Columna de opinión escrita junto a Michelle Bordachar, en Ciper (25.03.20).
La crisis sanitaria ocasionada por la pandemia del virus COVID-19 ha mostrado una serie de vacíos legales. La gestión de la información y la protección de datos personales, no es la excepción: la falta de reglas claras sobre las medidas de seguridad y los casos en los cuales se autoriza su tratamiento sin consentimiento del titular para enfrentar la emergencia, evidencia los vacíos para comunicar y tratar información particularmente delicada, como son los datos de salud de las personas. Un ejemplo de lo anterior es la reciente filtración de datos contagiados con el virus COVID-19, en el marco de la emergencia sanitaria, lo que revela la fragilidad del ecosistema normativo que protege la información personal en nuestro país. Bajo normas más estrictas, situaciones como estas deberían ser de más difícil ocurrencia.
Recordemos que en 2018 se consagró en la Constitución el derecho a la protección de datos personales y se mandató al legislador su protección. Sin embargo, la ley que regula este derecho se encuentra desfasada más de 20 años. Algunas autoridades parecen no haber advertido que, en el intercambio de información referida a los contagios de COVID-19, hay datos personales involucrados, cuyo resguardo se encuentra garantizado por la constitución, y que, por tanto, idealmente solo debiesen tratarse en los casos contemplados por la ley y, en cualquier caso, bajo estrictos mecanismos de resguardo. De lo contrario, esta información podría terminar siendo difundida o usada con otros fines, pudiendo afectar gravemente a sus titulares.
Un claro ejemplo de esto último es el uso de datos de geolocalización. Algunos países asiáticos están usando los datos de geolocalización de los ciudadanos para controlar el cumplimiento de aislamiento y enviar advertencias a quienes estuvieron en contacto con alguien contagiado. El problema es que esa misma información podría ser utilizada para vigilar a las personas y conocer los lugares que frecuentan, lo que intensifica un control sobre nuestras vidas, al saber detalles muy precisos de cómo nos comportamos, por ejemplo, si alguien asiste a sesiones de Alcohólicos Anónimos, o es infiel o asiste a un partido político, entre varias otras actividades.
La pregunta que el Estado debe hacerse es: ¿pueden los organismos de salud comunicar la identidad de las personas diagnosticadas con COVID-19 a terceros que no estén directamente relacionados con su atención de salud, para efectos de hacer los controles sanitarios que demanda la emergencia? En caso de ser así, ¿a qué terceros se podrían comunicar las bases de datos de personas infectadas? ¿sólo a las Fuerzas de Orden y Seguridad, las Fuerzas Armadas, o incluso a los municipios? En otras palabras, cabe cuestionarse si bajo el contexto de un estado de excepción constitucional, existe en nuestro ordenamiento una norma que autorice la comunicación de los datos de salud de las personas, más allá de los casos que existen actualmente –que describiremos a continuación– y qué condiciones han de cumplirse para ello.
Lo primero que debemos tener presente es que los datos sobre estados de salud son datos sensibles. De acuerdo a la Ley 19.628 sobre protección de datos personales, estos datos no pueden ser objeto de tratamiento, excepto si el titular consiente en ello, la ley lo autoriza o si es necesario para la determinación u otorgamiento de un beneficio de salud para su titular. En ningún momento esta ley señala razones de salubridad pública como causal para el tratamiento de datos sensibles.
Por otra parte, de acuerdo a la Ley 20.584 que regula los derechos y deberes de los pacientes, en principio, ningún tercero que no esté directamente relacionado con la atención de salud de una persona, debiese tener acceso a su información clínica. Según dicha ley, los únicos que podrían tener acceso a esta información, además de su titular, son: terceros autorizados por éste último ante notario; fiscales del Ministerio Público y abogados, previa autorización del juez competente; tribunales de justicia, en el contexto de las causas que estuvieren conociendo; y por remisión del Reglamento de la Ley 20.584 a otras leyes, el Ministerio y Servicios de Salud –estos últimos, para tratar los datos con fines estadísticos, otorgar beneficios de salud y proteger la salud de la población–.
Nótese que, si bien aquí aparece la protección de la salud como causal habilitante para acceder a la información clínica de un paciente, sólo se autoriza a organismos de salud, más no a otros órganos del Estado, como las policías o las FFAA.
Es cierto que la Ley 19.628 cuenta con una regla general que establece una autorización legal amplia para que los órganos del Estado puedan tratar datos personales, en el marco de sus competencias. Pero en el caso de los datos sensibles, éstos se encuentran sujetos a un régimen especial de protección (especialmente, aquellos contenidos en una ficha clínica). Por ello, la falta de autorización expresa para comunicarlos a terceros (distintos de los señalados en la Ley 20.584 y su Reglamento) debiese ser interpretada como una ausencia de base legal para que las policías, Fuerzas Armadas y menos a los municipios puedan acceder y procesar tal información sensible.
Lo anterior resulta especialmente problemático en contextos de emergencia sanitaria, en que las acciones de mitigación y control efectivas muchas veces exigen la comunicación de datos de salud entre distintos órganos del Estado.
La necesidad de gestionar los datos de salud en este tipo de situaciones es una realidad que ya ha sido regulada en otras latitudes. Por ejemplo, el Reglamento General de Protección de Datos de la Unión Europea autoriza a tratar este tipo de información personal sin consentimiento de su titular, cuando sea “necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios” (art. 9.2.i).
Al mismo tiempo que autoriza este tipo de tratamiento, lo sujeta al cumplimiento de una serie de requisitos que tienen por objeto asegurar que el mismo sea llevado a cabo de una manera ética, legal y segura. Estos principales mecanismos de resguardo se traducen en tres obligaciones: i) la obligación de observar estrictas medidas de seguridad, ii) en la autorización otorgada exclusivamente para la consecución de una finalidad delimitada y claramente establecida en la norma, iii) y por último, en la prohibición de continuar tratando estos datos una vez logrado el objetivo que hizo posible este tratamiento. Esto último, además, implica una prohibición de reutilizar estos datos con otros fines, como por ejemplo, para el desarrollo de otras políticas gubernamentales, o iniciativas privadas.
Este estándar es el que actualmente necesitamos en Chile y es el que carecemos. No podemos arriesgar que se transfieran, comuniquen o cedan bases de datos sin control ni garantías que ayuden a evitar que estas terminen siendo utilizadas con finalidades distintas a las contempladas en la norma, o en manos de terceros que nunca debieron tener acceso a ellas. Al no existir claridad sobre medidas de seguridad bajo las cuales debe realizarse el tratamiento de datos personales de salud, la finalidad que autorizaría a aquello, una autoridad que fiscalice que lo anterior se cumpla y fuertes sanciones para el caso de incumplimiento de estos deberes, el riesgo de filtraciones o mal uso de datos sensibles es altísimo.
Si bien el tratamiento de datos de salud por parte de nuestras autoridades podría ser de gran ayuda para combatir la pandemia del COVID-19, nuestro país carece de una regulación actualizada en la materia. Los distintos proyectos de ley que se vienen tramitando hace más de diez años no han logrado llegar a puerto y concretar un régimen claro de permisos, obligaciones, infracciones y sanciones y una agencia especializada y autónoma que pueda garantizar a los ciudadanos un adecuado tratamiento de sus datos.
¿Cómo se conecta este problema con la situación de emergencia y el Estado de Catástrofe? Es necesario recordar que si bien los estados de excepción constitucional fueron reformados en el año 2005, su regulación legal sigue pegada en los ochenta. Por eso, algunos han planteado la necesidad de repensar este tipo de situaciones de anormalidad constitucional. El estado de catástrofe permite restringir o suspender distintos derechos, pero no contempla facultades especiales respecto del derecho a la protección de datos personales. Por lo tanto, aún a pesar de lo extraordinario del momento en que vivimos, no existe una regulación de excepción que permita llenar el vacío que observamos en esta materia.
La ausencia de reglas claras en materia de protección de datos personales no puede ser un obstáculo para enfrentar la emergencia. La gestión de la crisis sanitaria requiere el uso de información personal, incluso de aquellos datos sensibles contenidos en fichas clínicas. Pero dicha gestión no puede llevarse a cabo violando los pilares del Estado de Derecho. En esta materia, se requiere una legislación de urgencia que resuelva los vacíos. De lo contrario, seguiremos tratando datos sensibles sin el resguardo que esta información se merece.
La crisis sanitaria ocasionada por la pandemia del virus COVID-19 ha mostrado una serie de vacíos legales. La gestión de la información y la protección de datos personales, no es la excepción: la falta de reglas claras sobre las medidas de seguridad y los casos en los cuales se autoriza su tratamiento sin consentimiento del titular para enfrentar la emergencia, evidencia los vacíos para comunicar y tratar información particularmente delicada, como son los datos de salud de las personas. Un ejemplo de lo anterior es la reciente filtración de datos contagiados con el virus COVID-19, en el marco de la emergencia sanitaria, lo que revela la fragilidad del ecosistema normativo que protege la información personal en nuestro país. Bajo normas más estrictas, situaciones como estas deberían ser de más difícil ocurrencia.
Recordemos que en 2018 se consagró en la Constitución el derecho a la protección de datos personales y se mandató al legislador su protección. Sin embargo, la ley que regula este derecho se encuentra desfasada más de 20 años. Algunas autoridades parecen no haber advertido que, en el intercambio de información referida a los contagios de COVID-19, hay datos personales involucrados, cuyo resguardo se encuentra garantizado por la constitución, y que, por tanto, idealmente solo debiesen tratarse en los casos contemplados por la ley y, en cualquier caso, bajo estrictos mecanismos de resguardo. De lo contrario, esta información podría terminar siendo difundida o usada con otros fines, pudiendo afectar gravemente a sus titulares.
Un claro ejemplo de esto último es el uso de datos de geolocalización. Algunos países asiáticos están usando los datos de geolocalización de los ciudadanos para controlar el cumplimiento de aislamiento y enviar advertencias a quienes estuvieron en contacto con alguien contagiado. El problema es que esa misma información podría ser utilizada para vigilar a las personas y conocer los lugares que frecuentan, lo que intensifica un control sobre nuestras vidas, al saber detalles muy precisos de cómo nos comportamos, por ejemplo, si alguien asiste a sesiones de Alcohólicos Anónimos, o es infiel o asiste a un partido político, entre varias otras actividades.
La pregunta que el Estado debe hacerse es: ¿pueden los organismos de salud comunicar la identidad de las personas diagnosticadas con COVID-19 a terceros que no estén directamente relacionados con su atención de salud, para efectos de hacer los controles sanitarios que demanda la emergencia? En caso de ser así, ¿a qué terceros se podrían comunicar las bases de datos de personas infectadas? ¿sólo a las Fuerzas de Orden y Seguridad, las Fuerzas Armadas, o incluso a los municipios? En otras palabras, cabe cuestionarse si bajo el contexto de un estado de excepción constitucional, existe en nuestro ordenamiento una norma que autorice la comunicación de los datos de salud de las personas, más allá de los casos que existen actualmente –que describiremos a continuación– y qué condiciones han de cumplirse para ello.
Lo primero que debemos tener presente es que los datos sobre estados de salud son datos sensibles. De acuerdo a la Ley 19.628 sobre protección de datos personales, estos datos no pueden ser objeto de tratamiento, excepto si el titular consiente en ello, la ley lo autoriza o si es necesario para la determinación u otorgamiento de un beneficio de salud para su titular. En ningún momento esta ley señala razones de salubridad pública como causal para el tratamiento de datos sensibles.
Por otra parte, de acuerdo a la Ley 20.584 que regula los derechos y deberes de los pacientes, en principio, ningún tercero que no esté directamente relacionado con la atención de salud de una persona, debiese tener acceso a su información clínica. Según dicha ley, los únicos que podrían tener acceso a esta información, además de su titular, son: terceros autorizados por éste último ante notario; fiscales del Ministerio Público y abogados, previa autorización del juez competente; tribunales de justicia, en el contexto de las causas que estuvieren conociendo; y por remisión del Reglamento de la Ley 20.584 a otras leyes, el Ministerio y Servicios de Salud –estos últimos, para tratar los datos con fines estadísticos, otorgar beneficios de salud y proteger la salud de la población–.
Nótese que, si bien aquí aparece la protección de la salud como causal habilitante para acceder a la información clínica de un paciente, sólo se autoriza a organismos de salud, más no a otros órganos del Estado, como las policías o las FFAA.
Es cierto que la Ley 19.628 cuenta con una regla general que establece una autorización legal amplia para que los órganos del Estado puedan tratar datos personales, en el marco de sus competencias. Pero en el caso de los datos sensibles, éstos se encuentran sujetos a un régimen especial de protección (especialmente, aquellos contenidos en una ficha clínica). Por ello, la falta de autorización expresa para comunicarlos a terceros (distintos de los señalados en la Ley 20.584 y su Reglamento) debiese ser interpretada como una ausencia de base legal para que las policías, Fuerzas Armadas y menos a los municipios puedan acceder y procesar tal información sensible.
Lo anterior resulta especialmente problemático en contextos de emergencia sanitaria, en que las acciones de mitigación y control efectivas muchas veces exigen la comunicación de datos de salud entre distintos órganos del Estado.
La necesidad de gestionar los datos de salud en este tipo de situaciones es una realidad que ya ha sido regulada en otras latitudes. Por ejemplo, el Reglamento General de Protección de Datos de la Unión Europea autoriza a tratar este tipo de información personal sin consentimiento de su titular, cuando sea “necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria y de los medicamentos o productos sanitarios” (art. 9.2.i).
Al mismo tiempo que autoriza este tipo de tratamiento, lo sujeta al cumplimiento de una serie de requisitos que tienen por objeto asegurar que el mismo sea llevado a cabo de una manera ética, legal y segura. Estos principales mecanismos de resguardo se traducen en tres obligaciones: i) la obligación de observar estrictas medidas de seguridad, ii) en la autorización otorgada exclusivamente para la consecución de una finalidad delimitada y claramente establecida en la norma, iii) y por último, en la prohibición de continuar tratando estos datos una vez logrado el objetivo que hizo posible este tratamiento. Esto último, además, implica una prohibición de reutilizar estos datos con otros fines, como por ejemplo, para el desarrollo de otras políticas gubernamentales, o iniciativas privadas.
Este estándar es el que actualmente necesitamos en Chile y es el que carecemos. No podemos arriesgar que se transfieran, comuniquen o cedan bases de datos sin control ni garantías que ayuden a evitar que estas terminen siendo utilizadas con finalidades distintas a las contempladas en la norma, o en manos de terceros que nunca debieron tener acceso a ellas. Al no existir claridad sobre medidas de seguridad bajo las cuales debe realizarse el tratamiento de datos personales de salud, la finalidad que autorizaría a aquello, una autoridad que fiscalice que lo anterior se cumpla y fuertes sanciones para el caso de incumplimiento de estos deberes, el riesgo de filtraciones o mal uso de datos sensibles es altísimo.
Si bien el tratamiento de datos de salud por parte de nuestras autoridades podría ser de gran ayuda para combatir la pandemia del COVID-19, nuestro país carece de una regulación actualizada en la materia. Los distintos proyectos de ley que se vienen tramitando hace más de diez años no han logrado llegar a puerto y concretar un régimen claro de permisos, obligaciones, infracciones y sanciones y una agencia especializada y autónoma que pueda garantizar a los ciudadanos un adecuado tratamiento de sus datos.
¿Cómo se conecta este problema con la situación de emergencia y el Estado de Catástrofe? Es necesario recordar que si bien los estados de excepción constitucional fueron reformados en el año 2005, su regulación legal sigue pegada en los ochenta. Por eso, algunos han planteado la necesidad de repensar este tipo de situaciones de anormalidad constitucional. El estado de catástrofe permite restringir o suspender distintos derechos, pero no contempla facultades especiales respecto del derecho a la protección de datos personales. Por lo tanto, aún a pesar de lo extraordinario del momento en que vivimos, no existe una regulación de excepción que permita llenar el vacío que observamos en esta materia.
La ausencia de reglas claras en materia de protección de datos personales no puede ser un obstáculo para enfrentar la emergencia. La gestión de la crisis sanitaria requiere el uso de información personal, incluso de aquellos datos sensibles contenidos en fichas clínicas. Pero dicha gestión no puede llevarse a cabo violando los pilares del Estado de Derecho. En esta materia, se requiere una legislación de urgencia que resuelva los vacíos. De lo contrario, seguiremos tratando datos sensibles sin el resguardo que esta información se merece.
RSS Feed
