Dada la crisis mundial ocasionada por el Coronavirus, COVID-19, el principal fin de los estados es controlar la pandemia y garantizar la salud pública, protegiendo a la población más vulnerable. Dentro de ello, el respeto a los derechos humanos es imprescindible, por ello adoptan medidas para superar la situación actual.
Este artículo tiene por finalidad señalar cómo las diferentes medidas adoptadas para el control de una pandemia, (como es el Coronavirus) pueden transgredir los derechos humanos individuales, en aras de proteger el interés de la comunidad. Este es el caso del tratamiento[1] de los datos personales sensibles de personas que han dado positivo en los exámenes de descarte del COVID-19, sin su consentimiento; en contraposición, con el interés general.
La legislación nacional consagra el derecho fundamental a la protección de datos personales[2] en el artículo 2, numeral 6, de la Constitución Política del Perú y desarrolla su contenido en la Ley de Protección de Datos Personales, Ley Nª 29733, en adelante LPDP, como un derecho que tiene toda persona a controlar la información personal que comparte con terceros. Así como el derecho a que ésta se utilice de forma apropiada, de manera que no la perjudique.[3] Asimismo, el artículo 200 en su numeral 4, de la Carta vigente, prevé la existencia del proceso constitucional de Habeas Data para su tutela.
El artículo 2 de la LPDP y su Reglamento, definen una categoría denominada “datos sensibles”.[4] Desde el punto de vista del afectado, (en este caso, el paciente que dio positivo en los exámenes de descarte del COVID-19), el elemento del consentimiento[5] se revela como fundamental, como la expresión máxima y global de su derecho a la autodeterminación informativa[6]. Más aún cuando, se resalta el principio de consentimiento, con los denominados datos sensibles.
De la revisión de la Exposición de Motivos del Código Procesal Constitucional, se hace visible el sentido de la norma, al hacer referencia a las facultades de supresión y reserva, señalando que su objetivo es: “lograr la exclusión o supresión de datos sensibles que no deben ser objeto de registro ni de difusión, a fin de salvaguardar la intimidad personal o de impedir la eventual discriminación; así como poder oponerse a la transmisión y difusión de los mismos”.[7]
Un rasgo esencial y a la vez determinante para calificar un dato personal como sensible es que alude a cuestiones cuya divulgación o comunicación a terceros puede dar lugar a prácticas discriminatorias.[8] Es de vital importancia, señalar que, un dato personal no se agota con la intimidad, porque también puede existir información que aunque no se encuentra dentro de la naturaleza íntima, puede provocar discriminación, tal como es el caso de revelarse una condena penal para un nuevo puesto de trabajo, o el caso de dar positivo en los exámenes de descarte del COVID-19 e individualizar e identificar a la persona, a nivel nacional, dando posibilidad al escrutinio público.
Uno de los supuestos según la Corte Interamericana de Derechos Humanos, donde se podría levantar el derecho a la confidencialidad de los datos personales relativos a la salud de una persona, se daría cuando haya “casos relacionados con informes sanitarios o epidemiológicos, será posible suministrar información siempre y cuando no se individualice al paciente”.[9]
En el Perú, hasta el momento, no se ha realizado un pronunciamiento expreso acerca del tratamiento de los datos sensibles respecto de aquellos pacientes que han dado positivo en los exámenes de descarte del COVID-19. Dado el actual estado de emergencia solo se cuenta con la LPDP, que en su artículo 14, señala excepcionales limitaciones al consentimiento para el tratamiento de datos personales. No se requerirá del consentimiento del titular de los datos personales, en casos taxativamente enumerados, entre ellos señala, en su numeral 6 que, “cuando se trate de datos personales relativos a la salud y medien razones de interés público, previstas por ley o cuando deban tratarse por razones de salud pública, ambas deberán ser calificadas como tales, por el Ministerio de Salud”.
Siguiendo la misma línea, se debe analizar si se cumple con las especificaciones del artículo 14, en su numeral 6 de la LPDP, de donde se advierte que, en la norma antes señalada, hay una habilitación legal para que el tratamiento de datos sensibles tenga lugar, sin consentimiento de su titular. Se hace preciso determinar en este instante, qué se entiende por interés general, de acuerdo a lo señalado por la Comisión de las Comunidades Europeas, “son todas aquellas medidas necesarias para la salvaguarda de los valores fundamentales de una sociedad democrática”[10]. El COVID-19 constituye por su propia naturaleza una circunstancia que afecta la vida de los peruanos.
Sin embargo, se debe puntualizar que en dicha disposición legal es imperativo señalar: qué datos pueden ser tratados, quiénes son las personas destinatarias de los mismos, la cualificación del responsable del tratamiento, quiénes serán las personas autorizadas a acceder a ellos, así como las garantías apropiadas contra los usos abusivos y los accesos no autorizados.[11] Esta falta de regulación por parte de los legisladores peruanos, deja a los ciudadanos en un terreno árido para la efectiva protección de sus derechos. Nuestro ordenamiento jurídico está incompleto, al no regular estas causales que son utilizadas excepcionalmente, dejando al descubierto conceptos jurídicos indeterminados.
Como punto final, la LPDP es la única que regula el tema, que por su propia naturaleza es escasa e insuficiente para la coyuntura actual. La Autoridad Nacional de Protección de Datos Personales, debe tutelar los derechos de dichos pacientes, respetando los principios y demás derechos que son la base para un estado democrático de derecho.
Es en este sentido, la elaboración de un marco normativo de protección de datos personales supone un reto, teniendo en cuenta una mirada hacia las legislaciones que ya lo han desarrollado, sin perder de vista la realidad nacional, ya que es el punto de partida. Sobre esto último, al no haber previsto esta eventualidad, los datos a tratar deberán ser aquellos estrictamente necesarios y que sean para la finalidad pretendida, sin que esta norma, pueda hacer que se exceda del objetivo, que es salvaguardar los intereses de las personas ante coronavirus.
[1] Todo tratamiento de datos personales comienza con su recogida, esta puede realizarse de diversas formas: verbalmente, por escrito, usando formularios online y mediante la captación de imágenes. En estos casos, quien recoge los datos, llamado titular del banco de datos, debe cumplir con dos obligaciones básicas: informar y contar con el consentimiento o autorización.
[2] Son cualquier información que permite identificar a una persona.
[3] Autoridad Nacional de Protección de Datos Personales – APDP, El Derecho Fundamental a la Protección de Datos Personales, Ministerio de Justicia y Derechos Humanos, 1ª Ed., 2013, pp. 3-4
[4] Datos personales constituidos por los datos biométricos que por sí mismos pueden identificar al titular; datos referidos al origen racial y étnico; ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales; afiliación sindical; e información relacionada a la salud o la vida sexual. (El subrayado es nuestro)
[5] El consentimiento debe ser libre, previo, expreso e inequívoco e informado. No se admiten fórmulas de consentimiento en las que este no sea expresado de forma directa, como aquellas en las que se requiere presumir, o asumir la existencia de una voluntad que o ha sido expresada.
[6] Álvaro A. Sánchez Bravo, La Regulación de los Datos Sensibles en la LORTAD, Facultad de Derecho, Universidad de Sevilla. Informática y Derecho, THEMIS 2015, p. 125. Consultado el 24 de marzo de 2020: https://idus.us.es/bitstream/handle/11441/66357/La%20regulacion%20de%20los%20datos%20sensibles.PDF;jsessionid=CF8A52D6F9BB8915C45CCE42993438D7?sequence=1
[7] Autores Varios. Código Procesal Constitucional. Estudio Introductorio, Exposición de Motivos, Dictámenes e Índice Analítico. Tercera edición. Lima: Palestra, 2008. p. 77. Consultado el 24 de marzo de 2020
file:///C:/Users/PC/Downloads/12229-Texto%20del%20art%C3%ADculo-48658-1-10-20150428.pdf
[8] Guillermo Peyrano, Régimen Legal de los Datos Personales y Habeas Data. Buenos Aires, LexisNexis-Depalma, 2002, p.38, citado por PUCINELLI, Oscar. Los datos de afiliación partidaria son datos sensibles y no deben ser puestos a disposición del público general. A propósito de su inclusión en padrones electorales y en bases de datos disponibles en internet. En: Revista Jurídica del Peru. Año LV, Número 64, setiembre-octubre de 2005. p.240.
[9] Oscar Parra Vera, Management Sciences for Development MSD/USAID, Corte Interamericana de Derechos Humanos, “La aceptabilidad de la salud”, Capitulo III, pp, 263-268 Bogota, D.C., 2003
Consultado el 23 de marzo de 2020 http://www.corteidh.or.cr/tablas/27803.pdf
[10] Álvaro A. Sánchez Bravo, La Regulación de los Datos Sensibles en la LORTAD, Facultad de Derecho, Universidad de Sevilla. Informática y Derecho, THEMIS 2015, p. 130. Consultado el 24 de marzo de 2020: https://idus.us.es/bitstream/handle/11441/66357/La%20regulacion%20de%20los%20datos%20sensibles.PDF;jsessionid=CF8A52D6F9BB8915C45CCE42993438D7?sequence=1
[11] Ibídem p. 131.