Por Alexandra Espinoza Montero*
En las últimas semanas hemos estado pendientes de las últimas noticias o declaraciones relacionadas con el impacto del virus COVID-19 en nuestro país, particularmente, respecto al número de contagios, y los graves efectos en aspectos sociales y económicos.
Si bien toda esta información ha sido trasladada diariamente por los canales oficiales del Estado, y los medios de comunicación, llama la atención la forma en que la población ha tenido acceso a información que formalmente se considera de índole privado: nombres de personas afectadas por el virus, su condición médica actual, el lugar en el cual habita, todos datos que aparentemente habrían sido filtrados desde las bases de datos de entidades de salud.
El ejemplo más claro de la circunstancia descrita fue cómo hace unas semanas se filtró el estado médico de la ex ministra de salud, lo cual tal como fue mencionado por el ministro Victor Zamora[1].
Situaciones como la descrita generan que se cuestione la forma en la cual las entidades de salud, tanto privadas como públicas resguardan la información calificada como sensible por la Ley 29733, Ley de Protección de Datos Personales (en adelante, la “Ley”), y su reglamento, aprobado por Decreto Supremo 003-2013-JUS (en adelante, el “Reglamento”), aun mas en el presente contexto.
El presente artículo tiene por objetivo explicar a qué nos referimos con “información sensible”, describir cómo se protege y analizar si se está realizando un correcto tratamiento de dicha información.
- Los datos sensibles
En atención al derecho constitucional a la autodeterminación informativa, descrito en el artículo 2.6 de la Constitución Política del Perú, y desarrollado en la Ley y su Reglamento, se considera protegida a toda información que califique como dato personal, definido este como toda aquella información que identifique o haga identificable a una persona.
El artículo 2.5 de la Ley señala que existe una especial protección para aquellos datos que se encuentran relacionados con la intimidad de las personas, por ejemplo los datos biométricos que por sí mismos pueden identificar al titular; datos referidos al origen racial y étnico; ingresos económicos; opiniones o convicciones políticas, religiosas, filosóficas o morales; afiliación sindical; e información relacionada a la salud.
Los datos sensibles (como los datos relativos al tratamiento médico de una persona) son un tipo de dato personal, que por encontrarse intrínsecamente relacionado con la esfera más íntima de la persona, requieren de una protección especial, incluyendo el cumplimiento de una serie de obligaciones aplicables a todos aquellas personas, distintas del titular, que acceden a la información. Esto ocurre por ejemplo en el caso del consentimiento y las medidas de seguridad.
Por regla general, todo dato personal solo puede ser tratado[2],con el consentimiento previo, informado, expreso e inequívoco de su titular; sin embargo, para el caso de información sensible, será necesario que el consentimiento se otorgue obligatoriamente de forma escrita, en atención a lo señalado en el artículo 13.6 de la Ley.
El artículo 14 del Reglamento de la Ley señala que el consentimiento “escrito” se valida a través de la firma del titular de los datos, ya sea de forma manuscrita, digital o cualquier otro mecanismo de autenticación que garantice la voluntad inequívoca del titular[3].
Tal como se puede observar, la forma de solicitar el consentimiento constituye una diferencia esencial en el tratamiento de los datos personales sensibles, hecho que se encuentra en concordancia con la especial protección que se debe asegurar para este tipo de datos personales.
Por otro lado, en atención al artículo 9 de la Ley, es de obligatorio cumplimiento implementar las medidas de seguridad de índole organizativas, técnicas y jurídicas que correspondan a fin de garantizar la seguridad de los datos personales. Faltar a esta obligación constituye una infracción leve que podría generar que la Autoridad de Datos Personales sancione al titular de la base de datos con multas entre 1 a 5 UIT.
No obstante, para el caso de datos personales sensibles, será considerado una infracción grave no implementar las medidas de seguridad pertinentes, lo cual podría ser sancionado con una multa de 5 a 50 UIT.
Ahora bien, las particularidades del estado de emergencia generan la obligatoria adopción de medidas que regulen de forma especial el tratamiento ordinario de los datos sensibles. Estas medidas involucran una modificación sobre las reglas ordinarias del consentimiento (y subsecuente tratamiento) y las medidas de seguridad aplicables.
- Sobre el tratamiento de datos sensibles relacionados a la infección por el COVID-19
Si bien se debe solicitar el consentimiento de las personas para realizar tratamiento de datos personales, el artículo 14 de la Ley enumera situaciones bajo las cuales se puede exceptuar dicho requerimiento. De acuerdo con el numeral 6 del artículo citado existen situaciones de excepción al consentimiento relacionadas con fines médicos, de las cuales dos resultan aplicables al presente contexto:
(i) Cuando existan razones de interés público o salud pública, las cuales hayan sido calificadas como tal por el Ministerio de Salud (en adelante, MINSA); y,
(ii) para la realización de estudios epidemiológicos o análogos, en tanto se apliquen procedimientos de disociación adecuados.
Tal como la Autoridad de Protección de Datos Personales mencionó en respuesta a una opinión consultiva, la excepción del artículo 14.6 de la Ley se refiere a situaciones que implican una circunstancia de riesgo –como es el caso de una epidemia- en la que se pone en peligro la vida o salud del titular del dato personal y de personas cercanas a él[4].
Ambos supuestos convergen en la actualidad para variar las reglas de obtención de consentimiento y posterior tratamiento de datos.
Respecto al primer supuesto, existe una declaración de Emergencia Sanitaria, y posterior Estado de Emergencia, que sustenta que nos encontramos en una situación (de interés público) en medio de la cual es necesario que los funcionarios competentes traten los datos referidos a la salud de las personas, a fin de que puedan implementar medidas de prevención que eviten la propagación del virus COVID-19.
Lo mismo ocurre en el segundo supuesto, que enfatiza que la información sobre la salud de las personas podrá ser utilizada bajo la estricta finalidad de realizar estudios epidemiológicos, siempre y cuando se aplique un proceso de disociación[5].
En este escenario, el Gobierno ha implementado una serie de medidas que involucran el tratamiento de datos médicos, incluyendo:
(i) Registro y seguimiento de llamadas de las líneas 113 y 107;
(ii) Implementación del aplicativo “Perú en tus manos”, en el cual se puede realizar un triaje preliminar de posible contagio del virus COVID-19, y muestra las ubicaciones aproximadas de las personas infectadas; y,
(iii) Realización de estadísticas sobre el avance de contagios, muertes, altas médicas, entre otros.
Adicionalmente el 17 de abril de 2020, se publicó el Decreto Supremo 070-2020-PCM (en adelante, Decreto Supremo 070) que aprueba medidas complementarias al Decreto Supremo que declaró el Estado de Emergencia Nacional, incluyendo algunas medidas relacionadas al tratamiento de los datos personales recopilados a partir de lo señalado en los puntos (i) y (ii) precedentes.
Respecto a las llamadas, las entidades que administran las centrales de atención al usuario deberán informar al Ministerio de Salud, sus Organismos Públicos Adscritos, el Seguro Social de Salud (ESSALUD) y la Presidencia del Consejo de Ministros –a través de la Secretaría de Gobierno Digital-, sobre los casos sospechosos o confirmados de infección del virus COVID-19, en caso sea detectado a partir de la llamada recibida. Lo mismo ocurre con la información recopilada a partir del triaje realizado en el aplicativo móvil.
Asimismo, el aplicativo se retroalimenta con información sobre la ubicación aproximada de los infectados, sin que se identifique a dichas personas, es decir utilizando un mecanismo de disociación o anonimización pertinente.
El tratamiento realizado tanto para las llamadas como para la información recopilada en el aplicativo se encuentra en concordancia con una finalidad preventiva, que tiene por objetivo implementar las medidas de control necesarias para evitar la propagación del virus COVID-19, tal como es enfatizado en el artículo 1 del Decreto Supremo 070.
Ahora bien, respecto al punto (iii), el Ejecutivo realiza análisis estadísticos a partir de la información recopilada y transferida por entidades de salud. Dicha información es sistematizada con la finalidad de realizar estudios epidemiológicos, sin que se pueda identificar a las personas.
Las acciones realizadas por el Ejecutivo se encuentran dentro del marco de excepción descrito en el artículo 14.6 de la Ley, en tanto existe una finalidad preventiva, de interés público, constatada por el MINSA, que ha permitido la elaboración de bases de datos que contienen información sensible, así como su transferencia a los organismos competentes para su tratamiento.
La situación descrita también se complementa con el hecho de que las entidades públicas solo pueden realizar tratamiento de los datos descritos en atención al ejercicio de sus competencias, así como el compromiso de eliminar dicha información una vez que finalice el Estado de Emergencia. Ello limita, de forma importante, el campo de acción de las entidades del Estado que tendrán acceso a la información, así como establece un plazo respecto del cual se podrá realizar tratamiento de los datos recopilados de forma excepcional.
Resaltamos que encontrarse en un supuesto de excepción del consentimiento no significa que las personas que realizan el tratamiento no deban cumplir con las otras obligaciones enumeradas en la Ley, tales como informar a las personas sobre las razones del tratamiento -en atención al cumplimiento del principio de finalidad del artículo 7 de la Ley- , o la implementación de las medidas de seguridad óptimas –en atención al principio de seguridad del artículo 9 de la Ley-.
Es por esta razón que las finalidades y formas en las cuales será utilizada la información recopilada por el aplicativo constan en los Términos y Condiciones del mismo, el cual se pone a disposición del usuario de forma previa a inscribirse en el aplicativo. Asimismo, el artículo 5.2 del Decreto Supremo señala que las organizaciones que tengan acceso a ficha información deberán implementar las medidas de seguridad pertinentes hasta su eliminación. Esto es, sin embargo, la raíz de un problema que pasaremos a explicar luego.
Hasta aquí hemos descrito algunas acciones implementadas por el Ejecutivo, que se encuentran relacionadas con tratamiento de datos personales sensibles, con la finalidad de evitar la propagación del virus COVID-19.
Sin embargo, tal como hemos señalado al inicio de este artículo, se han presentado casos en los cuales se ha filtrado información, presuntamente resguardadas por entidades de salud públicas o privadas, a la cual terceros o medios de comunicación han tenido acceso. A raíz de ello cabe cuestionarnos, ¿cuándo existe un tratamiento indebido de datos personales? ¿qué mecanismos se deben implementar a fin de prevenir circunstancias como las descritas?
- Sobre el tratamiento indebido de datos sensibles y los mecanismos para prevenirlo
A pesar de las obligaciones descritas, la filtración de información sensible evidencia un incorrecto tratamiento de datos personales que afecta directamente a los titulares. No solo se realiza tratamiento sin su consentimiento –en tanto es puesto a disposición de terceras personas-, sino que evidencia una brecha en la seguridad de parte de las entidades de salud, y órganos competentes.
Las brechas de seguridad como tal son definidas como incidentes de seguridad que afectan a los datos personales, las cuales pueden tener un origen accidental o intencionado que puede consistir en la destrucción de los datos, pérdida, alteración o incluso accesos no autorizado[6].En cualquier caso, esto siempre se debe a la falta de implementación de medidas de seguridad idóneas para resguardar la información.
Si bien las medidas de seguridad que deben ser aplicados para las bases de datos que contengan datos sensibles se encuentran enumeradas en la Directiva de Seguridad elaborada por la Autoridad de Datos Personales, el 3 de abril de 2020 se publicó una Guía para tratamiento de datos de pacientes afectados por el COVID-19 en la página web del Ministerio de Justicia[7], la cual se aplica para las entidades de salud, e incluso alguna de ellas podrían ser reaplicadas en organismos públicos que acceden a la información sensible de las personas afectadas con el virus.
Dicha Guía establece las medidas de seguridad que deberán aplicarse en caso las entidades de salud almacenen información de forma física o informática, respectivamente. Asimismo, la Autoridad de Datos Personales recomienda medidas de seguridad que son aplicadas tanto de forma previa, y durante el acceso de los datos.
A fin de poder describir las medidas de seguridad enumeradas por la Autoridad de Datos Personales, resulta ilustrativo poder describir un caso de tratamiento indebido, y cómo este pudo evitarse de haber implementado los mecanismos de seguridad idóneos:
Una paciente ha dado positivo a la prueba del coronavirus, realizada por el MINSA, razón por la cual se le consultan el lugar de habitación. En tanto es una paciente asintomática, deciden no internarla y regresa a su domicilio con todas las previsiones que corresponden. Al día siguiente, circula en redes sociales el documento de su alta médica y análisis realizado, en el cual figura su dirección, situación que genera una serie de afectaciones a su integridad y/o tranquilidad de parte de sus propios vecinos.
El caso muestra una brecha de seguridad de acceso a su ficha médica con posterior comunicación a terceros de la información que obra en dicho documento. Pero ¿cómo se pueden prevenir estas situaciones?
Para comenzar la información deberá encontrarse almacenada en un sistema electrónico –si la información se encuentra digitalizada- o área restringida –si la información se encuentra en físico- respecto del cual se tendrá que implementar un mecanismo que limite su acceso: un usuario y contraseña, para el sistema; y, una llave o mecanismo de entrada con código, para los archivos en físico.
Asimismo, en caso de que efectivamente se tenga acceso a la información, dicho acceso se tendrá que documentar, de tal forma que en un documento o sistema quede registrado: la hora de ingreso a la base de datos, quién accedió, qué acción realizó la persona (por ejemplo, copia del documento, o un acceso con la finalidad de absolver una consulta), entre otros. Todo esto es recomendado en tanto permite la “trazabilidad” de la información, es decir, conocer las acciones relevantes que se realizaron con los datos almacenados.
Ello resulta de suma importancia, ya que, de ocurrir como en el ejemplo, un acceso no autorizado, se podrá verificar quiénes accedieron a la información de Paola, en qué momento y qué hicieron con dicha información, a fin de poder identificar al responsable de la brecha de seguridad de manera interna.
De otro lado, el artículo 17 de la Ley establece que todo aquel que realice tratamiento de datos tiene el deber de guardar la confidencialidad respecto a dichos datos, incluso después de finalizadas las relaciones con el titular de los datos personales. Ello incluso es enfatizado en el literal c) del artículo 5.2 del Decreto Supremo.
Adicionalmente a ello, se recomienda que se brinde capacitaciones sobre tratamiento de datos a todo el personal que tenga acceso a estos. De esta forma, se les puede concientizar sobre el tratamiento debido de la información almacenada por la entidad.
De forma previa, una práctica común suele ser que todo personal que realice tratamiento de datos firme compromisos de confidencialidad en donde se especifique el correcto tratamiento de los datos a los que tenga acceso en ejercicio de sus funciones, así como consecuencias en caso ello no las cumpla. Las entidades de salud, y en general toda organismo estatal que tenga acceso a esta información, no se encuentran exenta a dicha recomendación, y debería ser un factor que deben considerar.
Entonces, si personas externas a la entidad de salud tienen acceso a dicha información, presumiblemente la entidad no ha cumplido adecuadamente con su deber de confidencialidad, además de las medidas de seguridad que correspondan. Solo el cumplimiento de dichas obligaciones puede minimizar los riesgos de afectación a los titulares.
Es importante tomar en cuenta que si se produce una brecha de seguridad, dicha circunstancia debería ser comunicada a la persona afectada, así como las medidas que se han implementado para solucionarlo. Asimismo, es recomendable mantener un registro de las brechas de seguridad identificadas y las acciones que fueron realizadas a fin de solucionarlo.
Por último, corresponde a la Autoridad de Datos Personales, en atención a sus funciones enumeradas tanto en la Ley como el Reglamento, iniciar en todos los casos las investigaciones previas que correspondan cuando se identifique el tratamiento indebido de la información, y disponer, de ser pertinente, el inicio de un procedimiento sancionador.
- Reflexiones finales
Nos encontramos en un momento sumamente delicado, en el cual se comprende que la información es una herramienta poderosa a fin de que las personas puedan adoptar acciones de prevención necesarias en búsqueda de evitar la propagación del COVID-19. Sin embargo, las acciones de prevención, y nuestro derecho a mantenernos informados, no pueden ignorar la protección de los datos relativos a la salud de las personas.
La Autoridad de Datos Personales ha realizado varias publicaciones sobre el tema en las redes sociales del Ministerio de Justicia, de forma pertinente, en un afán de concientizar a las personas sobre ello. Aun, en el Perú, no existe una cultura de protección de datos: Las personas desconocen su Derecho, y, por su parte, los titulares de base de datos desconocen el marco normativo que se debe aplicar.
Es por esta razón que resulta importante que cada una de las entidades públicas y privadas que tienen acceso a la información sensible implementen los mecanismos de seguridad idóneos a fin de evitar brechas de seguridad, o tratamiento indebido de datos.
Nos falta mucho por aprender, pero por el momento, los establecimientos de salud, organismos estatales, medios de comunicación y nosotros, como ciudadanos, debemos interiorizar la importancia de la privacidad de información sensible, ya que de lo contrario, se podrían generar actos de discriminación contra los afectados.
Imagen obtenida de: https://bit.ly/2VRvoVA
* Egresada por la Pontificia Universidad Católica del Perú, asistente legal del área de Competencia y Propiedad Intelectual del estudio Benites, Vargas & Ugaz.
[1] https://publimetro.pe/actualidad/coronavirus-peru-minsa-lamenta-violacion-a-la-privacidad-de-la-exministra-zulema-tomas-tras-filtracion-de-contagio-estado-de-emergencia-cuarentena-covid-19-nndc-noticia/. Consultado el 7 de abril del 2020.
[2] Entiéndase por “tratamiento de datos personales” a toda cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales (art. 2.19 de la Ley)
[3] Un ejemplo de la vida cotidiana en el cual es evidente el tratamiento indebido de datos sensibles, es cuando las empresas aseguradoras realizan llamadas a potenciales clientes ofreciendo sus productos, para lo cual, consultan sobre sus antecedentes médicos, o los de sus familiares. Si bien en muchas ocasiones la empresa aseguradora solicita que la persona señale de forma oral que se encuentra de acuerdo con brindar dicha información –lo cual queda registrado en una grabación- ello contraviene la forma en la cual se debe solicitar el consentimiento para tratar información sobre la salud.
[4] OPINIÓN CONSULTIVA 07-2019-JUS/DGTAIPED-DPDP DE FECHA 6 DE FEBRERO DE 2019. Link: https://www.minjus.gob.pe/wp-content/uploads/2019/04/OP-07_2019_JUS_DGTAIPD.pdf. Consultado el 12 de abril de 2020.
[5] Existen procesos de disociación y anonimización conceptualizados en la Ley y Reglamento. Tanto la anonimización como la disociación son procedimientos que se implementan a los datos o base de datos, a fin de que se impida la identificación del titular de estos. La diferencia entre uno u otro es que el primero es un procedimiento irreversible, y el segundo no.
[6] https://www.aepd.es/es/derechos-y-deberes/cumple-tus-deberes/medidas-de-cumplimiento/brechas-de-seguridad. Consultado el 14 de abril de 2020.
[7] https://www.minjus.gob.pe/wp-content/uploads/2020/04/Cartilla-Coronavirus.pdf. Consultado el 7 de abril de 2020.