Especialistas de diversas disciplinas que participaron en un workshop organizado por el Consejo para la Transparencia (CPLT) y El Mostrador abordaron algunos de los desafíos que ha impuesto la pandemia por Covid-19 en materia de privacidad y acceso a información, como una ley que permita hacerse cargo de temas urgentes asociados al uso de datos personales y más transparencia respecto de su tratamiento.
Revisa el workshop, aquí. Columna publicada en Ciper (22.04.20)
La aplicación móvil “CoronApp” lanzada por el Ministerio de Salud para hacer seguimiento de personas con Covid-19 o sospechosas de tenerlo, no ha dejado a nadie indiferente, generando discusiones en torno a su real utilidad, así como a su legalidad, y muy especialmente, acerca de los riesgos que podrían derivarse de su uso, dado el alcance del tratamiento de datos que permite llevar a cabo. CoronApp trae las mismas trampas que la mayoría de las aplicaciones móviles cuyo negocio es el tratamiento y venta de la información de sus usuarios: términos y condiciones poco claros y falta de transparencia en su política de privacidad, además, terceros ajenos al MINSAL (tanto privados como públicos) podrían acceder a los datos recolectados por la App. Si ello sucede, será muy difícil –si no imposible– seguir la huella de los datos y controlar la forma en que los mismos sean usados. La legalidad del tratamiento es un aspecto basal en la protección de datos personales. De acuerdo a la ley que regula esta materia (Ley 19.628), un determinado tratamiento de datos sólo puede ser llevado a cabo si la ley lo autoriza o el titular consiente con ello. En el caso de los organismos públicos, cuando el tratamiento se basa en el consentimiento, además se discute si el mismo solo puede ser realizado dentro del ámbito de las competencias del respectivo organismo, o si, por el contrario, el alcance del tratamiento estará dado exclusivamente por los términos en que se otorgó el consentimiento. ¿Qué sucede con CoronApp? Su Política de Privacidad no deja claro cuál sería esta base de legitimidad. Si bien se hace referencia a las facultades que por ley tienen el MINSAL y sus organismos relacionados para tratar información de salud conforme a sus competencias (“explícitas e implícitas”), al mismo tiempo se establece que el tratamiento de datos de la aplicación se rige por su política de privacidad la que reiteradamente se refiere al consentimiento de sus usuarios. La práctica internacional con robustas legislaciones sobre protección de datos personales es que la base de legitimidad sea clara y expresamente señalada, porque esta delimitará, en gran medida, las actividades de tratamiento posibles. En nuestra interpretación la legitimidad de la recolección y tratamiento de datos realizado a través de CoronApp estaría dada por el consentimiento de sus usuarios. De lo contrario no se justificaría, por ejemplo, la habilitación que se da en la Política de Privacidad para que terceros ajenos a la administración del Estado puedan publicar los resultados de investigaciones realizadas con datos recolectados a través de CoronApp, pues la ley no autoriza esta cesión de datos, de manera que no podrían realizar estudios a nombre propio con los mismos. Lo anterior no debe ser confundido con el tratamiento por encargo, en cuyo caso se entiende que el tratamiento es realizado en nombre de quien lo encarga, y en este sentido, cualquier publicación se entendería realizada por el MINSAL, con lo que no requeriría autorización adicional. DUDAS DE LA POLITICA DE PRIVACIDAD Dicho lo anterior, para conocer el alcance del tratamiento de datos que los usuarios estarían autorizando (qué datos, quienes y de qué forma podrán usarlos, tiempo por el cual podrían tratarlos, y demás autorizaciones), es necesario revisar tanto los Términos y Condiciones de la aplicación, como su Política de Privacidad. En ambos instrumentos deberían encontrarse las reglas del juego, entendiéndose ambos aceptados por sus usuarios en su totalidad por el sólo hecho de utilizar la aplicación. En relación al acceso, además de las dudas ya mencionadas en relación a los casos y finalidades bajo las cuales terceros podrían acceder a los datos de CoronApp, tampoco queda claro si los mismos podrían ser transferidos a otros órganos del Estado en virtud del consentimiento otorgado por sus usuario. En la Política de Privacidad se señala que eventualmente MINSAL podría ser requerido a “entregar acceso o divulgar los datos a terceros, en virtud de una orden judicial o administrativa”, pero no especifica, por ejemplo, si para ello sólo podría darse en el contexto de una orden dada por una autoridad autorizada por ley para requerir determinados datos, o si, al ser la autorización del usuario la fuente de licitud del tratamiento, su consentimiento estaría ampliando las hipótesis bajo las cuales autoridades administrativas podrían acceder y tratar datos personales. En cuanto a su finalidad, CoronApp “es una aplicación gratuita de seguimiento de síntomas y acompañamiento de pacientes sospechosos y confirmados con COVID-19”. Sin embargo, no es esa la única finalidad para la cual serán tratados los datos. Podemos encontrar otras, por ejemplo, en la sección referida al almacenamiento de datos, donde se declara que estos podrán ser tratados “con fines históricos, estadísticos, científicos y de estudios o investigaciones” (Sec. 5a), sin que ello sea circunscrito a determinados fines específicos (ni siquiera a cuestiones de interés público) ni limitando las categorías de terceros que podrían llevar a cabo dicho tratamiento. Además, en los términos y condiciones de servicio de la app, se establece que “puede resultar necesario recopilar y procesar cierta información, la cual se obtendrá desde el dispositivo móvil en donde se ha instalado la aplicación”, añadiendo una nueva finalidad: “realizar mejoras en la aplicación que la optimicen y fortalezcan, tendiente a conseguir una experiencia del usuario satisfactoria”. Pese a que los Términos anuncian que las condiciones de tratamiento serán descritas en la Política de Privacidad, ésta no sólo omite dicha nueva finalidad sino que también no especifica cuál es “cierta información” que vagamente se anuncia. Por otra parte, sólo en el caso particular de la geolocalización se señala expresamente la base de legitimidad para su tratamiento –el consentimiento del usuario– y la finalidad del mismo: realizar “acciones útiles de seguimiento de pacientes para la protección de la salud pública, durante la vigencia de la emergencia sanitaria”. No obstante, no queda claro cuál es la extensión de la expresión “protección de la salud pública”. Conceptualmente, podría ir mucho más allá del control de los contagios de COVID-19. Los datos de geolocalización son particularmente relevantes para el análisis: a su vez podrían entregarnos otra información, de carácter sensible – por ejemplo, revelar los hábitos personales de los individuos– y, además, son muy difíciles de anonimizar (¿cuántas personas, además de cada usuario de la app, van todos los días de su casa a su oficina?). En cuanto a los datos que son recolectados, llama la atención que no se aplique el principio de minimización, según el cual solo sean recolectados los datos estrictamente necesarios para la finalidad que se propone la CoronApp. ¿De qué manera conocer enfermedades anteriores o medicamentos que toman las personas podría ayudar a controlar la propagación del COVID-19? Además, se emplean fórmulas abiertas (datos “tales como”), que hacen imposible decir exactamente qué datos serán recolectados. La duración del almacenamiento de los datos también es incierta. ¿Los datos serán guardados “durante el tiempo que sea necesario para la protección de la salud pública, en el contexto de la emergencia sanitaria” o por el “período de 15 años”? Ambas referencias están contenidas en la sección 5 de la Política y no permiten discernir si es un plazo cierto o indeterminado. Por último, en cuanto a los derechos de los titulares de los datos, no se explica por qué estos solo pueden ejercer su derecho a actualizar o rectificar su información, y no así su derecho a eliminarlos u oponerse a su tratamiento. Acceso, rectificación, cancelación y oposición son las facultades de todo titular del derecho fundamental a la protección de datos. En este caso, no estamos ante los datos de una ficha clínica o en el contexto de prestaciones de salud, en donde se restringen el ejercicio de tales facultades (sería desastroso que la gente pudiera exigir la eliminación de información de su historial médico). Esta es una aplicación móvil que trata datos en base al consentimiento, que –de acuerdo a la propia Política de Privacidad–, podrán ser utilizados para otros fines que no dicen relación con la atención de salud del paciente, o peor aún, por terceros ajenos a la administración del Estado. TRANSPARENCIA Y LEALTAD EN EL USO DE LOS DATOS Si CoronApp es útil o no para controlar los contagios de COVID-19, escapa de nuestra expertise (aún cuando ello es criticado en el derecho comparado). La soluciones tecnológicas que buscan recolectar masivamente datos sensibles de las personas deben ser sometidas al más intenso escrutinio, aún cuando la emergencia sanitaria pudiese recomendar implementarlas. Por ello, es necesario alertar sobre los peligros de la utilización de un lenguaje impreciso y fórmulas abiertas en su Política de Privacidad. Las palabras de los contratos nunca son elegidas al azar por los abogados y en el caso de las empresas privadas que tratan datos, estas expresiones generalmente tienen por objeto dejar abierta la posibilidad de recolectar más datos de los expresamente señalados y/o poder usarlos con fines distintos a las informados. Esta apertura permite aprovechar nuevas oportunidades de negocio a futuro, que no se tenían a la vista en un inicio, o derechamente esconder actividades de tratamiento poco éticas. Aquello que sucede en contratos propios del ámbito privado, no puede tener correlato respecto de los órganos estatales. Éstos no sólo tienen el deber de respetar, proteger y promover derechos, como la protección de datos personales, sino que además deben apegarse a la legalidad vigente para el tratamiento masivo de datos sensibles. En el caso del Estado, resulta clave la transparencia del uso de estos datos. Los organismos públicos deben dar cuenta cómo y por qué toman las decisiones, así como de qué manera vigilan a sus administrados. Lo anterior además, es esencial para cuidar la confianza de los ciudadanos, tan importante por estos días. La discusión global que estamos enfrentando entre respuestas tecnológicas de vigilancia y la privacidad y autodeterminación informativa de las personas no se diluye por la mera apelación a las normas legales vigentes. No se trata sólo de una facultad legal del MINSAL o de una correcta política de privacidad, sino que los procesamientos de datos se den bajo un ecosistema normativo que permita confiar en su uso adecuado y con una institucionalidad robusta para sancionar sus infracciones, cuestión que no existe en nuestro país. Por ello, las ambigüedades en esta materia sólo menoscaban los esfuerzos para controlar la pandemia. Columna de opinión escrita junto a Michelle Bordachar, en Ciper (25.03.20).
La crisis sanitaria ocasionada por la pandemia del virus COVID-19 ha mostrado una serie de vacíos legales. La gestión de la información y la protección de datos personales, no es la excepción: la falta de reglas claras sobre las medidas de seguridad y los casos en los cuales se autoriza su tratamiento sin consentimiento del titular para enfrentar la emergencia, evidencia los vacíos para comunicar y tratar información particularmente delicada, como son los datos de salud de las personas. Un ejemplo de lo anterior es la reciente filtración de datos contagiados con el virus COVID-19, en el marco de la emergencia sanitaria, lo que revela la fragilidad del ecosistema normativo que protege la información personal en nuestro país. Bajo normas más estrictas, situaciones como estas deberían ser de más difícil ocurrencia. Recordemos que en 2018 se consagró en la Constitución el derecho a la protección de datos personales y se mandató al legislador su protección. Sin embargo, la ley que regula este derecho se encuentra desfasada más de 20 años. Algunas autoridades parecen no haber advertido que, en el intercambio de información referida a los contagios de COVID-19, hay datos personales involucrados, cuyo resguardo se encuentra garantizado por la constitución, y que, por tanto, idealmente solo debiesen tratarse en los casos contemplados por la ley y, en cualquier caso, bajo estrictos mecanismos de resguardo. De lo contrario, esta información podría terminar siendo difundida o usada con otros fines, pudiendo afectar gravemente a sus titulares. Un claro ejemplo de esto último es el uso de datos de geolocalización. Algunos países asiáticos están usando los datos de geolocalización de los ciudadanos para controlar el cumplimiento de aislamiento y enviar advertencias a quienes estuvieron en contacto con alguien contagiado. El problema es que esa misma información podría ser utilizada para vigilar a las personas y conocer los lugares que frecuentan, lo que intensifica un control sobre nuestras vidas, al saber detalles muy precisos de cómo nos comportamos, por ejemplo, si alguien asiste a sesiones de Alcohólicos Anónimos, o es infiel o asiste a un partido político, entre varias otras actividades. La pregunta que el Estado debe hacerse es: ¿pueden los organismos de salud comunicar la identidad de las personas diagnosticadas con COVID-19 a terceros que no estén directamente relacionados con su atención de salud, para efectos de hacer los controles sanitarios que demanda la emergencia? En caso de ser así, ¿a qué terceros se podrían comunicar las bases de datos de personas infectadas? ¿sólo a las Fuerzas de Orden y Seguridad, las Fuerzas Armadas, o incluso a los municipios? En otras palabras, cabe cuestionarse si bajo el contexto de un estado de excepción constitucional, existe en nuestro ordenamiento una norma que autorice la comunicación de los datos de salud de las personas, más allá de los casos que existen actualmente –que describiremos a continuación– y qué condiciones han de cumplirse para ello. Lo primero que debemos tener presente es que los datos sobre estados de salud son datos sensibles. De acuerdo a la Ley 19.628 sobre protección de datos personales, estos datos no pueden ser objeto de tratamiento, excepto si el titular consiente en ello, la ley lo autoriza o si es necesario para la determinación u otorgamiento de un beneficio de salud para su titular. En ningún momento esta ley señala razones de salubridad pública como causal para el tratamiento de datos sensibles. Por otra parte, de acuerdo a la Ley 20.584 que regula los derechos y deberes de los pacientes, en principio, ningún tercero que no esté directamente relacionado con la atención de salud de una persona, debiese tener acceso a su información clínica. Según dicha ley, los únicos que podrían tener acceso a esta información, además de su titular, son: terceros autorizados por éste último ante notario; fiscales del Ministerio Público y abogados, previa autorización del juez competente; tribunales de justicia, en el contexto de las causas que estuvieren conociendo; y por remisión del Reglamento de la Ley 20.584 a otras leyes, el Ministerio y Servicios de Salud –estos últimos, para tratar los datos con fines estadísticos, otorgar beneficios de salud y proteger la salud de la población–. Nótese que, si bien aquí aparece la protección de la salud como causal habilitante para acceder a la información clínica de un paciente, sólo se autoriza a organismos de salud, más no a otros órganos del Estado, como las policías o las FFAA. Es cierto que la Ley 19.628 cuenta con una regla general que establece una autorización legal amplia para que los órganos del Estado puedan tratar datos personales, en el marco de sus competencias. Pero en el caso de los datos sensibles, éstos se encuentran sujetos a un régimen especial de protección (especialmente, aquellos contenidos en una ficha clínica). Por ello, la falta de autorización expresa para comunicarlos a terceros (distintos de los señalados en la Ley 20.584 y su Reglamento) debiese ser interpretada como una ausencia de base legal para que las policías, Fuerzas Armadas y menos a los municipios puedan acceder y procesar tal información sensible. Lo anterior resulta especialmente problemático en contextos de emergencia sanitaria, en que las acciones de mitigación y control efectivas muchas veces exigen la comunicación de datos de salud entre distintos órganos del Estado. La necesidad de gestionar los datos de salud en este tipo de situaciones es una realidad que ya ha sido regulada en otras latitudes. Por ejemplo, el Reglamento General de Protección de Datos de la Unión Europea autoriza a tratar este tipo de información personal sin consentimiento de su titular, cuando sea “necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios” (art. 9.2.i). Al mismo tiempo que autoriza este tipo de tratamiento, lo sujeta al cumplimiento de una serie de requisitos que tienen por objeto asegurar que el mismo sea llevado a cabo de una manera ética, legal y segura. Estos principales mecanismos de resguardo se traducen en tres obligaciones: i) la obligación de observar estrictas medidas de seguridad, ii) en la autorización otorgada exclusivamente para la consecución de una finalidad delimitada y claramente establecida en la norma, iii) y por último, en la prohibición de continuar tratando estos datos una vez logrado el objetivo que hizo posible este tratamiento. Esto último, además, implica una prohibición de reutilizar estos datos con otros fines, como por ejemplo, para el desarrollo de otras políticas gubernamentales, o iniciativas privadas. Este estándar es el que actualmente necesitamos en Chile y es el que carecemos. No podemos arriesgar que se transfieran, comuniquen o cedan bases de datos sin control ni garantías que ayuden a evitar que estas terminen siendo utilizadas con finalidades distintas a las contempladas en la norma, o en manos de terceros que nunca debieron tener acceso a ellas. Al no existir claridad sobre medidas de seguridad bajo las cuales debe realizarse el tratamiento de datos personales de salud, la finalidad que autorizaría a aquello, una autoridad que fiscalice que lo anterior se cumpla y fuertes sanciones para el caso de incumplimiento de estos deberes, el riesgo de filtraciones o mal uso de datos sensibles es altísimo. Si bien el tratamiento de datos de salud por parte de nuestras autoridades podría ser de gran ayuda para combatir la pandemia del COVID-19, nuestro país carece de una regulación actualizada en la materia. Los distintos proyectos de ley que se vienen tramitando hace más de diez años no han logrado llegar a puerto y concretar un régimen claro de permisos, obligaciones, infracciones y sanciones y una agencia especializada y autónoma que pueda garantizar a los ciudadanos un adecuado tratamiento de sus datos. ¿Cómo se conecta este problema con la situación de emergencia y el Estado de Catástrofe? Es necesario recordar que si bien los estados de excepción constitucional fueron reformados en el año 2005, su regulación legal sigue pegada en los ochenta. Por eso, algunos han planteado la necesidad de repensar este tipo de situaciones de anormalidad constitucional. El estado de catástrofe permite restringir o suspender distintos derechos, pero no contempla facultades especiales respecto del derecho a la protección de datos personales. Por lo tanto, aún a pesar de lo extraordinario del momento en que vivimos, no existe una regulación de excepción que permita llenar el vacío que observamos en esta materia. La ausencia de reglas claras en materia de protección de datos personales no puede ser un obstáculo para enfrentar la emergencia. La gestión de la crisis sanitaria requiere el uso de información personal, incluso de aquellos datos sensibles contenidos en fichas clínicas. Pero dicha gestión no puede llevarse a cabo violando los pilares del Estado de Derecho. En esta materia, se requiere una legislación de urgencia que resuelva los vacíos. De lo contrario, seguiremos tratando datos sensibles sin el resguardo que esta información se merece. |
Sobre el BlogEn esta sección se publican enlaces, noticias y archivos sobre materias de derechos fundamentales y teoría constitucional y política. Archives
December 2022
Categories
All
|