En los últimos meses, el mundo ha sido testigo de una pandemia que ha puesto en alerta a la sociedad en general. Los gobiernos, e incluso instituciones privadas, han tomado cartas sobre el asunto, implementando medidas de resguardo y prevención en estas materias.
Un aspecto que ha resultado clave para combatir la expansión del Covid-19, ha sido la utilización de las tecnologías de la información como mecanismo para llevar a efecto dichas gestiones.
LEGITIMACIÓN PARA EL TRATAMIENTO DE DATOS SENSIBLES.
Recientemente, se ha hablado mucho, principalmente por parte de especialistas en temas de protección de datos personales, sobre la legitimación de los organismos públicos y entidades privadas para tratar datos personales relativos a la salud, pertenecientes a la categoría de ‘datos sensibles’, según lo prescrito en el artículo 10 de la Ley N° 19.628, sobre Protección de la Vida Privada.
Sobre este respecto, ciertos profesionales han comentado en los medios que el derecho fundamental a la privacidad y protección de datos personales se ha visto infringido por prácticas que buscan mantener cierto grado de control del Coronavirus, mediante el tratamiento de datos personales relativos a la salud de las personas contagiadas y no contagiadas.
Lo cierto, y como bien lo han señalado continuamente las autoridades de protección de datos personales a nivel global, es que aquellos derechos fundamentales no son absolutos, sino que conocen de excepciones y limitaciones, entre las que se encuentran situaciones en las cuales resulte necesario el tratamiento de dichos datos para hacer frente a episodios de catástrofe.
Así, en la mayoría de las legislaciones más sofisticadas, como en el Reglamento General de Protección de Datos Personales de la Unión Europea (RGPD), se han establecido excepciones que permiten el tratamiento de datos personales sin necesidad de obtener el consentimiento expreso de sus titulares, cuando dicho tratamiento es necesario por razones de interés público esencial, o para fines de medicina preventiva, por razones de interés público en el ámbito de la salud (como la protección frente a amenazas transfronterizas graves para la salud), o para proteger intereses vitales de los titulares o de terceros (siempre que el titular se encuentre incapacitado para prestar su consentimiento).
Sin embargo, cada una de esas circunstancias habilitantes excepcionales, se encuentran sujetas a estrictos requisitos y tests de necesidad y proporcionalidad, por lo que su aplicación requiere de un análisis casuístico basado, además, en un enfoque de riesgos respecto de los derechos y libertades de las personas.
En nuestro país, como sea, no contamos con normas análogas en la Ley N° 19.628, sobre Protección de la Vida Privada. La única disposición que, dentro de aquel cuerpo legislativo permitiría el tratamiento de datos sensibles (como los de salud), es el artículo 10, que prescribe que tales datos solamente pueden ser tratados mediando el consentimiento del titular, o autorización legal, o los datos sean necesarios para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares.
Autorización legal.
En cuanto a la ‘autorización legal’ a que refiere el artículo 10 de la Ley N° 19.628, pueden citarse preceptos consagrados fuera de tal ley, como ocurre con el caso de la Ley N° 20.584, que Regula los Derechos y Deberes que Tienen las Personas en Relación con Acciones Vinculadas a su Atención en Salud; el DFL 1 de 24 de abril de 2006, entre otros.
La Ley N° 20.584, establece, como regla general, que la ficha médica y su contenido son confidenciales y, además, datos sensibles. Esa información solamente es accesible por parte del prestador de servicios de salud o por personas directamente vinculados al mismo, salvo ciertos casos enumerados en su artículo 13, inciso tercero (titular; tercero autorizado; Fiscales del Ministerio Público o abogados, cuando la información se relacione con sus causas; y, el Instituto de Salud Pública (ISP), en el ejercicio de sus facultades).
Como se aprecia, las personas a las que excepcionalmente se autoriza el tratamiento de los datos personales en la ficha médica, se encuentran obligadas a realizar dichos tratamientos en relación con finalidades específicas, salvo el ISP, que puede realizar tratamientos que sean necesarios para el ejercicio de sus facultades legales. En este sentido, resultaría pertinente analizar cuáles son las facultades y funciones del ISP, y si, de acuerdo con ellas, podría tratar datos personales sensibles relativos a los contagiados con el Covid-19, con la finalidad de tomar medidas de control y prevención. Consideramos que este es un tema debatible y requiere de un análisis por parte de tal autoridad.
Algo distinto ocurre con el caso del Ministerio de Salud que, según lo establecido en el artículo 4° N° 5 del DFL 1 de 24 de abril de 2006, que “Fija Texto Refundido, Coordinado Y Sistematizado Del Decreto Ley N° 2.763, De 1979 Y De Las Leyes N° 18.933 Y N° 18.469”, se encuentra directamente habilitado para efectuar tratamientos de datos personales con la finalidad de proteger la salud de la población, como ocurriría con el caso del Covid-19. Esta autorización legal se condice con lo dispuesto en el artículo 10 de la Ley N° 19.628, que permite el tratamiento de datos sensibles cuando existe una autorización legal.
Por otro lado, creemos que las municipalidades no se encuentran facultadas para acceder a las fichas médicas, por la simple razón de que el propio artículo 13 de la Ley N° 20.584 no lo permitiría, al no fijar en su lista de excepciones a tales instituciones, sin perjuicio de que el artículo 11 del Código Sanitario y los artículos 4, 5 y 6 de la Ley Orgánica Constitucional de Municipalidades le entreguen atribuciones, facultades y funciones de salud y prevención.
Lo anterior resulta relevante, puesto que en las últimas semanas hemos sido testigos del despliegue de arduos esfuerzos por parte de alcaldes para obtener información sobre personas contagiadas con el Covid-19, como es el caso del alcalde Jorge Sharp, que presentó una acción constitucional para lograr dicho acceso, la cual fue declarada inadmisible por la Corte de Apelaciones de Valparaíso.
La situación descrita resulta digna de análisis desde la arista del derecho de la protección de datos personales, ya que, en el actual estado legislativo chileno, no existen normas “amplias” que habiliten el tratamiento de datos personales sensibles por razones de interés público esencial o de interés público en el área de la salud. Este tipo de normas se encuentran incorporadas, por ejemplo, en el Reglamento de Protección de Datos Personales de la Unión Europa.
‘Necesidad de tratar los datos sensibles para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares’.
En segundo lugar, corresponde analizar la regla de legitimación especial del artículo 10 de la Ley N° 19.628 correspondiente a la ‘necesidad de tratar los datos sensibles para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares’.
Ciertos abogados especialistas sobre la materia han indicado que esta norma habilitaría al tratamiento de los datos sobre los contagiados con Covid-19, puesto que debiese interpretarse por ‘beneficios de salud’ la necesidad de ‘establecer condiciones de seguridad para evitar contagios’.
Creemos que dicha interpretación merece de un mayor análisis, por varias razones.
La norma, cuya redacción parece simple, establece una serie de condiciones o requisitos subyacentes:
- El requisito de efectuar un test de necesidad (el cual es necesario cada vez que una norma de legitimación de tratamiento de datos personales emplea el término ‘necesario’).
- La condición de que el tratamiento sea necesario para otorgar un ‘beneficio de salud que corresponda”
- Y que esos beneficios de salud hagan estricta relación a los “titulares” de los datos personales.
El primer requisito, esto es, el de la necesidad de un test de necesidad, debe entenderse en el sentido de que el tratamiento de los datos sensibles sea una condición sine qua non para lograr un objetivo particular, cual es, el otorgamiento de un beneficio de salud correspondiente. En este sentido, resulta discutible que el tratamiento de los datos de los contagiados con Covid-19 sea la medida más proporcional y adecuada para entregar dichos beneficios, ya que, perfectamente, podrían implementarse mecanismos o medidas menos invasivas o más racionales por parte de los responsables del tratamiento, como tratamientos de datos de localización anonimizados (lo que se estudia en la Unión Europea), restricciones basadas en controles de la movilidad de las personas infectadas u otras que resulten idóneas y cuya implementación sea minuciosamente elaborada por las autoridades.
El segundo requisito, a saber, que el tratamiento sea necesario para otorgar un beneficio de salud ‘que corresponda’, resulta bastante más difuso y de interpretación más compleja. El legislador no ha definido ni dado a entender a qué se refiere por tales beneficios de salud ‘que correspondan’. El sentido común llevaría a pensar que esta condición podría referirse a la necesidad de que el tratamiento de datos sensibles solamente puede fundarse en la prestación de un beneficio del cual una determinada persona es beneficiaria respecto de una institución de salud de la cual cuenta con un derecho, convenio o relación de algún tipo. Este requisito se asemeja bastante a los establecidos en legislaciones comparadas, las que permiten el tratamiento de datos para el cumplimiento de una obligación legal determinada, o para cumplir con un contrato de salud específico o alguna situación similar, pero no creemos que debe interpretarse de manera laxa, ya que la norma del artículo 10 de la Ley N° 19.628 es excepcional y, por ende, su interpretación debe ser estricta.
En cuanto al tercer requisito, la excepción en análisis requiere que el tratamiento sea necesario para otorgar un beneficio de salud que corresponda “a sus titulares”. Por ello, resulta en extremo discutible que los responsables del tratamiento puedan legitimarlo basándose en intereses públicos, como la salud pública.
Con lo anterior, no estamos afirmando que la protección de los datos personales y la privacidad no conozcan de limitaciones, sino que lo que se intenta demostrar es que nuestro ordenamiento jurídico no cuenta con normas adecuadas para el tratamiento de datos personales sensibles en circunstancias de excepciones o que, de contar con aquellas, sus contenidos son extremadamente limitados, lo que hace compleja su aplicación en la práctica.
Por ello, creemos que el futuro proyecto de ley sobre la materia constituirá un gran avance, ya que permitirá el tratamiento de datos personales sensibles y no sensibles, sin necesidad del consentimiento del titular, cuando ocurren circunstancias excepcionales.
SEGURIDAD EN EL TRATAMIENTO DE DATOS SENSIBLES.
Sin perjuicio de lo anterior, otro aspecto que guarda profunda relevancia es el de la seguridad de los datos personales que se procesan.
Los distintos actores, ya sean públicos o privados, deben tomar en cuenta que el tratamiento de datos personales se encuentra sujeto a deberes de seguridad.
En los últimos meses hemos constatado que, a nivel global, los datos personales sensibles, de personas contagiadas y de aquellas que utilizan aplicaciones de evaluación de síntomas del Covid, se han filtrado o han sido divulgados debido a brechas de seguridad de sus sistemas tecnológicos.
Existen ejemplos familiares, como el caso de la brecha de seguridad ocurrida en marzo de este año en Talca. Por su lado, en el extranjero ya han comenzado a anunciarse noticias sobre filtraciones de la información tratada por las apps para las evaluaciones del Covid-19, como ocurrió con la aplicación Covid-19 Alert! en Países Bajos. De modo similar, han ocurrido brechas de seguridad en los servidores de hospitales en los cuales se han realizado cientos de exámenes para detectar el virus, como es el caso del Hospital de la Universidad de Brno, en República Checa.
El llamado es a que los responsables de las bases de datos no solamente cuenten con adecuadas políticas de privacidad que respeten las obligaciones y principios de protección de datos personales en general, sino que también establezcan medidas de seguridad robustas, adecuadas e idóneas en razón a la extensión y naturaleza de los datos tratados, y que consideren los niveles de riesgo relativos a los derechos y libertades de los titulares de datos. Una filtración puede aparejar consecuencias nefastas en las personas, como discriminación, exclusión social, afección a la autonomía moral, entre otras.
