La privacidad y los datos personales frente a la emergencia sanitaria

A cualquiera le hubiera costado imaginar que, en estos tiempos, viviríamos una pandemia. Al tiempo que la literatura prolífera y más extensa da por cierto que la humanidad superará la enfermedad y la muerte, la máxima preocupación versaba, hasta el momento, sobre el cuándo se alcanzará la llamada SIA (Súper-Inteligencia Artificial) – definida como aquella IA que sobrepasa el nivel de inteligencia de un ser humano- y que podría, supuestamente, destruir a la humanidad entera. Sin embargo, la actual pandemia nos demuestra que las nuevas tecnologías son, más que nuestras enemigas, nuestras aliadas y con uso se abre el interrogante de hasta dónde nuestra privacidad y datos personales están protegidos con su actual aplicación para el teletrabajo, la educación a distancia, telemedicina, investigación médica, y su uso por el Estado mismo. En suma, esta pandemia nos da la oportunidad de dimensionar la relevancia que tienen los datos y la información en la sociedad de la información junto al uso de las nuevas tecnologías.

El dato personal se define como aquella información relativa a una persona identificada o identificable, y que reviste en la literatura europea y en algunos de nuestros países, el carácter de derecho fundamental. Cabe recordar que, el principio general para el tratamiento de datos personales es la ley o el consentimiento del titular de los datos en la mayoría de nuestras legislaciones. Asimismo, la información personal debe ser utilizada para los fines señalados en su tratamiento y para los cuales conste la autorización legal o del titular, bajo el principio de finalidad. En el caso sub examine, resiste los siguientes niveles de análisis, a saber: los datos de salud como datos personales sensibles, el ámbito de los datos personales en la esfera laboral; y el uso de los datos personales por parte del Estado (videovigilancia, trazabilidad a través de plataformas, geolocalización, big data, reconocimiento facial, entre otros). Los datos sensibles, datos especialmente protegidos, se refieren a la salud, los datos genéticos, biométricos – como el reconocimiento facial o la huella digital-, orientación sexual, política, racial, étnica. Definición que también tiene un condimento extra dado por el contexto cultural y político de los países.

Dicho lo anterior, en primer lugar, cabe señalar que, los datos de salud constituyen datos sensibles. De conformidad con lo estipulado por el Reglamento General de Protección de Datos de la Unión Europea (RGPD, o por sus siglas en inglés GPDR), los datos de salud son datos de carácter sensible, incluyendo dentro de esta categoría a los datos genéticos, y los datos biométricos. Dentro de lo regulado en la literatura iberoamericana en la materia, las legislaciones de España, MÉxico, Colombia, Uruguay, Argentina y Chile también contemplan dicha categoría de datos. Por su parte, los Estándares Iberoamericanos también establecen la categoría de datos sensibles entre los que se comprenden los datos de salud.

En términos generales, las legislaciones disponen la prohibición de tratamiento de los datos sensibles como principio general. Lo que tiene de especial esta categoría es que estos datos reciben una protección más fuerte contemplando la prohibición de su tratamiento y requisitos adicionales para su protección (garantías). En ese marco, el RGPD establece que, las excepciones a la prohibición de tratamiento de los datos sensibles se debe establecer de forma explícita a través del consentimiento explícito del titular o ampararse en una situación de interés público, seguridad pública y/o emergencia sanitaria. Dichas excepciones deberán ser parciales y deberá establecerse, mínimamente, en el marco regulatorio el plazo de conservación de los datos, la finalidad del tratamiento, el alcance de las limitaciones, las garantías para evitar accesos o transferencias ilícitas o desproporcionadas, la determinación del responsable, y los posibles riesgos a los derechos y libertades, como el derecho a ser informado.

El RGPD estipula “Asimismo deben autorizarse excepciones a la prohibición de tratar categorías especiales de datos personales cuando lo establezca el Derecho de la Unión o de los Estados miembros y siempre que se den las garantías apropiadas, a fin de proteger datos personales y otros derechos fundamentales, cuando sea en interés público, en particular el tratamiento de datos personales en el ámbito de la legislación laboral, la legislación sobre protección social, incluidas las pensiones y con fines de seguridad, supervisión y alerta sanitaria, la prevención o control de enfermedades transmisibles y otras amenazas graves para la salud. Tal excepción es posible para fines en el ámbito de la salud, incluidas la sanidad pública y la gestión de los servicios de asistencia sanitaria, especialmente con el fin de garantizar la calidad y la rentabilidad de los procedimientos utilizados para resolver las reclamaciones de prestaciones y de servicios en el régimen del seguro de enfermedad, o con fines de archivo en interés público, fines de investigación científica e histórica o fines estadísticos. Debe autorizarse asimismo a título excepcional el tratamiento de dichos datos personales cuando sea necesario para la formulación, el ejercicio o la defensa de reclamaciones, ya sea por un procedimiento judicial o un procedimiento administrativo o extrajudicial. (consid. 52). Por otra parte, en el considerando 53, dispone “El tratamiento de categorías especiales de datos personales, sin el consentimiento del interesado, puede ser necesario por razones de interés público en el ámbito de la salud pública. Ese tratamiento debe estar sujeto a medidas adecuadas y específicas a fin de proteger los derechos y libertades de las personas físicas. En ese contexto, «salud pública» debe interpretarse en la definición del Reglamento (CE) n.o 1338/2008 del Parlamento Europeo y del Consejo (1), es decir, todos los elementos relacionados con la salud, concretamente el estado de salud, con inclusión de la morbilidad y la discapacidad, los determinantes que influyen en dicho estado de salud, las necesidades de asistencia sanitaria, los recursos asignados a la asistencia sanitaria, la puesta a disposición de asistencia sanitaria y el acceso universal a ella, así como los gastos y la financiación de la asistencia sanitaria, y las causas de mortalidad. Este tratamiento de datos relativos a la salud por razones de interés público no debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos personales con otros fines.” Por último, en el art. 9 inc. I) estipula bajo la prohibición de tratamiento de los datos personales de carácter sensible la siguiente excepción: “i) el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios, sobre la base del Derecho de la Unión o de los Estados miembros que establezca medidas adecuadas y específicas para proteger los derechos y libertades del interesado, en particular el secreto profesional”.

Por otro lado, los Estándares Iberoamericanos en el art. 9.1.d) contemplan como excepción las razones de seguridad y salud pública. También, cabe recordar que, la Ley orgánica española 3/2018 (que adoptó el RGPD) en el párrafo segundo del art. 9 se refiere a la categoría de datos especiales y su tratamiento al disponer la prohibición de tratamiento de los datos sensibles y su excepción bajo el amparado de una ley con resguardo extra de la confidencialidad y seguridad y de los datos en el ámbito de la salud en los siguientes términos “cuando lo exija la gestión de los servicios y sistemas de asistencia sanitaria y social, pública y privada…”.

En segundo lugar, respecto al uso de los datos personales por el empleador, en general, las constituciones y los códigos del trabajo establecen que el empleador guardará reserva de toda información y datos privados del trabajo al que se tenga acceso con ocasión de la relación laboral y la inviolabilidad de toda forma de comunicación privada y protección de la vida privada e intimidad del trabajador. Sin embargo, la jurisprudencia de nuestros países, en general, admite que se establezcan límites por medio del Reglamento interno o de Higiene que, en términos generales, se derivan de la propiedad de la empresa sobre los equipos y procedimientos. En suma, siempre el ejercicio de las facultades por parte del empleador encontrará como límite los derechos del trabajador en relación a su privacidad. Por otro lado, la ley orgánica 3/2018 en España actualizó las garantías del derecho a la intimidad frente al uso de dispositivos de videovigilancia y grabación de sonidos en el lugar de trabajo.

Por último, y en relación al uso por parte del Estado de los datos de carácter personal, es necesario determinar los estándares bajo los cuales su uso puede estar permitido. Por ejemplo, el uso con fines preventivos de las cámaras de videovigilancia empleadas por las fuerzas del orden y seguridad pública, en tanto correspondan al ejercicio de potestades administrativa. Otro ejemplo es el desarrollo de aplicaciones o plataformas que permitan la geolocalización de las personas y la trazabilidad de sus datos personales (Argentina, China, Corea del Sur, Taiwán, Singapur están implementándolo o por implementar con motivo de la pandemina), uso de big data y datos biométricos como el reconocimiento facial, por ejemplo (es el caso de Rusia). En ese marco, cabe mencionar que el Estado por el principio de legalidad está sometido a la ley y al derecho. Existe mucha doctrina y jurisprudencia sobre el tema que coincide en señalar que deberá evaluarse su uso bajo los principios de idoneidad, de proporcionalidad y la aplicación del test del daño y del interés público que supone ponderar costos- beneficios de revelar una información personal sopesando otros bienes como la seguridad, la salud pública, entre otros, para determinar si el beneficio público de conocer la información es mayor que el daño que podría causar su revelación.

Para concluir, se trata de conciliar el uso de los datos personales que nunca es ni será gratuito, con las necesidades vinculadas a la salud pública pero resguardando los requisitos que legitiman su tratamiento por parte de particulares o del Estado a través del ejercicio de los límites razonablemente tolerables de la intromisión pública con finalidades preventivas y del cumplimiento del marco regulatorio en la materia e implementar garantías mínimas para las limitaciones al mismo. También es aconsejable el uso herramientas como la anonimización de los datos lo cual imposibilita básicamente reidentificar a los titulares de esos datos. Queda claro que la privacidad y la protección de datos deben ser transversales a cualquier política pública y en cualquier momento político incluso en situación de emergencia y convertirse en parte de la cultura de nuestros países. Es tiempo de repensar que no se trata de un juego de suma cero sino de un win win, donde todos ganan a través de la protección de los datos y se enriquece la democracia y los derechos humanos en la región.