Coronavirus y la protección de datos personales

Por @DavaraAbogados

La COVID-19 es la enfermedad infecciosa causada por el Coronavirus que se ha descubierto más recientemente. Tanto el nuevo virus como la enfermedad eran desconocidos antes de que estallara el brote en Wuhan (China) en diciembre de 2019.

El brote de esta enfermedad y su consecuente expansión ha obligado a las organizaciones tanto públicas como privadas a adoptar medidas inmediatas para su contención, estas medidas implican tratar datos personales de las personas físicas, y en particular datos personales sensibles relacionados con su estado de salud presente y futuro, por lo que, dichas actividades se consideran un tratamiento de datos sujeto al cumplimiento de las obligaciones previstas en la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (LFPDPPP), su Reglamento y demás normatividad aplicable.

Conscientes de la especial relevancia de este tema y de las distintas preguntas que pueden surgir como resultado del tratamiento de datos personales para fines relacionados con la atención de esta enfermedad, el equipo de Davara Abogados S.C. respondió a una serie de preguntas para orientar sobre el tema.

¿La LFPDPPP permite recabar datos sobre viajes y datos de salud para la contención del Coronavirus?

Sí. Los datos relativos a viajes y trayectos pueden ser tratados siempre que se cumpla con los principios y deberes previstos en la LFPDPPP. No obstante, tratándose de datos sensibles es importante señalar que la LFPDPPP indica que su tratamiento debe justificarse para finalidades legítimas, concretas y acordes con las actividades o fines explícitos que persigue el responsable. Sin embargo, en situaciones como esta su tratamiento puede ampararse en los supuestos previstos en el artículo 10, fracciones I, V y VI, de la LFPDPPP, lo que significa que este tipo de tratamientos no están sujetos al consentimiento de los empleados y/o titulares.

¿De qué forma se puede legitimar el tratamiento de dichos datos según la LFPDPPP?

El tratamiento debe cumplir con los principios de licitud, consentimiento, información, calidad, finalidad, lealtad, proporcionalidad y responsabilidad y los deberes de seguridad y confidencialidad.

·         licitud y lealtad. El tratamiento debe realizarse con apego y cumplimiento a la legislación mexicana y el derecho internacional personales privilegiando la protección de los intereses del titular y la expectativa razonable de privacidad. En particular se debe realizar el tratamiento conforme a lo que permiten las disposiciones legales aplicables como la Ley Federal del Trabajo (LFT), la Ley General de Salud (LGS), su Reglamento, entre otras

• consentimiento. Si bien la regla general de todo tratamiento es obtener el consentimiento del titular, en este caso, el tratamiento puede ampararse en los supuestos previstos en el artículo 10 fracciones I, V y VI, de la LFPDPPP que indica que el consentimiento para el tratamiento no será requerido cuando el tratamiento esté previsto en una ley (por ejemplo, los artículos 132, 475 Bis y 509 de la LFT), exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes o su tratamiento sea indispensable para la atención médica, la prevención, el diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, mientras el titular no esté en condiciones de otorgar el consentimiento, en los términos que establece la LGS y demás disposiciones jurídicas aplicables y que dicho tratamiento de datos se realice por una persona sujeta al secreto profesional u obligación equivalente

• información. Si bien el tratamiento no requiere del consentimiento del titular, esto no exime al responsable de cumplir con la totalidad de los principios y deberes de la LFPDPPP, en especial el principio de información. De este modo, se debe haber informado al titular, previo al tratamiento sobre la existencia y las características principales del tratamiento de sus datos, a través de un aviso de privacidad, que debe ser sencillo, con información necesaria, expresado en español, con lenguaje claro y comprensible, y con una estructura y diseño que facilite su entendimiento

• calidad. Los responsables deben definir los plazos de conservación de los datos personales relacionados con casos de COVID-19, así como los mecanismos que se emplearán para eliminarlos de forma segura, tomando en consideración la normatividad sectorial en la materia

• finalidad. Los datos únicamente pueden ser tratados para fines autorizados por la normatividad. Este tratamiento no debe dar lugar a que terceros, como empresarios, compañías de seguros o entidades bancarias, traten los datos para otros fines

• proporcionalidad. Aunque las organizaciones tienen la obligación de proteger la salud de sus empleados, eso no significa necesariamente que deba recopilar información excesiva sobre ellos. Como medidas se puede solicitar a las personas que informen si han visitado un país en particular o si están experimentando síntomas de COVID-19, se puede recomendar a los visitantes que consideren las recomendaciones de las autoridades de salud antes de visitar las instalaciones e incluso aconsejar al personal que llame a los servicios de emergencia si experimentan síntomas o han visitado países particulares. Estas acciones pueden ayudar a minimizar la información que se necesita recabar. Si eso no es suficiente y aún requiere recabar datos de salud específicos, no se deben recabar más datos de aquellos estrictamente necesarios para cumplir con las finalidades autorizadas por la normatividad

• responsabilidad. De forma previa a incorporar medidas que puedan afectar los derechos y libertades de los titulares se recomienda realizar una Evaluación de Impacto en la Protección de Datos (PIA por sus siglas en inglés), y

• seguridad y confidencialidad. Los datos deben protegerse con medidas de seguridad administrativas, físicas y técnicas adecuadas. En particular, es importante recordar que el tratamiento de datos sensibles de salud solo se justifica cuando este sea realizado por una persona sujeta al secreto profesional u obligación equivalente en materia de salud

¿Qué datos pueden recabarse?

Las empresas solo deben recopilar los datos personales necesarios. Del mismo modo, y en aplicación de lo establecido en la LFT, las empresas pueden tratar, de acuerdo con dicha ley los datos necesarios para garantizar la salud de todo su personal, y evitar contagios en la empresa y/o centros de trabajo.

En el contexto de la contención del COVID-19, esto significa recabar la información necesaria para evaluar el riesgo de que un individuo porte el virus y tomar medidas proporcionales basadas en el riesgo. Por supuesto, lo que se considera información necesaria puede evolucionar a medida que los científicos aprendan más sobre el Coronavirus.

En la siguiente tabla se presenta un ejemplo de datos que se considera lícito recabar respecto de aquellos que podrían ser excesivos o no necesarios (en tanto en cuanto no haya cambios a las recomendaciones de las autoridades):

Debe seleccionarse el método de obtención de datos que resulte menos intrusivo. Esto puede requerir la adopción de un enfoque gradual basado en el riesgo, como:

• proporcionar cuestionarios con preguntas específicas de sí/no para llevar a cabo una primera evaluación del Coronavirus de las personas. Es esencial revisar los cuestionarios para asegurarse de que solo se recaben los datos necesarios. Sobre la base de los resultados de la evaluación inicial, se debe notificar a las personas que presentan un alto riesgo de contaminación las medidas que deberán tomarse para limitar sus interacciones en el lugar de trabajo, y
• solicitar a las personas que proporcionaron cuestionarios incompletos o completados incorrectamente que confirmen la información

Es importante que las pruebas médicas que se implementen (por ejemplo, escaneo de temperatura, análisis de sangre) sean proporcionales y aquellas estrictamente necesarias para no incumplir con el principio de proporcionalidad, recordando que para el resguardo de esta información resulta crucial adoptar las medidas de seguridad necesarias para resguardar la confidencialidad y seguridad de los datos personales.

¿La LFPDPPP permite a las empresas tercerizar la recopilación y el análisis de datos personales relacionados con Coronavirus?

Sí, siempre que esta subcontratación no reduzca el nivel de protección de datos (principio de responsabilidad). En particular, la empresa debe comprometerse con proveedores de servicios que tengan la capacidad de cumplir con las obligaciones de la LFPDPPP y su Reglamento así como formalizar la relación jurídica con dichos terceros mediante un instrumento jurídico vinculante en el que se establezcan las obligaciones en materia de protección de datos personales de dicho tercero.

¿Puede una empresa compartir datos personales relacionados con Coronavirus con terceros?

Sí, siempre y cuando sea absolutamente necesario (por ejemplo, la participación de un contratista o una compañía del grupo cuando esta sea necesaria para implementar medidas de salud y seguridad adecuadas) u obligatorio (por ejemplo, compartir información con autoridades gubernamentales). En cualquier caso, dicha transferencia deberá de informarse de forma previa en el aviso de privacidad, y regularse mediante un instrumento jurídico con el tercero receptor de los datos personales.

¿Puedo informar a mi personal que un empleado pudo haber contraído potencialmente COVID-19?

Sí. Una organización puede informar a su personal sobre la infección de otras personas (por ejemplo, empleados, proveedores o visitantes), siempre que no comunique información personal de estos (por ejemplo, nombres, posición de las personas infectadas).