Con el propósito de respetar la privacidad de las personas afectadas, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) emite una serie de recomendaciones para el tratamiento de datos personales relacionados con casos (posibles o confirmados) de COVID-19, en nuestro país.
Ante el escenario actual, los datos relacionados con el estado de salud presente o futuro de una persona identificada son considerados por las leyes en materia de protección de datos, como datos personales sensibles.
Por regla general, se requiere un consentimiento expreso y por escrito del titular, salvo casos de excepción, en donde sean indispensables para atención médica, mientras que el titular no esté en condiciones de otorgar el consentimiento o cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona.
Los responsables y encargados del sector público y privado que traten datos personales relacionados con casos de COVID-19, deben contar con estrictas medidas de seguridad administrativas, físicas y técnicas para evitar cualquier pérdida, destrucción, robo, extravío, uso o acceso, daño, modificación o alteración no autorizada.
Ante los diferentes escenarios de tratamiento que pudieran registrarse, se presentan algunas recomendaciones para un adecuado tratamiento de datos personales:
Para responsables (Instituciones y prestadores de servicios de salud públicos y privados)
• Las medidas tomadas en respuesta al COVID-19 que implican el tratamiento de datos personales que incluyen datos de salud, deben ser necesarias y proporcionales, atendiendo la orientación y/o instrucciones de la Secretaría de Salud y autoridades competentes.
• Las instituciones y prestadores de servicios de salud públicos y privados, deben recabar solamente los datos personales mínimos necesarios, para lograr el propósito de implementar medidas para prevenir o contener la propagación de COVID-19 y, en su caso, brindar la atención, diagnóstico y tratamiento médico correspondiente.
• Los datos personales recopilados con el fin de prevenir o contener la propagación de COVID-19, no deben utilizarse para propósitos distintos.
Para responsables del sector privado:
• Las organizaciones deben proteger la confidencialidad sobre cualquier dato personal o personal sensible relacionado con cualquier caso de COVID-19, para evitar daño o discriminación de la persona afectada.
• Toda comunicación que se realice en la organización sobre la posible presencia de COVID-19 en el lugar de trabajo, no debe identificar a ningún colaborador de forma individual.
• El tratamiento de datos personales ante el COVID-19, debe ser informado y el titular debe conocer en todo momento las finalidades para las cuáles serán recabados y tratados sus datos personales. Previo al tratamiento, el responsable deberá poner a disposición del titular el aviso de privacidad correspondiente.
• La identidad de las personas afectadas de COVID-19 no debe divulgarse, en caso de requerirse una transferencia de datos personales a las autoridades de salud, ésta deberá ser documentada claramente, fundamentada y realizarse considerando medidas de seguridad que garanticen la protección de los datos personales.
• Los responsables deben definir los plazos de conservación de los datos personales relacionados con casos de COVID-19, así como los mecanismos que se emplearán para eliminarlos de forma segura, tomando en consideración la normatividad sectorial en la materia.
Para la población en general:
• Recordar que existe el derecho a la protección de sus datos personales, por lo que, en caso de un tratamiento inadecuado, podrán acudir al INAI a
presentar una denuncia.
Finalmente, se debe tomar en cuenta que las leyes son respaldadas por el derecho a la protección de los datos personales, sólo podrá limitarse, por razones de seguridad nacional, el orden, la seguridad y la salud pública.
iMAGEN: Twitter @INAImexico