Los datos relacionados con el estado de salud presente o futuro de una persona son considerados como datos personales sensibles.
Con el propósito de prevenir riesgos de seguridad y respetar la privacidad de las personas afectadas, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) emite una serie de recomendaciones para el tratamiento de datos personales relacionados con casos -posibles o confirmados- de COVID–19, en nuestro país.
Ante el escenario actual, resulta importante recordar a las instituciones y prestadores de servicios de salud públicos y privados, así como a la población en general, que los datos relacionados con el estado de salud presente o futuro de una persona identificada o identificable son considerados por las leyes en materia de protección de datos, como datos personales sensibles.
Por regla general, el tratamiento de estos datos requiere un consentimiento expreso y por escrito del titular, salvo casos de excepción, en donde sean indispensables para atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, mientras el titular no esté en condiciones de otorgar el consentimiento o cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona.
Es por ello que los responsables y encargados del sector público y privado que traten datos personales relacionados con casos de COVID-19, deben contar con estrictas medidas de seguridad administrativas, físicas y técnicas para evitar cualquier pérdida, destrucción, robo, extravío, uso o acceso, daño, modificación o alteración no autorizada; además de cumplir con los principios, deberes y obligaciones establecidas en las leyes en materia de protección de datos personales vigentes, salvo los casos de excepción previstos.
Ante los diferentes escenarios de tratamiento que pudieran registrarse, se presentan algunas recomendaciones para un adecuado tratamiento de datos personales:
- Para responsables (Instituciones y prestadores de servicios de salud públicos y privados)
- Las medidas tomadas en respuesta al COVID-19 que implican el tratamiento de datos personales que incluyen datos de salud, deben ser necesarias y proporcionales, atendiendo la orientación y/o instrucciones de la Secretaría de Salud y autoridades competentes.
- Las instituciones y prestadores de servicios de salud públicos y privados, deben recabar solamente los datos personales mínimos necesarios, para lograr el propósito de implementar medidas para prevenir o contener la propagación de COVID-19 y, en su caso, brindar la atención, diagnóstico y tratamiento médico correspondiente.
- Los datos personales recopilados con el fin de prevenir o contener la propagación de COVID-19, no deben utilizarse para propósitos distintos.
- Para responsables del sector privado:
- Las organizaciones deben proteger la confidencialidad sobre cualquier dato personal o personal sensible relacionado con cualquier caso de COVID-19, para evitar daño o discriminación de la persona afectada.
- Toda comunicación que se realice en la organización sobre la posible presencia de COVID-19 en el lugar de trabajo, no debe identificar a ningún colaborador de forma individual.
- El tratamiento de datos personales ante el COVID-19, debe ser informado y el titular debe conocer en todo momento las finalidades para las cuáles serán recabados y tratados sus datos personales. Previo al tratamiento, el responsable deberá poner a disposición del titular el aviso de privacidad correspondiente.
- La identidad de las personas afectadas de COVID-19 no debe divulgarse, en caso de requerirse una transferencia de datos personales a las autoridades de salud, ésta deberá ser documentada claramente, fundamentada y realizarse considerando medidas de seguridad que garanticen la protección de los datos personales.
- Los responsables deben definir los plazos de conservación de los datos personales relacionados con casos de COVID-19, así como los mecanismos que se emplearán para eliminarlos de forma segura, tomando en consideración la normatividad sectorial en la materia-.
- Para la población en general:
Recordar que existe el derecho a la protección de sus datos personales, por lo que, en caso de un tratamiento inadecuado, podrán acudir al INAI a presentar una denuncia.
Se indica que, para dar cumplimiento a la legislación en la materia, los responsables y encargados del sector público y privado pueden realizar consultas al Instituto sobre dudas específicas relacionadas con los tratamientos de datos personales que realicen para prevenir y mitigar el COVID-19, así como para brindar atención, diagnóstico y tratamiento médico.
Finalmente, se debe tomar en cuenta que las leyes aplicables disponen que el derecho a la protección de los datos personales sólo podrá limitarse, entre otras causas, por razones de seguridad nacional, el orden, la seguridad y la salud pública, por lo que se deberá estar atento y dar puntual seguimiento a las disposiciones, protocolos y medidas que dicten las autoridades competentes en materia de salud.