¿Cómo se deben proteger los datos personales ante casos de COVID-19?

Derivado de la posición que en últimos días ha tomado México ante la pandemia denominada COVID-19, o mejor conocida como Coronavirus, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), ha emitido una serie de recomendaciones para llevar a cabo un tratamiendo adecuado de datos personales sobre las personas que tengan el estatus de “posibles o confirmados” con el virus COVID-19.

Las recomendaciones emitidas por el INAI parten del principio de protección al derecho a la privacidad de las personas afectadas por este virus, así como de la población en general, ya que los datos personales de cualquier persona que den a conocer su estado de salud, son considerados como “datos personales sensibles”.

Es importante considerar inicialmente que los datos personales sensibles requieren para su tratamiento, contar con el consentimiento, previo, escrito y firmado por parte de sus titulares -dueño del dato-, por lo que únicamente podrá ser divulgado sin contar con dicho consentimiento, como una excepción a ley, cuando dichos datos sean indispensables en alguno de los siguientes casos:

a) Atención médica

b) La prevención, diagnóstico, la prestación de asistencia sanitaria

c) Proveer tratamientos médicos o la gestión de servicios sanitarios

Estas excepciones serán aplicables unicamente mientras el titular no esté en condiciones de otorgar el consentimiento o cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona.

En todos los demás casos, el INAI advierte que los responsables y encargados del sector público y privado deberán cumplir con las medidas de seguridad físicas, tecnológicas y administrativas que permitan el resguardo y correcto tratamiento de datos personales de las personas que presenten un estado “posible o confirmado” de padecer el virus COVID-19.

Las recomendaciones para el adecuado tratamiento de datos personales, son las siguientes:

A. Para responsables  que pertenezcan a instituciones y prestadores de servicios de salud públicos y privados:

1. Las medidas de tratamiento de datos de las personas con estaus de “posible o confirmado” para los casos de COVID-19, deben de ser proporcionales, atendiendo estrictamente a indicaciones que señale la Secretaría de Salud y autoridades competentes.

2. Deberán recabar los datos personales mínimos necesarios para lograr el propósito de implementar medidas para prevenir o contener la propagación de COVID-19, o para brindar un adecuado tratamiento.

3. Los datos personales recabados no deben utilizarse para otra finalidad.

B. Para responsables del sector privado, tal es el caso de empresas y organizaciones:

1. Proteger la confidencialidad de los datos personales para evitar casos de discriminación de la persona afectada.

2. La comunicación en las fuentes de trabajo sobre el COVID-19, no debe identificar a algún empleado o colaborador de manera individual.

3. El tratamiendo de datos personales debe de ser informado al titular en todo momento a través del aviso de privacidad del responsable.

4. No debe informarse la identidad ni influir en la identificación de las personas afectadas.

5. Deberán definir y establecer los plazos de conservación de los datos personales recabados para dicha finalidad y qué medidas realizará para eliminar los datos de manera segura una vez que se haya cumplido la finalidad.

Estos derechos sólo podrán limitarse, entre otras causas, por razones de seguridad nacional, el orden, la seguridad y la salud pública, de acuerdo a las disposiciones, protocolos y medidas que dicten las autoridades competentes en materia de salud.

Cualquier persona que considere que sus datos personales han sido vulnerados o han sido sometidos a un tratamiento indebido por parte de las instituciones públicas o privadas, deberá denunciarlas ante el INAI.

R10S ABOGADOS

Fuente: Comunicado INAI 085/20 disponible en http://inicio.ifai.org.mx/SitePages/Comunicados-2020.aspx

Leave a Reply

Required fields are marked *.