Como parte de las acciones dispuestas por el Gobierno para hacer frente al COVID-19 en el país, la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, en estrecha coordinación con el Ministerio de Salud, el Ministerio de Economía, la Universidad Nacional de Ingeniería y un grupo importante de empresas privadas de tecnología, ha desarrollado la aplicación gratuita “Perú en tus manos”, cuyo principal objetivo es detener la cadena de contagio del COVID19.
La plataforma ofrece la realización de Triaje Digital a través de un autotest, según los síntomas que viene presentando para descartar el contagio de COVID-19. Para la autoevaluación es necesario registrar el documento de identidad (DNI) y en caso de emergencia, las autoridades de salud podrán contactarse con los pacientes de riesgo. Éste es un escenario en dónde a través de la información del DNI se hace identificable a la persona y son geolocalizados a través del teléfono móvil que han facilitado previamente
Ante lo mencionado en los párrafos precedentes, los fundamentos que legitiman dichos tratamientos son la necesidad de atender las misiones realizadas en interés público, así como la de garantizar los intereses vitales de los propios afectados o de terceras personas.
Con la plataforma se vienen dando escenarios que implican un elevado volumen de tratamientos de datos personales y, especialmente, de datos sensibles como los de salud. Los datos de salud son datos de especial protección, dado que revelarlos sin consentimiento puede vulnerar la esfera más íntima de la persona.
Ésta situación de emergencia conlleva a una contrapartida de cumplimiento con respecto a la normativa de Protección de Datos Personales porque por un lado no puede suponer la suspensión de éste derecho fundamental y por el otro no puede utilizarse para obstaculizar o limitar la efectividad de las medidas que adopte el Estado en la lucha contra el Covid-19, ya que en ellas se prevén soluciones que permitan el uso lícito de los datos personales con las medidas necesarias para garantizar eficazmente el bien común.
Es importante sugerir a los ciudadanos que sean diligentes a la hora de informarse de quién, para qué y con qué garantías van a tratarse sus datos personales. Estos datos sólo podrán ser facilitados por quienes sean mayores de 16 años y en el caso de tratar datos de menores de 16 años, se requeriría de la autorización de sus padres o representantes legales.
En cumplimiento de la normativa de protección de Datos Personales, consideramos que éstos aplicativos deben cumplir con el deber de información contando con una política de privacidad en dónde se detalle lo siguiente:
- Categorías de datos personales procesados.
- Razón del Tratamiento de los datos (debe especificarse el estado de emergencia y el tratamiento temporal de la información).
- Base legal para el Tratamiento de los datos Personales.
- Existencia de los derechos de los Titulares de Datos Personales y cómo ejercer dichos derechos.
- Especificar sí existe Transferencia de los Datos Personales Tratados.
- Se debe indicar el tiempo de duración del Tratamiento de los Datos Personales.
- Los aplicativos que utilizan inteligencia artificial deben informar sobre la toma de decisiones automáticamente en función de los datos personales sin ninguna intervención humana significativa.
Los Responsables de Tratamiento de Datos Personales serán las autoridades públicas competentes para actuar conforme a la declaración del estado de emergencia, es decir, el Ministerio de Salud y las que designe el PCM, que podrán cederse datos entre instituciones, y a los profesionales de salud que traten a los pacientes o que intervengan en el control de la epidemia. Las entidades privadas que colaboren con dichas autoridades sólo podrán utilizar los datos conforme a las instrucciones de estas y, en ningún caso, para fines distintos de los autorizados.
Éstos aplicativos deben contener límites al Tratamiento de Datos Personales Sensibles:
1. Que sea seguro y proporcional. El desarrollo de las herramientas debe ser segura y la recopilación de datos personales debe ser proporcional a su necesidad. No se puede aprovechar esta crisis para aumentar el control o perfilado de información sensible de la ciudadanía.
2. Que la conservación de los datos tenga un fin y caducidad. El periodo de crisis debe tener un objetivo y un límite. Al acabar esta crisis, los datos más sensibles de muchos peruanos, como los de geolocalización o salud, estarán en manos de muchos actores públicos y privados que pueden utilizarlos para otras finalidades que no se encuentren descritas en la Política de Privacidad. Pero los datos solo podrán ser usados para lo que se han pedido y deberán ser eliminados cuando el peligro termine.
3. Que el desarrollo de las herramientas sea cuidadoso con los datos. En épocas de urgencias, el cuidado por los detalles es complejo.
4.- Deben brindar a los usuarios medidas de seguridad y en estricto respeto del principio de proporcionalidad del tratamiento de los datos. Todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para la que estos hubiesen sido recopilados.
5.-El respeto de los siguientes principios relativos al tratamiento de datos personales: Los datos personales deben ser recopilados para una finalidad determinada, explícita, lícita y una vez cumplida ésta finalidad deberán ser eliminados. El tratamiento no debe extenderse a otra finalidad que no haya sido la establecida de manera inequívoca como tal al momento de su recopilación, según el cual dichos datos únicamente podrán utilizarse para la finalidad comunicada, gestionar y acabar con la pandemia.
6.- Las finalidades para las que pueden tratarse los datos son, únicamente, las relacionadas con el control de la epidemia, entre ellas, las de ofrecer información sobre el uso de las aplicaciones de autoevaluación realizadas o la obtención de estadísticas con datos de geolocalización agregados para ofrecer mapas que informen sobre áreas de mayor o menor riesgo. Los datos que pueden obtenerse y utilizarse han de ser los que las autoridades públicas competentes consideren proporcionados/necesarios para cumplir con dichas finalidades.
Conclusiones .-
- El tratamiento de Datos Personales no debe extenderse a otra finalidad que no se encuentre establecida en la Política de Privacidad para el control de la pandemia.
- Es prioritario para el Gobierno mantener la confianza de los ciudadanos en un momento de crisis en el que el derecho a la vida es el derecho fundamental que debe primar.
- La normativa de Protección de Datos no puede limitar la efectividad de las medidas que adopte el Estado en la lucha contra la pandemia.
- Se debe adoptar las medidas que sean necesarias para salvaguardar los intereses de las personas físicas, el interés público esencial en el ámbito de la salud, la realización de diagnósticos médicos, sin necesidad de contar con el consentimiento explícito del afectado.
Armando Castillo Ramos