Guías específicas de la Autoridad de Protección de Datos por COVID-19

11 de mayo de 2020

Datos personales

La información relacionada con la salud es, para nuestra ley, un dato sensible. Por eso, debe prestarse especial atención en el momento de realizar monitoreos relacionados con la salud de los empleados y su (posibilidad de) contagio de COVID-19. La Agencia de Acceso a la Información Pública publicó las siguientes recomendaciones para el tratamiento de datos personales en relación con la COVID-19, de conformidad con lo establecido en la Ley de Protección de Datos Personales N° 25.326 (LPDP):

· Los datos de salud son una categoría de datos sensibles y, en consecuencia, merecen una protección más rigurosa.

· La divulgación del nombre de un paciente que padezca de coronavirus requiere de su consentimiento.

· Los establecimientos sanitarios y profesionales de la salud pueden procesar y cederse entre sí datos de los pacientes, siempre y cuando cumplan con el secreto profesional.

· La obligación de secreto profesional subsistirá aún después de finalizada la relación con el paciente.

· Para usar la información del paciente con fines incompatibles con su tratamiento médico, se debe requerir su consentimiento pleno, libre e informado.

· El Ministerio de Salud de la Nación y los ministerios provinciales se encuentran facultados para requerir, recolectar, cederse entre sí o procesar de cualquier otro modo información de salud sin consentimiento de los pacientes, conforme a las competencias explícitas e implícitas que les hayan sido conferidas por ley.

Estas recomendaciones, sin embargo, no se encuentran dirigidas al caso particular de los empleadores, quienes en ciertas circunstancias particulares podrían encontrarse exentos de, por ejemplo, requerir el consentimiento del empleado que ha dado COVID-19 positivo para adoptar las medidas oportunas para evitar nuevos contagios y, así, cumplir con su deber de prevención del daño frente a la pandemia.

En este sentido, el Comité Ejecutivo de la Asamblea Global de Privacidad (GPA por sus siglas en inglés) emitió un documento orientador sobre las regulaciones a nivel mundial en materia de protección de datos personales, con el fin de colaborar en el desafío que implica abordar el avance del coronavirus y el intercambio de datos de salud. Y sostuvo: “Confiamos en que los requisitos de protección de datos no detendrán el intercambio crítico de información para apoyar los esfuerzos para enfrentar esta pandemia global. Los principios universales de protección de datos en todas nuestras leyes permitirán el uso de datos en interés público y aún proporcionarán las protecciones que el público espera. Las autoridades de protección de datos están listas para ayudar a facilitar el intercambio de datos rápido y seguro para combatir COVID-19”.

Por su parte, y en el mismo sentido de las recomendaciones de la Agencia de Acceso a la Información Pública, la Decisión Administrativa 431/2020 de la Jefatura de Gabinete señala que “la capacidad del Estado Nacional para disponer de información pertinente a los fines del cuidado de la salud pública en tiempo oportuno, y en el marco normativo vigente, se erige como un activo esencial e indispensable para la toma de decisiones”. Habilita, en consecuencia, a cada una de las entidades que integran el Sector Público Nacional a transferir, ceder, intercambiar o de cualquier modo poner a disposición aquellos datos e información que, por sus competencias, misiones y funciones, obren en sus archivos o bases de datos. Esto debe realizarse conforme a las medidas técnicas y organizativas que resulten necesarias para garantizar la seguridad, la confidencialidad y el tratamiento en atención a la finalidad de proteger la salud pública. Todo lo anterior se fundamenta en lo dispuesto en la LPDP, que establece que los datos personales pueden ser cedidos sin consentimiento del titular cuando se recaben para el ejercicio de funciones propias de los poderes del Estado y que admite la posibilidad de realizar cesiones masivas de datos personales entre dependencias de los órganos del Estado en forma directa, en la medida del cumplimiento de sus respectivas competencias.

Ante este escenario, el empleador debería evaluar si la compañía cuenta con los niveles de seguridad adecuados para tratar información sensible y garantizar su integridad, y si estos niveles de seguridad se conservan fuera de la oficina. También debe analizar si existen restricciones de privacidad para informar, dentro de la compañía, el grupo de la compañía o con las autoridades médicas, de salud y/o de seguridad, a aquellos empleados que dieron COVID-19 positivo o que presentan síntomas sospechosos.

Por último, es imprescindible preguntarse si la compañía tiene autoridad para preguntarle a sus empleados dónde han estado en los últimos 14 días sin infringir su derecho de privacidad, ya que el empleado podría argumentar su derecho de guardar silencio, lo que lleva a revisar los consentimientos ya otorgados por el empleado y si ellos son suficientes para permitir el tratamiento de datos relacionados con la pandemia o si, por el contrario, resulta necesario obtener nuevos específicamente dirigidos a tal fin.

Teletrabajo

Por otro lado, la situación sanitaria generada por el coronavirus ha forzado a muchas compañías a implementar medidas masivas de teletrabajo. Esta modalidad plantea ciertos desafíos que pueden ser nuevos para muchas empresas.

El primer desafío, y tal vez el más importante, es garantizar que el trabajo se realice en dispositivos que cuenten con medidas de seguridad adecuadas. El riesgo a la seguridad informática se puede agravar cuando los empleados utilizan dispositivos personales para realizar tareas laborales.

En esta línea, la Unidad Fiscal Especializada en Ciberdelincuencia (UFECI) elaboró una serie de recomendaciones para operar de manera segura en Internet y redes sociales y con los servicios de mensajería online. En lo que a teletrabajo refiere, la UFECI destaca la necesidad de tener conexiones y equipos seguros y de proteger las redes con contraseñas fuertes (que combinen letras, números y caracteres especiales). El teletrabajo debe realizarse siempre utilizando software original y antivirus actualizados. De igual modo, la UFECI señala que, en casos de tráfico de información sensible, la información debe transmitirse cifradamente. Por otro lado, se otorgan ciertos consejos para evitar el robo de datos personales y el fraude online, como ser el ignorar mensajes provenientes de canales no oficiales o que señalen que las cuentas han sido bloqueadas junto con la necesidad de contar con las credenciales de acceso.

Por su parte, la Agencia de Acceso a la Información Pública compartió ciertas recomendaciones al momento de realizar videollamadas:. sugirió leer las políticas de privacidad y condiciones de uso de las aplicaciones, y recordó que el consentimiento debe serles requerido en forma expresa, previo a la utilización del servicio de videollamada y que si la videollamada fuera a ser grabada por la aplicación, es necesario también el consentimiento previo y expreso del titular del dato para poder hacerlo. De igual modo, la Agencia sugiere prestar especial atención en el uso de las plataformas de uso “gratuito”, ya que podrían utilizar los datos personales del usuario para otros fines. Finalmente, la Agencia sugiere el uso de plataformas que permitan poner contraseña a las salas o llamadas, además de la identificación (ID) de la llamada que solo tienen las personas invitadas a participar.

Por otro lado, es importante contar con adecuadas políticas internas de privacidad, uso de herramientas informáticas y de herramientas informáticas personales (BYOD, por sus siglas en inglés). Estas políticas no solo tratan cómo deben utilizarse las herramientas laborales, sino que también regulan la expectativa de privacidad que el empleado tiene a la hora de realizar sus tareas.

Este último punto y la capacidad del empleador de monitorear las actividades del empleado son especialmente importantes cuando las tareas habituales de la oficina pasan a realizarse en el hogar.

En este contexto, el empleador debe asegurarse de contar con una Política de Seguridad, que haya sido implementada adecuadamente y que se esté cumpliendo, para verificar, por ejemplo, que los empleados que utilizan dispositivos personales lo hagan en ambientes seguros (software actualizado, presencia de firewalls, antivirus, entre otros).

La compañía también debe poseer una Política de Privacidad y de Uso de Herramientas Informáticas (tanto personales como laborales) que contemple situaciones particulares del teletrabajo, esté redactada en idioma español y haya sido aceptada expresamente.

Aplicaciones de geolocalización

La utilización de aplicaciones que recaben información sobre la movilidad de las personas se ha vuelto muy importante en la lucha contra la propagación del virus SARS-CoV-2. Así, por ejemplo, la aplicación del Ministerio de Salud llamada “cuidar”, recolecta, entre otros, información de geolocalización de sus usuarios con el fin de recomendarles pasos a seguir de acuerdo con los síntomas que se ingresaron en ella, como para realizar comparaciones o predicciones basadas en recomendaciones sanitarias que determine el Ministerio de Salud. De este modo, el Ministerio de Salud, con el objetivo de poder llevar adelante políticas públicas de prevención y mitigación relacionadas con la COVID-19 podrá utilizar la información en la aplicación para hacer mapeos de zonas de riesgo y zonas de poco distanciamiento que puedan aumentar la propagación del virus. Las características de la base de datos correspondientes a la aplicación “cuidar” se encuentran detalladas en la Disposición 3/2020 de la Subsecretaría de Gobierno Abierto y País Digital, dependiente de la Jefatura de Gabinete de Ministros, a través de la cual se dio cumplimiento con lo la obligatoriedad de publicar en el Boletín Oficial de la Nación la creación de bases de datos pertenecientes a organismos públicos.

En ese contexto, la Agencia de Acceso a la Información Pública publicó en su sitio web recomendaciones para el uso de estas aplicaciones, y recordó que, conforme a la normativa aplicable para la protección de datos personales en Argentina, no se prohíbe el monitoreo de la ubicación de las personas siempre que dicho monitoreo se realice respetando el derecho humano a la privacidad.

A tal fin, la Agencia enumera principios fundamentales en materia de protección de datos aplicables a las herramientas de geolocalización, sean estas empleadas por el sector público, el privado, o ambos en colaboración:

- La información de geolocalización y/o desplazamiento constituye un dato personal protegido por la ley, por lo que su tratamiento debe encontrarse amparado en alguna base legal (artículo 5, LPDP).

- Los datos de ubicación se definen como “información recopilada por una red o servicio sobre dónde está o estaba ubicado el teléfono del usuario u otro dispositivo”. De igual modo, la Agencia entiende que los datos de ubicación pueden inferirse por GPS, torres de celdas, wifi, bluetooth o combinación de señales.

- Estos datos pueden estar en poder de proveedores de servicios de telecomunicaciones, de internet, o de servicios de valor agregado (es decir, las mismas aplicaciones).

- Los distintos organismos del Estado pueden tratar los datos de geolocalización sin el consentimiento del titular del dato en la medida en que lo realcen dentro de sus competencias específicas – las que deben ser entendidas en sentido estricto y restrictivo. De lo contrario, deberán contar con el consentimiento del titular del dato. El mismo principio aplica a las cesiones de datos entre organismos del Estado.

- La disociación del dato de ubicación excluye la aplicación de la LPDP por no calificar como dato personal.

- El titular del dato debe tener la posibilidad de revocar su consentimiento al monitoreo en cualquier momento.

- Los responsables del tratamiento de datos personales relacionados con la ubicación o que monitoreen la ubicación de una persona deben hacerlo respetando el principio de calidad de los mismos (artículo 4, LPDP).

- El responsable del tratamiento debe informar al titular del dato cómo y por qué realiza el seguimiento de su ubicación, dónde almacena la información, con quiénes la comparte, las consecuencias del tratamiento y la posibilidad que tiene el titular de los datos de ejercer sus derechos de acceso, rectificación o supresión.

Finalmente, la Agencia también recomienda la realización de una evaluación de impacto de manera previa a la implementación de este tipo de herramientas a fin de controlar y mitigar sus riesgos, como de evaluar su viabilidad.

Esta sección busca identificar algunas de las cuestiones novedosas que la situación sanitaria por COVID-19 plantea respecto de la privacidad y la protección de los datos personales, sin pretender agotar el tema, que necesita de un análisis caso por caso.