El manejo de la pandemia del Covid-19 es quizás la tarea más importante alrededor del mundo, y limitar la propagación es vital. Por ello es importante rastrear a los posibles nuevos contagiados, identificarlos y desplegar un plan de monitoreo de todas las personas que podrían haber estado en contacto con ellos.
Entidades de Salud en todo el mundo necesitan obtener información personal de estas personas, incluyendo datos de salud, información sobre sus viajes, contactos personales, entre otros. Este es el caso del Centro para el Control y la Prevención de Enfermedades en EE.UU., que ha solicitado a aerolíneas los nombres, fechas de nacimiento, dirección, número de teléfono y los correos electrónicos de pasajeros de determinados vuelos, señaló IAPP.
Mientras la pandemia tenga que ser controlada, la atención del mundo está en cada nuevo contagiado y la forma en la que podemos mantenernos alejados de ellos lo más posible. Sin embargo, este escenario genera que tengamos que considerar las limitaciones a la protección de datos personales de estas personas. La recopilación de los datos personales de estas personas debe ser limitada a las finalidades específicamente establecidas por las autoridades de salud.
Los países de la Unión Europea deben cumplir con el GDPR en el tratamiento de datos personales de los contagiados, y de los posibles contagiados. Pero, ¿toda recopilación y en general, todo tratamiento de datos personales requiere el consentimiento previo de los titulares de datos, no?, ¿se aplica en este caso? Como es lógico, la respuesta es no. El propio GDPR recoge en su artículo sexto, que no se requerirá el consentimiento de los datos personales en el caso de “la ejecución de una tarea realizada en interés público”, que luego es desarrollada en el Considerando 46 en la medida que dicha disposición puede ser relevante para efectos de crisis de salud pública.
En el caso peruano, nuestra ley de protección de datos personales recoge esta excepción en el numeral sexto del artículo 14, que dispone que en lo relativo a los datos personales relacionados a la salud, no se necesita consentimiento en cuanto medie razón de salud pública, calificada como tal por el Ministerio de Salud. De igual forma, esto no quita que los principios de finalidad (determinada y explícita), proporcionalidad (tratamiento adecuado, relevante y no excesivo) y calidad (datos necesarios, pertinentes y adecuados para la finalidad del tratamiento) no deban ser especialmente observados.
Los datos relativos a la salud y datos biométricos pertenecen a la categoría de datos “especiales” para el GDPR (datos sensibles en el caso peruano), por ello es que, si bien pueden ser tratados sin consentimiento en determinados supuestos, ello no debe dar lugar a que puedan ser procesados por terceros para otros fines, como es el caso de empleadores, compañías de seguros, medios de comunicación, entre otros.
En el caso de EEUU, la regulación es sectorial y no específica. Pero existen algunas leyes que pueden ser aplicables: (i) La Ley de Privacidad de la Portabilidad y Responsabilidad del Seguro de Salud es pertinente en cuanto señala que la divulgación de datos relativos a la salud es permitida para fines de salud pública y para prevenir amenazas “graves e inminentes”, no obstante señala que la información proporcionada debe ser la mínima necesaria; y (ii)La Ley de Estadounidenses con discapacidades es pertinente en cuanto permite que empleadores puedan tomar la temperatura a sus trabajadores, preguntarles sobre sus viajes, o su estado de salud en general.
No obstante, aún con todas estas disposiciones normativas que concilian la recopilación de datos sin consentimiento por razones de salud pública, existen algunos países de la Unión Europea que han anunciado disposiciones específicas al respecto, señaló JDSUPRA:
- Italia (Ordenanza de Protección Civil No. 630): aplicable solo hasta el 30 de julio de 2020, levanta las restricciones respecto a la transferencia de datos sensibles incluyendo: datos racionales y origen étnico, datos genéticos, biométricos, datos de salud, entre otros.
- Francia: permite la transferencia de datos a “cualquier parte involucrada en el proceso de control, prevención y evaluación de la epidemia”.
Finalmente, es probable que los gobiernos tengan que recurrir al rastreo de posibles contagiados usando datos de dispositivos móviles, correos electrónicos, información de geolocalización, entre otros. Y esto generará que logren almacenar más información de la que los individuos probablemente tengan idea. ¿Qué pasará con esos datos superada la pandemia?
