Por Nataly Macutela Lavilla*
1. Cuestión previa: Emergencia Sanitaria y el derecho a la protección de datos personales
Durante la Emergencia Sanitaria y Estado de Emergencia, declarados por el Decreto Supremo N° 008-2020-SA y el Decreto Supremo N° 044-2020-PCM publicados en el Diario Oficial “El Peruano”, en fechas 11 y 15 de marzo de 2020, respectivamente, entidades públicas, privadas y medios de prensa vienen recopilando información concerniente a la salud de las personas.
El derecho a la autodeterminación informativa o a la protección de datos personales, está reconocido en el inciso 6 del artículo 2 de la Constitución Política del Perú de 1993 como derecho fundamental, cuyo contenido fue analizado y debatido por diversos sectores de la doctrina[1]. Asimismo, el Tribunal Constitucional ha realizado aportes para la mejor comprensión y protección del contenido y alcances de este derecho y su control por el titular de los datos personales mediante sentencia recaída en el Expediente N° 4739-2007-PHD/TC[2]. A partir de ello, la doctrina consideró que este derecho tiene dos dimensiones:
“a) La dimensión “negativa” se traduce en la facultad que asiste al titular del derecho de prohibir el registro, la difusión y trasmisión de datos referidos a información de carácter personal “sensible”.
b) La dimensión “positiva” implica la facultad del titular del derecho de poder controlar los datos concernientes a la propia persona. Dentro de este aspecto se encuentra el derecho de inspeccionar, verificar, actualizar y corregir los datos o informaciones referidas a su persona, así como el hacer cancelar toda aquella información referida a los datos personales sensibles que no debe ser registrada ni difundida”[3].
Nuestra normativa de protección de datos personales, diferencia entre dos clases de datos: datos personales y datos sensibles. Estos últimos están constituidos por –entre otros– información relacionada con la salud de las personas, es decir, aquella concerniente con el estado de salud pasada, presente o pronosticada, física o mental de las personas, de acuerdo con lo establecido en los numerales 5 y 6 del artículo 2 del Reglamento de la Ley N° 29733, Ley de Protección de Datos Personales (LPDP)[4].
Como regla, para el tratamiento de datos personales relativos a la salud de las personas debe mediar consentimiento previo, informado, expreso e inequívoco (por escrito) por parte del titular de los mismos, de conformidad con lo establecido en los numerales 13.5 y 13.6 del artículo 13 de la LPDP[5].
Sin embargo, una excepción a dicha regla, es cuando el tratamiento ocurre en los siguientes supuestos: i) en circunstancia de riesgo para la prevención, diagnóstico y tratamiento médico del titular efectuado en establecimientos de salud y por profesionales en ciencias de la salud; o ii) cuando medien razones de interés público previstas por ley; o de salud pública, calificadas como tales por el Ministerio de Salud; o, iii) para la realización de estudios epidemiológicos o análogos, en tanto se apliquen procedimientos de disociación adecuados[6].
Debido al elevado número de casos de personas con COVID-19 alcanzado en 112 países fuera de China, el 11 de marzo de 2020, la Organización Mundial de la Salud (OMS) declaró al COVID-19 como pandemia[7]. En este contexto, el tratamiento de datos personales de los pacientes con COVID-19 es imprescindible para la prevención, diagnóstico y tratamiento de la enfermedad, así como para la realización de estudios epidemiológicos de la enfermedad por razones de interés público y salud pública.
2. Tratamiento de datos personales de pacientes con COVID-19
Solo el personal de salud que trabaja en hospitales, clínicas y postas médicas puede realizar tratamiento de datos personales sin solicitar el consentimiento del titular, siempre que este tratamiento tenga la finalidad de prevenir, diagnosticar y brindar tratamiento de las personas con COVID-19.
Cada establecimiento de salud es responsable de proteger la información de las personas con COVID-19, pues como dato sensible requiere la adopción de medidas de seguridad con un estándar más elevado de protección a fin de garantizar que terceros no accedan y revelen dicha información.
Mediante el Comunicado N° 43 del Ministerio de Salud, a través de la Superintendencia Nacional de Salud (SUSALUD), se precisó que la divulgación de los datos del estado de salud de los pacientes constituye la comisión de una falta grave, de acuerdo al Reglamento de Infracciones y Sanciones de la citada entidad aprobado por el Decreto Supremo N° 031-2014-SA, que puede ser sancionada con una multa de hasta 300 UIT[8].
El referido comunicado además destacó que los titulares de las entidades donde se hubiera cometido la infracción, están obligados a accionar la investigación y sanción de los responsables de la falta, sin perjuicio de la intervención que pueda tener el Ministerio Público u otras entidades tales como la Contraloría General de la República, los colegios profesionales o los procuradores públicos del Sector correspondiente.
Por razones de interés público y salud pública, los medios de comunicación pueden informar sobre el número de personas atendidas, edad, sexo, lugar de contagio, así como aquella información que no identifique ni haga identificables a los pacientes con COVID-19[9]. Es decir, los medios de comunicación no pueden revelar nombres y apellidos, fotografías o videos de dichas personas.
Finalmente, recopilar, difundir y publicar datos relacionados a la salud de personas identificadas o identificables, sin que medie el consentimiento libre, expreso, inequívoco, previo e informado del titular de dichos datos, constituye una infracción grave que puede ser sancionada con una multa entre 5 y 50 UIT, de acuerdo a lo previsto en el literal b), numeral 2 del artículo 132 del Reglamento de la LPDP[10] en concordancia con lo dispuesto en el numeral 2 del artículo 39 de la LPDP[11].
3. Tutela en sede administrativa y jurisdiccional
El Estado de Emergencia sanitaria no justifica el tratamiento indiscriminado de datos personales relacionados a la salud de las personas, en particular, de las personas con COVID-19. Las autoridades de salud no requieren solicitar el consentimiento de los pacientes con dicha enfermedad pues el tratamiento de sus datos personales se realiza al amparo de una excepción prevista en la normativa de datos personales; sin embargo, deben cumplir con adoptar las de seguridad suficientes y adecuadas para impedir que terceros accedan y difundan estos datos personales.
En este contexto, las personas con COVID-19 que vean vulnerado su derecho a la autodeterminación informativa o a la protección de datos personales por parte de entidades públicas, privadas o medios de prensa, podrán exigir su tutela en los siguientes ámbitos. En sede administrativa, a través de la Autoridad Nacional de Protección de Datos Personales (ANPDP) del Ministerio de Justicia y Derechos Humanos, órgano competente para hacer cumplir las disposiciones de la LPDP y su Reglamento que ejerce las siguientes funciones: orientadora, normativa, resolutiva, fiscalizadora y sancionadora.
La ANPDP viene ejerciendo un rol activo y protagónico en relación a la defensa del derecho a la protección de datos personales, muestra de ello es que, en lo que va del año, resolvió treinta y dos (32) opiniones consultivas[12], entre ellas, una relacionada al tratamiento de datos de salud durante la pandemia en el ámbito laboral, donde precisó que dicho tratamiento (sin el consentimiento del trabajador) debe observar en especial los principios de finalidad, calidad, proporcionalidad y seguridad[13].
Asimismo, la ANPDP publicó una “Guía para establecimiento de salud” a fin de que adopten las medidas técnicas y organizativas para garantizar la confidencialidad, integridad y disponibilidad de los datos personales de los pacientes que eviten su pérdida, filtración y difusión sin su consentimiento[14], con ello, se evidencia su especial preocupación respecto al tratamiento de dichos datos sensibles en el contexto actual.
Por otro lado, en sede jurisdiccional, el derecho a la protección de datos personales se protege a través de la garantía constitucional del hábeas data recogida en el numeral 3 del artículo 200 de la Constitución Política del Perú que dispone que “procede contra el hecho u omisión, por parte de cualquier autoridad, funcionario o persona, que vulnera o amenaza los derechos a que se refiere el artículo 2, incisos 5 y 6 de la Constitución”[15].
La instauración del hábeas data se inició con la Ley N° 26301, Ley referida a la aplicación de la acción de constitucional de hábeas data, cuyo artículo 5 establecía como vía previa el requerimiento por conducto notarial con una antelación no menor a quince (15) días calendario; asimismo, en cuanto a su procedimiento remitía entre otras, a la Ley 23506, Ley de hábeas corpus y amparo[16].
Posteriormente, mediante la regulación del habeas data en el Código Procesal Constitucional (CPC) en los artículos 61 al 65 se buscó desarrollar y precisar el contenido al derecho a la protección de datos personales, como una forma de suplir las carencias u omisiones de su regulación en el texto constitucional respecto a los alcances y protección de este derecho[17]. Asimismo, se sustituyó la “acción de hábeas data” por “proceso de hábeas data” debido a que la noción de pretensión está claramente diferenciada de la noción de acción, comprendida como el derecho de que tiene todo sujeto de acudir al órgano jurisdiccional en busca de tutela. Por nuestra parte, nos adherimos a la postura que considera que la acción no es la pretensión ni las vías procedimentales[18].
El legislador procesal constitucional amplió el radio operatividad y protección del hábeas data al incluir la tutela frente al tratamiento de datos personales que realicen entidades públicas o privadas a través de soportes automatizados o no, y reconoce los derechos del titular de los datos personales de conocer, actualizar, incluir y suprimir o rectificar dicha información, de conformidad con lo dispuesto en el numeral 2 del artículo 61 del CPC[19]. Ello tomando en cuenta el ágil desarrollo tecnológico que permite procesar, relacionar y transmitir gran cantidad de información de carácter personal.
En cuanto al procedimiento del hábeas data, el artículo 62 del CPC establece como requisito de procedibilidad que el demandante haya reclamado con documento de fecha cierta la tutela de su derecho, a ello se agrega que el demandado debe haberse ratificado en su incumplimiento o no haya contestado la solicitud dentro de los dos (02) días hábiles siguientes a la presentación de la solicitud; de manera excepcional se podrá prescindir de este requisito cuando su exigencia genere el inminente peligro de sufrir un daño irreparable, que deberá ser acreditado por el demandante.
El Tribunal Constitucional mediante sentencia recaída en el Expediente N° 06070-2009-PHD/TC ha ratificado que en el ámbito del proceso de hábeas data, el único requisito previo a la presentación de la demanda es el que contempla el artículo 62 del CPC, esto es, el “documento de fecha cierta”, la respuesta insatisfactoria o el silencio por parte de requerido habilitan la actuación del órgano judicial a efectos de restablecer el ejercicio del derecho conculcado[20]. Superado este requisito, el procedimiento será el mismo previsto para el proceso de amparo con la diferencia que para este proceso la presencia de abogado es facultativa, es decir, la parte tendrá capacidad postulatoria, de acuerdo con lo establecido en el artículo 65 del CPC[21], con ello se advierte que, se ha mantenido la remisión del procedimiento de hábeas a otro procedimiento previamente regulado.
La demanda de hábeas data será interpuesta dentro del plazo de sesenta (60) días hábiles desde que se produjo la afectación, es decir, vencido el plazo de diez (10) o dos (2) días hábiles para que el emplazado responsa a su comunicación o cumplido el referido término sin que se hubiese dado respuesta. Asimismo, deberá ser interpuesta ante el juez competente quien calificará la demanda y, de ser el caso, la declarará su improcedencia limitar por las causales previstas en el artículo 5 del CPC; por ello, la demanda deberá sustentarse en premisas que evidencien una afectación al derecho a la protección de datos personales[22].
Es importante destacar que, desde enero a marzo del presente año, de un total de 1157 expedientes ingresados al Tribunal Constitucional, 75 fueron de hábeas data (representa el 7% del total de casos)[23]. Estas estadísticas revelan que cada vez más personas acuden al órgano jurisdiccional en busca de tutela de su derecho a la protección de datos personales y el derecho al acceso a la información pública, respecto a los expedientes recibidos anteriormente.
4. Reflexión final
La última década ha sido marcada por el uso generalizado de tecnologías de información que son capaces de procesar, relacionar y transmitir gran cantidad información de un usuario a otro sin importar la distancia que medie entre ambos. Este desarrollo tecnológico viene generando un gran impacto en el modo y medios de interacción de las personas en los diversos ámbitos que éstas se desarrollan y con ello, la necesidad de hacer un uso responsable de los datos personales.
En este contexto, el Derecho como instrumento al servicio de la sociedad, cuenta con mecanismos de tutela en sede administrativa y jurisdiccional que permiten prever y mitigar los riesgos que pueden derivar del tratamiento indiscriminado de datos personales, en particular, de información relativa a la salud de personas con COVID-19.
*Bachillera de la Facultad de Derecho de la PUCP y miembro integrante del GIDEPROC.
[1] Un sector de la doctrina prefiere hablar de “autodeterminación informativa” en lugar de protección de datos personales y reconoce que “nos hallamos en el ámbito de un derecho fundamental cuyo contenido está conformado por los diferentes instrumentos que integran la protección de datos personales y que posee un núcleo o reducto indisponible incluso para el legislador, como sucede con todos los derechos fundamentales” MURILLO DE LA CUEVA, Pablo Lucas. «La construcción del derecho a la autodeterminación informativa». Revista de Estudios Políticos (Nueva Época). España, 1999, número 104, p. 39. Disponible en: file:///C:/Users/Usuario/Downloads/Dialnet-LaConstruccionDelDerechoALaAutodeterminacionInform-27560%20(3).pdf Consulta: 01 de mayo de 2020.
Sin embargo, otro sector de la doctrina sostiene que el inciso 6 del artículo 2 de la Constitución Política del Perú tutela la intimidad de la vida privada y familiar, por lo que, la única vía para construir constitucionalmente la tutela de la “autodeterminación informativa” es a través del artículo 3 de la Carta Política. LEYSSER LEÓN, Hilario. “Manipulación de información personal y derechos fundamentales. Crítica del proyecto de “ley de protección de datos personales”. En: Bepress, 2011, p. 2. Disponible en: file:///C:/Users/Usuario/Downloads/fulltext_stamped%20(1).pdf Consulta: 01 de mayo de 2020.
[2] Mediante sentencia del Tribunal Constitucional recaída en el Expediente N° 4739-2007-PHD/TC precisó en sus fundamentos jurídicos 3 y 4 lo siguiente:
“2. El derecho a la autodeterminación informativa consiste en la serie de facultades que tiene toda persona para ejercer control sobre la información personal que le concierne, contenida en registros ya sean públicos, privados o informáticos, a fin de enfrentar las posibles extralimitaciones de los mismos. Se encuentra estrechamente ligado a un control sobre la información, como una autodeterminación de la vida íntima, de la esfera personal.
3. Mediante la autodeterminación informativa se busca proteger a la persona en sí misma, no únicamente en los derechos que conciernen a su esfera personalísima, sino a la persona en la totalidad de ámbitos; (…) busca garantizar la facultad de todo individuo de poder preservarla ejerciendo un control en el registro, uso y revelación de los datos que le conciernen. (…)
4. En este orden de ideas, el derecho a la autodeterminación informativa protege al titular del mismo frente a posibles abusos o riesgos derivados de la utilización de los datos, brindando al titular afectado la posibilidad de lograr la exclusión de los datos que considera “sensibles” y que no deben ser objeto de difusión ni de registro; así como le otorga la facultad de poder oponerse a la transmisión y difusión de los mismos.”.
[3] EGUIGUREN PRAELI, Francisco José “El derecho a la protección de los datos personales. Algunos temas relevantes de su regulación en el Perú”. THĒMIS-Revista de Derecho. Lima, 2015, número 67, p. 133. Disponible en: http://revistas.pucp.edu.pe/index.php/themis/article/view/14462 Consulta: 23/05/2020.
[4] Reglamento de la Ley N° 29733, Ley de protección de datos personales, aprobado mediante Decreto Supremo N° 003-2013-JUS
“Artículo 2. Definiciones
Para los efectos de la aplicación del presente reglamento, sin perjuicio de las definiciones contenidas en la Ley, complementariamente, se entiende las siguientes definiciones:
(…)
- Datos personales relacionados con la salud: Es aquella información concerniente a la salud pasada, presente o pronosticada, física o mental, de una persona, incluyendo el grado de discapacidad y su información genética.
- Datos sensibles: Es aquella información relativa a datos personales referidos a las características físicas, morales o emocionales, hechos o circunstancias de su vida afectiva o familiar, los hábitos personales que corresponden a la esfera más íntima, la información relativa a la salud física o mental u otras análogas que afecten su intimidad”.
[5] Ley N° 29733, Ley de protección de datos personales
“Artículo 13. Alcances sobre el tratamiento de datos personales
(…)
13.5 Los datos personales solo pueden ser objeto de tratamiento con consentimiento de su titular, salvo ley autoritativa al respecto. El consentimiento debe ser previo, informado, expreso e inequívoco.
13.6 En el caso de datos sensibles, el consentimiento para efectos de su tratamiento, además, debe efectuarse por escrito. Aun cuando no mediara el consentimiento del titular, el tratamiento de datos sensibles puede efectuarse cuando la ley lo autorice, siempre que ello atienda a motivos importantes de interés público”.
[6] Ley N° 29733, Ley de protección de datos personales
“Artículo 14. Limitaciones al consentimiento para el tratamiento de datos personales
No se requiere el consentimiento del titular de datos personales, para los efectos de su tratamiento, en los siguientes casos:
(…)
- Cuando se trate de datos personales relativos a la salud y sea necesario, en circunstancia de riesgo, para la prevención, diagnóstico y tratamiento médico o quirúrgico del titular, siempre que dicho tratamiento sea realizado en establecimientos de salud o por profesionales en ciencias de la salud, observando el secreto profesional; o cuando medien razones de interés público previstas por ley o cuando deban tratarse por razones de salud pública, ambas razones deben ser calificadas como tales por el Ministerio de Salud; o para la realización de estudios epidemiológicos o análogos, en tanto se apliquen procedimientos de disociación adecuados”.
[7] Disponible en: https://www.dge.gob.pe/portal/docs/alertas/2020/AE011.pdf Consulta: 22/05/2020.
[8]Disponible en: https://www.gob.pe/institucion/minsa/noticias/111631-obligacion-de-preservar-la-reserva-de-la-informacion-de-los-pacientes-afectados-por-el-covid-19-comunicado-n-43 Consulta: 23/05/2020.
[9]Disponible en: https://www.gob.pe/institucion/minjus/noticias/109784-la-autoridad-nacional-de-proteccion-de-datos-personales-exhorta-a-los-medios-de-comunicacion-a-no-revelar-los-nombres-de-personas-de-covid-19-sin-su-consentimiento Consulta: 22/05/2020.
[10] Reglamento de la Ley N° 29733, Ley de protección de datos personales, aprobado mediante Decreto Supremo N° 003-2013-JUS.
“Artículo 132.- Infracciones
Las infracciones a la Ley Nº 29733, Ley de Protección de Datos Personales, o su Reglamento se califican como leves, graves y muy graves y se sancionan con multa de acuerdo al artículo 39 de la citada Ley.
(…)
- Son infracciones graves:
(…)
- b) Dar tratamiento a los datos personales sin el consentimiento libre, expreso, inequívoco, previo e informado del titular, cuando el mismo sea necesario conforme a lo dispuesto en la Ley Nº 29733 y su Reglamento”
[11] Ley N° 29733, Ley de protección de datos personales
“Artículo 39. Sanciones administrativas
En caso de violación de las normas de esta Ley o de su reglamento, la Autoridad Nacional de Protección de Datos Personales puede aplicar las siguientes multas:
(…)
- Las infracciones graves son sancionadas con multa desde más de cinco unidades impositivas tributarias (UIT) hasta cincuenta unidades impositivas tributarias (UIT)”.
[12] Disponible en: https://www.minjus.gob.pe/ultimas-noticias/consultas-absueltas-opiniones-consultivas-2020/ Consulta: 23/05/2020.
[13] Opinión Consultiva N° 32-2020-JUS/DGTAIPD de fecha 05 de mayo de 2020. Disponible en: https://www.minjus.gob.pe/wp-content/uploads/2020/05/OC-32.pdf Consulta: 23/05/2020.
[14] Disponible en: https://www.minjus.gob.pe/wp-content/uploads/2020/04/Cartilla-Coronavirus.pdf Consulta: 23/05/2020.
[15] Mediante Ley N° 26470, se modificó los incisos 2) y 3) del artículo 200 de la Constitución y con ella se retiró la tutela del hábeas data para los derechos contenidos en el inciso 7, artículo 2 de la Constitución (honor y buena reputación).
[16] Ley N° 26301, Ley referida a la aplicación de la acción de constitucional de hábeas data
“Artículo 3.- Para la tramitación y conocimiento de la Garantía Constitucional de la Acción de Hábeas Data serán de aplicación, en forma supletoria, las disposiciones pertinentes de la Ley Nºs. 23506, 25011, 25315, 25398 y el Decreto Ley Nº 25433, en todo cuanto se refiera a la Acción de Amparo; con excepción de lo dispuesto en el Artículo 11 de la Ley Nº23506”.
[17] EGUIGUREN PRAELI, Francisco José. Ob. Cit. p. 132.
[18] MORALES GODO, Juan. “El proceso de hábeas data”. IUS ET VERITAS, Lima, 2006, número 32, p. 271. Disponible en: http://revistas.pucp.edu.pe/index.php/iusetveritas/article/view/12392 Consulta: 24/05/2020. Otro sector de la doctrina considera que “el espectro que engloba la garantía no es ni puede ser eliminado y, de hecho, resulta muy útil para comprender la verdadera magnitud de nuestras acciones de garantía, que son mucho más que simples procedimientos”. CAVANI BRAIN, Renzo. Procesal Constitucional comentado. Lima: Gaceta Jurídica, 2015, Tomo II, p. 425.
[19] Ley N° 28237, Código Procesal Constitucional
“Artículo 61.- Derechos protegidos
El hábeas data procede en defensa de los derechos constitucionales reconocidos por los incisos 5) y 6) del artículo 2 de la Constitución. En consecuencia, toda persona puede acudir a dicho proceso para:
(…)
2) Conocer, actualizar, incluir y suprimir o rectificar la información o datos referidos a su persona que se encuentren almacenados o registrados en forma manual, mecánica o informática, en archivos, bancos de datos o registros de entidades públicas o de instituciones privadas que brinden servicio o acceso a terceros. Asimismo, a hacer suprimir o impedir que se suministren datos o informaciones de carácter sensible o privado que afecten derechos constitucionales”.
[20] Mediante sentencia del Tribunal Constitucional recaída en el Expediente N° 06070-2009-PHD/TC, fundamento jurídico 4, ratificó:
- “(…) el propio artículo 62 es explícito al establecer que aparte e del «documento de fecha cierta» «no será necesario agotar la vía administrativa que pudiera existir»; sino porque, además, no existe incompatibilidad o antinomia runa entre el procedimiento administrativo de solicitud de información regulado en la Ley N.° 27806 y el régimen procesal del hábeas Jata establecido por el Código Procesal Constitucional. En el ámbito del Proceso de Habeas Data, el único requisito previa la presentación de la demanda es el que contempla el artículo 62.° La respuesta insatisfactoria o el silencio por parte del requerido habilitan la actuación del órgano judicial a efectos de restablecer el ejercicio del derecho conculcado”.
[21] Ley N° 28237, Código Procesal Constitucional
“Artículo 65.- Normas aplicables
El procedimiento de hábeas data será el mismo que el previsto por el presente Código para el proceso de amparo, salvo la exigencia del patrocinio de abogado que será facultativa en este proceso. El Juez podrá adaptar dicho procedimiento a las circunstancias del caso”.
[22] ARMAS DIÉGUEZ, Silvana. Procesal Constitucional comentado. Lima: Gaceta Jurídica, 2015, Tomo II, p. 23.
[23] Disponible en: https://www.tc.gob.pe/institucional/estadisticas/ Consulta: 24/05/2020.
