Salud

Ante COVID-19, recomendaciones para tratamiento de datos personales

Cualquier tratamiento de datos personales debe cumplir con los principios, deberes y obligaciones en esta materia, salvo los casos de excepción previstos en las leyes: INAI

Revista Protocolo

Ciudad de México, 16 de marzo de 2020.— Con el propósito de prevenir riesgos de seguridad y respetar la privacidad de las personas afectadas, el Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (Inai) emitió una serie de recomendaciones para el tratamiento de datos personales relacionados con casos posibles o confirmados de coronavirus en México.

Los responsables y encargados de los sectores público y privado que traten datos personales relacionados con casos de COVID-19, deben contar con medidas de seguridad administrativas, físicas y técnicas para evitar cualquier pérdida, destrucción, robo, extravío, uso o acceso, daño, modificación o alteración no autorizada; además de cumplir con principios, deberes y obligaciones establecidas en las leyes en materia de protección de datos personales vigentes, salvo los casos de excepción previstos.

Ante los escenarios de tratamiento que pudieran registrarse, se presentan recomendaciones para un adecuado tratamiento de datos personales:

Para responsables (instituciones y prestadores de servicios de salud públicos y privados):

  • Las medidas tomadas en respuesta al COVID-19 que implican el tratamiento de datos personales que incluyen datos de salud, deben ser necesarias y proporcionales, atendiendo la orientación y/o instrucciones de la Secretaría de Salud y autoridades competentes.
  • Las instituciones y prestadores de servicios de salud públicos y privados, deben recabar solamente datos personales mínimos necesarios, para lograr el propósito de implementar medidas para prevenir o contener la propagación de COVID-19 y, en su caso, brindar la atención, diagnóstico y tratamiento médico correspondiente.
  • Los datos personales recopilados con el fin de prevenir o contener la propagación de COVID-19, no deben utilizarse para propósitos distintos.

Para responsables del sector privado:

  • Las organizaciones deben proteger la confidencialidad sobre cualquier dato personal o personal sensible relacionado con cualquier caso de COVID-19, para evitar daño o discriminación de la persona afectada.
  • Toda comunicación que se realice en la organización sobre la posible presencia de COVID-19 en el lugar de trabajo, no debe identificar a ningún colaborador de forma individual.
  • El tratamiento de datos personales ante el COVID-19, debe ser informado y el titular debe conocer las finalidades para las cuales serán recabados y tratados sus datos personales. Previo al tratamiento, el responsable deberá poner a disposición del titular el aviso de privacidad correspondiente.
  • La identidad de las personas afectadas no debe divulgarse, en caso de requerirse una transferencia de datos personales a las autoridades de salud, esta deberá ser documentada claramente, fundamentada y realizarse considerando medidas de seguridad que garanticen la protección de los datos personales.
  • Los responsables deben definir los plazos de conservación de los datos personales relacionados con casos de COVID-19, así como mecanismos que se emplearán para eliminarlos de forma segura, tomando en consideración la normatividad sectorial en la materia.

Para la población en general:

  • Recordar que existe el derecho a la protección de datos personales, por lo que, en caso de un tratamiento inadecuado, podrán acudir al Inai a presentar una denuncia.

Se indica que, para dar cumplimiento a la legislación en la materia, los responsables y encargados de los sectores público y privado pueden realizar consultas al instituto sobre dudas específicas relacionadas con los tratamientos de datos personales que realicen para prevenir y mitigar el COVID-19, así como para brindar atención, diagnóstico y tratamiento médico.

Finalmente, se debe tomar en cuenta que las leyes aplicables disponen que el derecho a la protección de los datos personales solo podrá limitarse, entre otras causas, por razones de seguridad nacional, el orden, la seguridad y la salud pública, por lo que se deberá estar atento y dar puntual seguimiento a las disposiciones, protocolos y medidas que dicten las autoridades competentes en materia de salud.

Países que nos están viendo