgos Laborales, artículo 48, literal a).
La información a solicitar debería responder al principio de proporcionalidad, debe ser adecuado, relevante y no excesivo a la finalidad para la que estos hubiesen sido recopilados. Debe limitarse exclusivamente a preguntar por visitas a países de alta prevalencia del virus y en el marco temporal de incubación de la enfermedad, las últimas 2 semanas, o si se tiene alguno de los síntomas de la enfermedad. Resultaría contrario a los principios de calidad y seguridad, los datos personales que vayan a ser tratados deben ser veraces, exactos y adecuados respecto de la finalidad para la que fueron recopilados. Los resultados, deben conservarse de forma tal que se garantice su seguridad y solo por el tiempo necesario para cumplir con la finalidad del tratamiento.
Los trabajadores en situación de riesgo que han tenido contacto con personas cuyo diagnóstico ha sido confirmatorio con el COVID-19, se ven sometidos al correspondiente aislamiento preventivo para evitar los riesgos de contagio derivados de dicha situación hasta que exista un diagnóstico confirmado por lo tanto ellos tienen la obligación deberá informar a su empleador y al comité de Seguridad y Salud en el Trabajo o el Supervisor de Seguridad y Salud en el Trabajo para que pueda asegurar la adopción de medidas efectivas que garanticen la plena seguridad de los trabajadores según la Política de Seguridad y Salud en el Trabajo y en los Comités de Seguridad y Salud en el Trabajo.
En el escenario que un trabajador sea un caso confirmado con el COVID-19, la empresa se encuentra facultada de solicitar el resultado de su análisis manteniendo la privacidad del mismo para poder aplicar un plan de contingencia con la finalidad de garantizar la salud del resto de trabajadores y así adoptar las medidas necesarias para evitar los contagios en la empresa. Lo recomendable en las empresas es recabar información sin identificar a la persona afectada a fin de mantener su privacidad. Por ejemplo, si es posible alcanzar la finalidad de protección de la salud del personal divulgando la existencia de un contagio, pero sin especificar la identidad de la persona contagiada, debería procederse de ese modo.
El empleador cómo titular o responsable del tratamiento está obligado a guardar confidencialidad respecto de la información compartida por sus trabajadores. El artículo 17 de la Ley de Protección de Datos Personales, hace mención que el obligado (empleador) puede ser relevado de la obligación de confidencialidad cuando medie consentimiento previo, informado, expreso e inequívoco del titular de los datos personales o cuando medien razones fundadas relativas a la sanidad pública, sin perjuicio del derecho a guardar el secreto profesional.
Finalmente, mantener la confianza de los ciudadanos en un momento de crisis como el actual, es prioritario para un Gobierno, en una situación en el que el derecho a la vida es el derecho fundamental que debe primar.
La normativa de Protección de Datos Personales no debería utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades competentes de Salud, en la lucha contra el COVID-19. Se debe adoptar las medidas que sean necesarias para salvaguardar los intereses de las personas físicas, el interés público esencial en el ámbito de la salud, la realización de diagnósticos médicos, o el cumplimiento de obligaciones legales en el ámbito laboral, incluido el tratamiento de datos de salud sin necesidad de contar con el consentimiento explícito del afectado.