En el Perú, por Decreto Supremo N° 070-2020-PCM, publicado el 17 de Abril de 2020, se ha dictado normas complementarias referidas a la Protección de Datos Personales, en el contexto del Estado de Emergencia Nacional por la graves circunstancias que afectan la vida de la nación a consecuencia del brote del COVID-19. Por su importancia y actualidad publicamos esta breve reseña en el presente Blog Jurídico Digital.
Ámbito de
aplicación
La presente norma es aplicable a los concesionarios de servicios
públicos de telecomunicaciones, así como a la Presidencia del Consejo de
Ministros, el Ministerio de Salud y sus Organismos Públicos Adscritos, al
Organismo Supervisor de Inversión Privada en Telecomunicaciones (OSIPTEL), el
Seguro Social de Salud (ESSALUD), la Autoridad Nacional de Protección de Datos
Personales, el Registro Nacional de Identificación y Estado Civil (RENIEC), las
Direcciones Regionales de Salud DIRESA de los Gobiernos Regionales GORES, la
Policía Nacional del Perú–PNP y el Comando Conjunto de las Fuerzas
Armadas–CCFFAA.
Son estas entidades las que realizan tratamiento de datos personales que la presente norma en comentario regula en el contexto de la emergencia sanitaria del coronavirus COVID'19.
Acceso a los datos personales de potenciales casos o confirmados de COVID 19
Con respecto al Acceso a los datos personales derivados de las llamadas
realizadas para identificación y seguimiento de potenciales casos de COVID-19, se dispone que las entidades administradoras de las centrales
telefónicas de emergencia 113 y 107 acceden a los datos de las personas que
realizan las llamadas a esas centrales motivado en las razones materia del
presente Decreto Supremo, y para fines de corroboración de su identidad ante el
RENIEC. Dicha información, debidamente anonimizada, es proporcionada a las
entidades públicas, para las funciones y competencias
que les son propias en el marco de esta epidemia a través de la Plataforma
Nacional de Interoperabilidad del Estado.
El acceso de datos debe ser realizado cumpliendo el principio de finalidad. La anonimizacion de los datos es una de limitaciones a la autorización del consentimiento que establece la Ley de Protección de Datos Personales.
De modo excepcional y para fines
estrictamente limitados a la identificación y seguimiento de casos sospechosos
o confirmados de COVID-19, se dispone lo siguiente:
a)Únicamente en casos
sospechosos o confirmados de COVID-19, las entidades administradoras de las
centrales telefónicas de emergencia pueden acceder, además, al registro
histórico de la localización o geolocalización del dispositivo desde el cual se
realiza la llamada, inclusive, tres (03) días antes de su realización.
b)Los
concesionarios de servicios públicos de telefonía fija y móvil están obligados
a brindar el acceso a localización o geolocalización del dispositivo, de acuerdo con la capacidad y facilidades
técnicas de cada operador, debidamente sustentadas.
La llamada a las centrales
telefónicas de emergencia 113 y 107 desde un terminal fijo o móvil, implica la
geolocalización del mismo y el tratamiento del dato personal que de ella se
deriva, así como la grabación de la comunicación efectuada a la central
telefónica de emergencia, de acuerdo a los criterios y términos establecidos
por la entidad que la administra.
Medidas para la identificación y
seguimiento de casos sospechosos de coVId-19
Los concesionarios de
servicios públicos de telecomunicaciones, a través de sus servicios de
mensajería de las redes de comunicaciones, como el servicio de mensajes cortos
(SMS) o el servicio suplementario de datos no estructurados (USSD), entre
otros, remiten mensajes a todos sus abonados con periodicidad semanal, durante
la vigencia del Estado de Emergencia Nacional, o sus ampliaciones, para difundir el cuestionario nacional o
triaje inicial digital nacional implementado por el Poder Ejecutivo para la
identificación de casos sospechosos de COVID-19.
Los concesionarios de
servicios públicos de telecomunicaciones brindan facilidades para el acceso al
cuestionario nacional o triaje inicial digital nacional implementado por el
Poder Ejecutivo para la identificación de casos sospechosos de COVID-19.
El
Ministerio de Salud y sus Organismos Públicos Adscritos, el Seguro Social de
Salud (ESSALUD), y la Presidencia del Consejo de Ministros, a través de la
Secretaría de Gobierno Digital, pueden acceder y gestionar los datos que se
generen como resultado del llenado de cuestionario nacional o triaje inicial
digital nacional para la adopción e implementación de acciones de prevención y
control del COVID-19, según corresponda. El Ministerio de Salud y el Seguro
Social de Salud (ESSALUD) acceden a los datos personales que deriven del
llenado del cuestionario nacional o triaje inicial digital, para efectos de la
adopción de las medidas sanitarias que corresponda implementar. La Secretaría
de Gobierno Digital podrá acceder a datos anonimizados que deriven de este
llenado, a propósito de las competencias y funciones que le son propias en el
marco de las acciones gubernamentales implementadas para enfrentar la epidemia. Los concesionarios de servicios públicos de telecomunicaciones están
obligados a brindar el acceso a la información que requieran las citadas
entidades. En ningún caso, se permite el acceso al
contenido de llamadas salientes y entrantes, de mensajes de texto SMS.
Estas precisiones se hacen en concordancia con la Ley de Protección de Datos personales y el respeto a los principios de legalidad, finalidad, proporcionalidad y seguridad de datos.
El
Organismo Supervisor de Inversión Privada en Telecomunicaciones (OSIPTEL), en
el marco de sus funciones y competencias, fiscaliza el cumplimiento de las
obligaciones descritas por parte de los operadores de
servicios de telefonía; para cuyo efecto podrá requerir la información que
considere necesaria a las autoridades respectivas. Asimismo, de requerirlo la
autoridad competente, brindará recomendaciones respecto del envío de los
mensajes cortos (SMS) o el servicio suplementario de datos no estructurados
(USSD), entre otros
Tratamiento de Datos, conforme la Ley de Protección de Datos Personales
De
conformidad a lo establecido en la Ley N° 29733, Ley de Protección de Datos
Personales, y su Reglamento, aprobado por Decreto Supremo N° 003- 2013-JUS, se
deben seguir las siguientes medidas para el aseguramiento de la información:
a)Las organizaciones y las entidades que con motivo de la presente norma tienen
acceso a la información, la emplean
únicamente para los fines del presente Decreto Supremo. Con lo cual se cumple con el principio de finalidad expresa y licita que establece la Ley de Protección de Datos Personales.
b)Las organizaciones y
las entidades que tienen acceso a dicha información adoptan las medidas
técnicas, organizativas y legales correspondientes para salvaguardar la
confidencialidad, integridad y disponibilidad de los datos hasta su
eliminación, una vez terminado el Estado de Emergencia Nacional y sus
ampliaciones. Con lo cual se cumplen los principios de Finalidad, Proporcionalidad, Calidad de Datos, Seguridad de Datos de la Ley de Protección de Datos Personales.
c)El personal que tiene acceso a la referida información se
encuentra obligado a guardar confidencialidad, sin perjuicio de la responsabilidad
civil, penal, administrativa a que hubiera lugar. El deber de secreto que se establece esta en concordancia con el articulo 17 de la Ley de Protección de Datos Personales 29733, que establece la obligación de guardar confidencialidad y que esta obligación subsiste aun después de finalizadas las relaciones con el titular del banco de datos personales. d)Los datos recopilados son
eliminados inmediatamente a la finalización del Estado de Emergencia Nacional y
sus ampliaciones, y no son utilizados para ningún fin ajeno a lo indicado en el
presente Decreto Supremo, lo cual se debe realizar en concordancia con el principio de proporcionalidad y el derecho de supresión o cancelación establecido en la Ley de Protección de Datos Personales.
La Autoridad Nacional de Protección de Datos
Personales, en el marco de sus competencias, acompaña, vigila, supervisa y
fiscaliza que el tratamiento de los datos personales se realice para los fines
del presente Decreto Supremo. Esta labor de la autoridad debe realizarse de acuerdo a sus funciones y en concordancia con el principio de legalidad y de tutela establecido en la Ley de Protección de Datos Personales.
La Presidencia del Consejo de Ministros, a
través de la Secretaría de Gobierno Digital, acompaña, supervisa y fiscaliza el
correcto uso y operación de las tecnologías digitales en el despliegue de la
analítica de datos, inteligencia artificial, uso predictivo, tratamiento y
recopilación de los datos, la creación de servicios digitales e complementación
de plataformas y aplicaciones para las interacciones digitales con los
ciudadanos de acuerdo a lo establecido por el Decreto de Urgencia 007-2020,
Decreto de Urgencia que aprueba el marco de confianza digital y dispone medidas
para su fortalecimiento, en el marco de la Emergencia Sanitaria a nivel
nacional, declarada mediante Decreto Supremo N° 008-2020-SA. Cabe destacar que la Confianza Digital es el estado que emerge como resultado de cuan veraces , predecibles, éticas , proactivas, transparentes y seguras, inclusivas y confiables son las interacciones digitales que se generan entre personas, empresas, entidades publicas, o cosas en el entorno digital, con el propósito de impulsar el desarrollo de la economía digital y la transformación digital. Es un componente de la transformación digital y tiene como ámbitos la protección de datos personales, la ética, la transparencia, la seguridad digital y la protección del consumidor en el entorno digital.
Protección de datos personales, interoperabilidad entre las entidades publicas y conectividad
El tratamiento de los datos
personales de personas infectadas con el COVID-19 , debe
realizarse únicamente para el cumplimiento y el ejercicio de sus respectivas
funciones, en el ámbito de sus competencias, enmarcadas en el contexto de
emergencia nacional decretada. Esta disposición permite cumplir con los principios de legalidad, finalidad, proporcionalidad, seguridad de datos establecidos en la Ley de Protección de Datos Personales.
El tratamiento de datos anonimizados de
personas infectadas con el COVID-19 o bajo sospecha de estarlo, es legítimo y cualquier otro tratamiento
que responda a las competencias y funciones regulares de las entidades
públicas. Esta legitimidad esta en concordancia con la limitaciones al consentimiento por motivo de salud establecidos en la ley.
Las entidades públicas ponen a disposición servicios de
información de interoperabilidad que, deben asegurar en su diseño, desarrollo e
implementación, medidas y controles que permitan proteger adecuadamente la seguridad
de los datos mediante el uso de protocolos seguros de almacenamiento y
comunicación, algoritmos estándar de codificación, programas o dispositivos
informáticos y métodos pertinentes, de acuerdo con la normatividad vigente y
las buenas prácticas que existen en materia de desarrollo de software,
seguridad de la información y protección de datos personales.
Las entidades
públicas deben seguir los mecanismos y disposiciones establecidas por la
Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, y la
Autoridad Nacional de Protección de Datos Personales, en el ámbito de sus
competencias.
Comentarios
La emergencia nacional por los efectos del aislamiento social y acciones realizadas en la presente coyuntura de identificación , seguimiento de casos de sospechosos y confirmados del COVID 19, ha originado el dictado de normas especificas para regular esta situación. La presente norma establece disposiciones relacionadas a la Protección de Datos Personales en el contexto de las medidas de emergencia dictadas para combatir esta pandemia. El cumplimiento de los principios rectores de Legalidad, Consentimiento, Finalidad, Proporcionalidad, Calidad de Datos, Seguridad, Tutela, es necesario e imprescindible, incluso en un Estado de Emergencia Sanitaria. Cordialmente, Dr. Julio Nuñez Ponce, Doctor en Derecho. Experto en Derecho de las Nuevas Tecnologías. Profesor Universitario. Contactos academicos: julionunezponce@gmail.com. Contactos profesionales y para consultoria: nunezdigitallaw@gmail.com
Etiquetas: Datos Personales, Derecho Digital, Estrategia Digital, Georeferencia, Servicios de Telecomunicaciones