En el Perú, el tratamiento de datos personales en tiempos de COVID 19 ha sido necesaria para la toma de decisiones públicas y hasta el momento ha involucrado el tratamiento de los datos personales de millones de peruanos. Un trabajo complejo en un país donde el sector informal representa el 70% de la población económicamente activa.
Existen más de doce aplicativos y plataformas informáticas creadas y que interactúan entre sí desde el 16 de marzo fecha en la cual se inició el Estado de Emergencia y aislamiento social obligatorio en el Perú que aún se mantiene de manera focalizada en algunas localidades del país.
Los fines públicos que han justificado el tratamiento de datos personales son los siguientes:
- Salud pública. La prevención, seguimiento y control de la enfermedad ocasionada por el COVID-19 para disminuir su propagación.
- Protección social. El otorgamiento de bonos dinerarios a poblaciones debidamente focalizadas para disminuir el impacto negativo en las economías del hogar debido a la paralización de actividades.
En las siguientes líneas, se explicarán las intervenciones públicas y los mecanismos a través de los cuales se ha autorizado el tratamiento de esos datos personales en el marco Ley de Protección de datos personales, su reglamento y normas especialmente dictadas para el contexto COVID 19, a partir de los ámbitos de intervención descritos.
1. Para la tutela de la salud pública (prevención, seguimiento y control de la enfermedad COVID-19) el tratamiento de datos personales ha tenido cuatro manifestaciones.
1.1. Sistema integrado covid 19 (datos de salud y localización) y el aplicativo «Perú en tus manos» («contact tracing», «location data», «health data»)
La Autoridad Nacional de Salud (Ministerio de Salud) en marzo creó la plataforma Sistema integrado COVID 19 (SISCOVID) para articular acciones de prevención protección control de la enfermedad producida por ese virus y hacer el seguimiento integral de los casos sospechosos y confirmados con geolocalización a través del GPS de los teléfonos celulares.
El responsable de tratamiento de datos personales es el MINSA y toma decisiones a través de un Grupo de trabajo científico liderado por esa Autoridad Nacional de Salud. Los datos de salud provienen de los establecimientos de salud, de las centrales teléfonicas especialmente creadas para esta coyuntura, las aplicaciones móviles y otras bases de datos.
«Perú en tus manos» es la aplicación peruana del «contact tracing» tiene tres funcionalidades, prevención, información y alerta con el uso de geolocalización. Trata de ayudar a las personas a prevenir de los riesgos de contagio, brindándoles información de manera anonimizada de los casos sospechosos y de los portadores, a través del uso de datos de localización (GPS celular) y del triaje digital. Se envían alertas a través del aplicativo con SMS o mapas que indican círculos naranjas o rojos formados las zonas de riesgo gracias a un algoritmo que procesa los triajes y la confirmación de los casos portadores. Usa data anonimizada. Los datos pueden ser transferidos a terceras partes (entidades públicas) garantizando confidencialidad y las finalidades antes mencionadas y fines estadísticos. Solo durante Estado de emergencia. Se almacenan en nube Google INC.
¿Qué datos personales son tratados?
Los datos personales son los generados dentro de todo el ciclo de la enfermedad causada por el COVID-19, fases de triaje, toma de muestra, resultado de muestra, seguimiento clínico y, de ser el caso, fallecimiento. Entre ellos, se encuentran los números de teléfonos celulares, la geolocalización (hasta de tres días antes a la llamada, según Decreto Supremo, aunque el algoritmo es capaz de procesar hasta catorce días), datos de salud, los datos que se generen como resultado del llenado de cuestionario nacional o triaje inicial digital nacional. Y los datos personales recopilados por las llamadas a las centrales telefónicas 113 y 107, así como los provenientes de los establecimientos de salud.
¿Quiénes acceden a esos datos y de qué forma?
Están autorizados a realizar el tratamiento de datos personales, la Autoridad Nacional de Salud (MINSA y sus organismos adscritos) y el Seguro Social de Salud-EsSALUD, únicamente para la adopción e implementación de acciones de prevención y control del COVID-19 y durante la Emergencia Nacional, por ejemplo, realizan el modelamiendo del desarrollo de la pandemia identificando zonas que deben ser confinadas y a partir de ellos toman medidas sanitarias («hot spots» o zonas calientes).
Para las entidades públicas listadas en la normativa COVID-19 el acceso es de manera anonimizada y solamente con la finalidad de llevar a cabo la identificación, seguimiento de casos sospechosos o confirmados de COVID-19 para que cumplan con el aislamiento domiciliario obligatorio o sean trasladadas a un establecimiento de salud.
¿Cuáles son las garantías tratamiento de los datos personales en esta coyuntura?
El marco legal de tratamiento de datos personales en tiempos de COVID-19, es extraordinario y temporal, es decir, se aplica durante el Estado de Emergencia. Este, de conformidad a lo establecido en la Ley N° 29733, Ley de Protección de Datos Personales, y su Reglamento, aprobado por Decreto Supremo N° 003- 2013-JUS, ha cuidado de garantizar que se apliquen medidas para el aseguramiento de la información, por ejemplo, a través de las siguientes medidas (Decreto Supremo No. 070-2020-PCM):
- El acceso a los datos personales (incluye datos sensibles) únicamente está permitido para la finalidad pública de evitar la propagación de la COVID-19 y hacer el seguimiento del cumplimiento del aislamiento obligatorio para la Autoridad Nacional de Salud y EsSALUD.
- Para las otras entidades públicas (debidamente listadas), el tratamiento de datos es de forma anonimizada de personas infectadas con la COVID-19 o bajo sospecha de estarlo, solamente para fines de prevención, seguimiento y control de la propagación de la COVID-19 y cualquier otro tratamiento que responda a las competencias y funciones regulares de las entidades públicas.
- Las entidades están obligadas a adoptar las medidas técnicas, organizativas y legales correspondientes para salvaguardar la confidencialidad, integridad y disponibilidad de los datos hasta su eliminación, una vez terminado el Estado de Emergencia Nacional y sus ampliaciones.
- Las entidades garantizan que el personal que tiene acceso a la referida información se encuentra obligado a guardar confidencialidad, sin perjuicio de la responsabilidad civil, penal, administrativa a que hubiera lugar.
- Las entidades están obligadas a eliminar los datos recopilados inmediatamente a la finalización del Estado de Emergencia Nacional y sus ampliaciones, y no son utilizados para ningún fin.
- La Autoridad Nacional de Protección de Datos Personales acompaña, vigila, supervisa y fiscaliza que el tratamiento de los datos personales se realice para los fines previstos.
- La Presidencia del Consejo de Ministros (PCM), a través de la Secretaría de Gobierno Digital (SEGDI), acompaña, supervisa y fiscaliza el correcto uso y operación de las tecnologías digitales en el despliegue de la analítica de datos, inteligencia artificial, uso predictivo, tratamiento y recopilación de los datos, la creación de servicios digitales e implementación de plataformas y aplicaciones para las interacciones digitales con los ciudadanos de acuerdo a un marco de confianza digital, en el marco de la Emergencia Sanitaria a nivel nacional, declarada mediante Decreto Supremo N° 008-2020-SA.
¿Qué pasa con el principio de consentimiento (por escrito) para el tratamiento de datos sensibles?
En el caso de las plataformas y aplicativos, que son de acceso voluntario, el consentimiento se otorga a través de la aceptación de las políticas de privacidad de las personas que utilizan las aplicaciones. Se puede revocar el consentimiento, así como rectificar, cancelar u oponerse vía electronica.
En el caso de los datos de salud provenientes de los formatos que llenan los profesionales médicos son utilizados únicamente por el MINSA y EsSALUD para fines de modelar la epidemia y dar una respuesta sanitaria que ayude a frenar su propagación. Ello se encuentra permitido por la Ley de Protección de datos personales como una de las excepciones al principio de consentimiento por razones de salud pública y realización de estudios epidemiológicos en tanto se apliquen procedimientos de disociación adecuados (Art. 14, Ley 29733).
En el caso de las llamadas telefónicas a las centrales 113 y 107, solamente para efectos del seguimiento de potenciales casos, ello ya implica la geolocalización de la persona que ha llamado y el tratamiento del dato personal que de ella se deriva, así como la grabación de la comunicación efectuada a la central telefónica de emergencia, de acuerdo a los criterios y términos establecidos por la entidad que la administra.
1.2 Tratamiento de datos de salud en las relaciones laborales y COVID-19, con la finalidad de evitar la propagación de COVID-19
Los empleadores están legitimados de tratar los datos personales de los empleados necesarios para garantizar la seguridad y salud en el trabajo sin su consentimiento, siempre que cumplan con el deber de informarles en detalle el tratamiento de sus datos y en especial a los principios de finalidad, calidad, proporcionalidad y seguridad.
Los trabajadores se encuentran obligados a cooperar y a brindar la información al empleador respecto al posible o real contagio que padezcan de la COVID-19.
Se protege la confidencialidad de su enfermedad (COVID-19) salvo frente a los contactos que tuvo por razones de seguridad y salud en el trabajo. Así lo ha establecido una interesante opinión consultiva de la Autoridad de protección de datos personales (Opinión Consultiva N° 32-2020-JUS/DGTAIPD).
1.3 Tratamiento de datos personales en la intervención social denominada «Protección y soporte a las personas adultas mayores con alto riesgo y personas con discapacidad severa a través de una Red: Amachay (La fuerza del cuidado)»
El 15 de marzo pasado mediante el Decreto de Urgencia No. 026-2020 se autorizó al Ministerio de Desarrollo e Inclusión Social a diseñar y articular la Red de Soporte para el Adulto Mayor con alto riesgo y la Persona con Discapacidad Severa destinado a proteger de una manera personalizada a este segmento de población vulnerable, en coordinación con el Ministerio de Salud, el Ministerio de Economía y Finanzas, el Ministerio de la Mujer y Poblaciones Vulnerables, el Seguro Social de Salud (EsSalud), la Superintendencia Nacional de Salud (Susalud), la Sanidad de las Fuerzas Armadas y Policiales, el Seguro Integral de Salud (SIS), los Gobiernos Regionales y los Gobiernos Locales.
Esta red pública intersectorial e intergubermanental de ayuda social necesitaba para lograr el acercamiento a cada uno de los beneficiarios el acceso y tratamiento de datos personales, como teléfonos celulares, geolocalización, seguimiento por llamadas telefónicas y referencias a establecimientos de salud. Casi 4 millones de adultos mayores 400 mil con alto riesgo y 157 mil con discapacidad severa han sido contactados, siendo que el consentimiento se obtenía por teléfono.
1.4 Tratamiento de datos personales a través de “Te cuido Perú” (DS 068-2020-PCM)
Otra de las iniciativas del Poder Ejecutivo para prevenir la propagación del virus que causa la COVID-19, fue constituir un grupo multisectorial, a cargo del Ministerio de Defensa, como medida complementaria al aislamiento domiciliario obligatorio que rigió en el marco del Estado de Emergencia Nacional, con el fin de romper la cadena de contagio implementado para detectar a los infectados de COVID-19 con síntomas leves y asintomáticos, a sus familiares y contactos, con el fin de aislarlos y romper la cadena de contagio en el país, estando autorizados para acceder a diversas bases de datos para su labor. El MINDEF lidera este colegiado integrado también por el MINSA, EsSALUD, SEGDI de PCM, INDECI, MIDIS, MTC, MININTER, MIGRACIONES, PNP, RENIEC, OSIPTEL. No ha habido una amplia difusión sobre los resultados y labores desarrolladas, más alla del decreto de su creación.
2. Tratamiento de datos personales para la protección social
El otorgamiento de bonos dinerarios por un monto ascendente a S/ 760 soles (aproximadamente 215 dólares por hogar) destinado a poblaciones debidamente focalizadas para disminuir el impacto negativo en las economías del hogar debido a la paralización de actividades, fue entregado, a julio de 2020, a un aproximado de 6.5 millones de hogares, y se estima llegará a 8 millones y medio de hogares, con una inversión aproximada de 6 500 millones de soles, tuvo como herramientas primorciales el manejo de enormes bases de datos y la creación del Registro Nacional para medidas COVID-19 a cargo del Registro Nacional de Identificación y Estado Civil. Esta política de ayuda social ha sido considerada como el más grande subsidio universal de Latinoamérica.
En efecto, la propagación del coronavirus ha venido afectando seriamente las perspectivas de crecimiento de la economía global, y en particular, la dinámica de muchos sectores económicos en Perú. Ello hizo necesario implementar medidas destinadas a garantizar la protección social y seguridad alimentaria de todos los hogares que se encuentran en situación de vulnerabilidad dado que vieron afectados negativamente sus ingresos con el fin de que dicha población pueda cubrir sus necesidades básicas inmediatas, más aún teniendo en cuenta que el sector informal representa el 70% de la población económicamente activa.
A lo largo de la aplicación de los bonos, desde abril en adelante, el Poder Ejecutivo cayó en cuenta que la focalización que se tenía disponible no abarcaba a todos los hogares que necesitarían beneficiarse de estos bonos económicos; debido a lo cual, fue necesario autorizar con Decretos de Urgencia (normas con rango de ley) el tratamiento de los datos personales de diversas bases de datos administradas por entidades públicas para construir los padrones de hogares beneficiarios de los subsidios económicos (bonos), que llegaron a tratar con un universo de datos personales de alrededor de 22-25 millones de peruanos y peruanas[1], no solo los provenientes de bbases de datos del Estado sino también datos ingresados por los ciudadanos a través de la plataforma web creada por RENIEC para el efecto. Todo ello, en consonancia con la Ley de protección de datos personales, pues esta permite su tratamiento cuando se recopilen o transfieran para el ejercicio de las funciones de las entidades públicas en el ámbito de sus competencias (Art. 14-1) y cuando medien razones de interés público previstas por ley (Decretos de Urgencia).
Al respecto, es pertinente hacer mención a una reciente opinión consultiva de la Autoridad Nacional de Protección de Datos Personales (Opinión Consultiva N° 21-2020-JUS/DGTAIPD), en la cual se hace una ponderación entre derecho a la transparencia y acceso a la información pública, la protección de datos personales, la transparencia en la administración de bases de datos de usuarios de los programas sociales del Estado peruano y el derecho de los ciudadanos de saber cómo se maneja la res pulicae como presupuesto de una sociedad democrática por el principio de publicidad y transparencia y también como un medio de control institucional. En la opinión se concluye que es posible transparentar la lista de beneficiarios de los bonos a fin de facilitar el control social (sin revelar datos sensibles como ingresos, dirección, email, etc.).
Es muy interesante porque en esa opinión se explicita lo que constituye la más genuina expresión de lo que debe ocurrir en el actuar diario de las entidades públicas, realizar una debida ponderación con el fin de lograr el justo equilibrio entre los derechos fundamentales, los intereses generales y los diversos bienes jurídicos protegidos por el Estado Social y Democrático de Derecho, y dentro del mismo aspirar a lograr entonces un balance entre la protección de derechos fundamentales (p.e. protección datos personales) y la toma de decisiones públicas efectivas para superar esta pandemia.
3. Conclusiones
3.1 El tratamiento de datos personales en Perú en tiempos de Covid 19, el uso de las aplicaciones «contact tracing» son voluntarias.
3.2 Solamente la Autoridad Sanitaria Nacional y EsSALUD acceden y hacen el tratamiento de datos personales para tomar adecuadas decisiones en protección de la salud pública y las otras entidades públicas (listadas) usan datos personales solo de manera anonimizada, únicamente para disminuir la propagación del virus.
3.3. Este régimen especial establece garantías de protección de datos personales acordes con la regulación general de protección de datos personales.
3.3 El régimen es temporal y se eliminará cuando acabe el estado de emergencia, el marco de acceso y gestión de los datos personales se encuentra acorde a la normativa de protección de datos personales y es acompañada y fiscalizada por la Autoridad de Protección de Datos Personales y SEGDI de la PCM (en cuanto a la confianza digital).
3.4 Las intervenciones de ayuda social a través de los subsidios económicos (bonos) que han beneficiado a más de 6.5 millones de hogares ha implicado el tratamiento de datos personales de más 22-25 millones de peruanos y peruanas, debidamente autorizado por Decretos de Urgencia.
4. Reflexión Final
Sin embargo, el foco más que en la normativa debe concentrarse en la forma en que se aplica. Por ello, también es nuestra responsabilidad como ciudadanos/as vigilar al Estado que tome decisiones con transparencia y fiscalizar si es que la aplicación de la normativa que autoriza el uso de los datos personales logre los objetivos de interés general en beneficio de la salud de las personas y que su tratamiento se realice con observancia del principio de proporcionalidad, necesidad y efectividad sin vulnerar derechos fundamentales.
Espero, como todos, que esta pandemia acabe y la superemos. Y cuando acabe esta pandemia, podremos saber a nivel nacional y global, si la vigilancia a nuestra salud, nuestras libertades y el uso de nuestros datos personales (sin consentimiento previo) fue verdaderamente temporal; Si se utilizaron únicamente para fines de salud y no se cometieron exceso, si valió la pena para esas buenas intenciones la limitación de nuestros derechos y se lograron los fines públicos de protección de la salud, si aún formamos parte de sociedades democráticas en las que confiemos. Yo estoy deseando que así sea.
Imagen de portada obtenida de proteccion-datos-990×742.jpg
[1] Todas las bases de datos de las entidades públicas han confluido en una sola plataforma informática administrada por el RENIEC para la elaboración del Padrón de Hogares COVID 19 una tarea que aún no culmina.
