Protección de Datos Personales y seguimiento de casos del COVID-19 en Estado de Emergencia Nacional

En el Perú, por Decreto Supremo N° 070-2020-PCM, publicado el 17 de Abril de 2020, se ha dictado normas complementarias referidas a la Protección de Datos Personales,  en el contexto del Estado de Emergencia Nacional por la graves circunstancias que afectan la vida de la nación a consecuencia del brote del COVID-19.  Por su importancia y actualidad publicamos esta breve reseña en el presente Blog Jurídico Digital.

Ámbito de aplicación 

La presente norma es aplicable a los concesionarios de servicios públicos de telecomunicaciones, así como a la Presidencia del Consejo de Ministros, el Ministerio de Salud y sus Organismos Públicos Adscritos, al Organismo Supervisor de Inversión Privada en Telecomunicaciones (OSIPTEL), el Seguro Social de Salud (ESSALUD), la Autoridad Nacional de Protección de Datos Personales, el Registro Nacional de Identificación y Estado Civil (RENIEC), las Direcciones Regionales de Salud DIRESA de los Gobiernos Regionales GORES, la Policía Nacional del Perú–PNP y el Comando Conjunto de las Fuerzas Armadas–CCFFAA.
Son estas entidades las que realizan tratamiento de datos personales que la presente norma en comentario regula en el contexto de la emergencia sanitaria del coronavirus COVID'19.

Acceso a los datos personales de potenciales casos o confirmados de COVID 19

Con respecto al Acceso a los datos personales derivados de las llamadas realizadas para identificación y seguimiento de potenciales casos de COVID-19, se dispone que las entidades administradoras de las centrales telefónicas de emergencia 113 y 107 acceden a los datos de las personas que realizan las llamadas a esas centrales motivado en las razones materia del presente Decreto Supremo, y para fines de corroboración de su identidad ante el RENIEC. Dicha información, debidamente anonimizada, es proporcionada a las entidades públicas, para las funciones y competencias que les son propias en el marco de esta epidemia a través de la Plataforma Nacional de Interoperabilidad del Estado.
El acceso de datos debe ser realizado cumpliendo el principio de finalidad. La anonimizacion de los datos es una de limitaciones a la autorización del consentimiento que establece la Ley de Protección de Datos Personales.

De modo excepcional y para fines estrictamente limitados a la identificación y seguimiento de casos sospechosos o confirmados de COVID-19, se dispone lo siguiente:

 a)Únicamente en casos sospechosos o confirmados de COVID-19, las entidades administradoras de las centrales telefónicas de emergencia pueden acceder, además, al registro histórico de la localización o geolocalización del dispositivo desde el cual se realiza la llamada, inclusive, tres (03) días antes de su realización. 

b)Los concesionarios de servicios públicos de telefonía fija y móvil están obligados a brindar el acceso a localización o geolocalización del dispositivo, de acuerdo con la capacidad y facilidades técnicas de cada operador, debidamente sustentadas. 

La llamada a las centrales telefónicas de emergencia 113 y 107 desde un terminal fijo o móvil, implica la geolocalización del mismo y el tratamiento del dato personal que de ella se deriva, así como la grabación de la comunicación efectuada a la central telefónica de emergencia, de acuerdo a los criterios y términos establecidos por la entidad que la administra. 

Medidas para la identificación y seguimiento de casos sospechosos de coVId-19 

Los concesionarios de servicios públicos de telecomunicaciones, a través de sus servicios de mensajería de las redes de comunicaciones, como el servicio de mensajes cortos (SMS) o el servicio suplementario de datos no estructurados (USSD), entre otros, remiten mensajes a todos sus abonados con periodicidad semanal, durante la vigencia del Estado de Emergencia Nacional, o sus ampliaciones, para difundir el cuestionario nacional o triaje inicial digital nacional implementado por el Poder Ejecutivo para la identificación de casos sospechosos de COVID-19. 

Los concesionarios de servicios públicos de telecomunicaciones brindan facilidades para el acceso al cuestionario nacional o triaje inicial digital nacional implementado por el Poder Ejecutivo para la identificación de casos sospechosos de COVID-19. 

El Ministerio de Salud y sus Organismos Públicos Adscritos, el Seguro Social de Salud (ESSALUD), y la Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, pueden acceder y gestionar los datos que se generen como resultado del llenado de cuestionario nacional o triaje inicial digital nacional para la adopción e implementación de acciones de prevención y control del COVID-19, según corresponda. El Ministerio de Salud y el Seguro Social de Salud (ESSALUD) acceden a los datos personales que deriven del llenado del cuestionario nacional o triaje inicial digital, para efectos de la adopción de las medidas sanitarias que corresponda implementar. La Secretaría de Gobierno Digital podrá acceder a datos anonimizados que deriven de este llenado, a propósito de las competencias y funciones que le son propias en el marco de las acciones gubernamentales implementadas para enfrentar la epidemia. Los concesionarios de servicios públicos de telecomunicaciones están obligados a brindar el acceso a la información que requieran las citadas entidades. En ningún caso, se permite el acceso al contenido de llamadas salientes y entrantes, de mensajes de texto SMS.
Estas precisiones se hacen en concordancia con la Ley de Protección de Datos personales y el respeto a los principios de legalidad, finalidad, proporcionalidad y seguridad de datos.

El Organismo Supervisor de Inversión Privada en Telecomunicaciones (OSIPTEL), en el marco de sus funciones y competencias, fiscaliza el cumplimiento de las obligaciones descritas por parte de los operadores de servicios de telefonía; para cuyo efecto podrá requerir la información que considere necesaria a las autoridades respectivas. Asimismo, de requerirlo la autoridad competente, brindará recomendaciones respecto del envío de los mensajes cortos (SMS) o el servicio suplementario de datos no estructurados (USSD), entre otros 

Tratamiento de Datos, conforme la Ley de Protección de Datos Personales

De conformidad a lo establecido en la Ley N° 29733, Ley de Protección de Datos Personales, y su Reglamento, aprobado por Decreto Supremo N° 003- 2013-JUS, se deben seguir las siguientes medidas para el aseguramiento de la información:

 a)Las organizaciones y las entidades que con motivo de la presente norma tienen acceso a la información, la emplean únicamente para los fines del presente Decreto Supremo. Con lo cual se cumple con el principio de finalidad expresa y licita que establece la Ley de Protección de Datos Personales.

b)Las organizaciones y las entidades que tienen acceso a dicha información adoptan las medidas técnicas, organizativas y legales correspondientes para salvaguardar la confidencialidad, integridad y disponibilidad de los datos hasta su eliminación, una vez terminado el Estado de Emergencia Nacional y sus ampliaciones. Con lo cual se cumplen los principios de Finalidad, Proporcionalidad, Calidad de Datos, Seguridad de Datos de la Ley de Protección de Datos Personales.

c)El personal que tiene acceso a la referida información se encuentra obligado a guardar confidencialidad, sin perjuicio de la responsabilidad civil, penal, administrativa a que hubiera lugar. El deber de secreto que se establece esta en concordancia con el articulo 17 de la Ley de Protección de Datos Personales 29733, que establece la obligación de guardar confidencialidad y que esta obligación subsiste aun después de finalizadas las relaciones con el titular del banco de datos personales. d)Los datos recopilados son eliminados inmediatamente a la finalización del Estado de Emergencia Nacional y sus ampliaciones, y no son utilizados para ningún fin ajeno a lo indicado en el presente Decreto Supremo, lo cual se debe realizar en concordancia con el principio de proporcionalidad y el derecho de supresión o cancelación establecido en la Ley de Protección de Datos Personales.  

La Autoridad Nacional de Protección de Datos Personales, en el marco de sus competencias, acompaña, vigila, supervisa y fiscaliza que el tratamiento de los datos personales se realice para los fines del presente Decreto Supremo. Esta labor de la autoridad debe realizarse de acuerdo a sus funciones y en concordancia con el principio de legalidad y de tutela establecido en la Ley de Protección de Datos Personales.

La Presidencia del Consejo de Ministros, a través de la Secretaría de Gobierno Digital, acompaña, supervisa y fiscaliza el correcto uso y operación de las tecnologías digitales en el despliegue de la analítica de datos, inteligencia artificial, uso predictivo, tratamiento y recopilación de los datos, la creación de servicios digitales e complementación de plataformas y aplicaciones para las interacciones digitales con los ciudadanos de acuerdo a lo establecido por el Decreto de Urgencia 007-2020, Decreto de Urgencia que aprueba el marco de confianza digital y dispone medidas para su fortalecimiento, en el marco de la Emergencia Sanitaria a nivel nacional, declarada mediante Decreto Supremo N° 008-2020-SA. Cabe destacar que la Confianza Digital es el estado que emerge como resultado de cuan veraces , predecibles, éticas , proactivas, transparentes y seguras, inclusivas y confiables son las interacciones digitales que se generan entre personas, empresas, entidades publicas, o cosas en el entorno digital, con el propósito de impulsar el desarrollo de la economía digital y la transformación digital. Es un componente de la transformación digital y tiene como ámbitos la protección de datos personales, la ética, la transparencia, la seguridad digital y la protección del consumidor en el entorno digital. 

Protección de datos personales, interoperabilidad entre las entidades publicas y conectividad 

El tratamiento de los datos personales de personas infectadas con el COVID-19 , debe realizarse únicamente para el cumplimiento y el ejercicio de sus respectivas funciones, en el ámbito de sus competencias, enmarcadas en el contexto de emergencia nacional decretada. Esta disposición permite cumplir con los principios de legalidad, finalidad, proporcionalidad, seguridad de datos establecidos en la Ley de Protección de Datos Personales.

El tratamiento de datos anonimizados de personas infectadas con el COVID-19 o bajo sospecha de estarlo, es legítimo y cualquier otro tratamiento que responda a las competencias y funciones regulares de las entidades públicas. Esta legitimidad esta en concordancia con la limitaciones al consentimiento por motivo de salud establecidos en la ley.

Las entidades públicas ponen a disposición servicios de información de interoperabilidad que, deben asegurar en su diseño, desarrollo e implementación, medidas y controles que permitan proteger adecuadamente la seguridad de los datos mediante el uso de protocolos seguros de almacenamiento y comunicación, algoritmos estándar de codificación, programas o dispositivos informáticos y métodos pertinentes, de acuerdo con la normatividad vigente y las buenas prácticas que existen en materia de desarrollo de software, seguridad de la información y protección de datos personales. 

Las entidades públicas deben seguir los mecanismos y disposiciones establecidas por la Secretaría de Gobierno Digital de la Presidencia del Consejo de Ministros, y la Autoridad Nacional de Protección de Datos Personales, en el ámbito de sus competencias. 

Comentarios

La emergencia nacional por los efectos del aislamiento social y acciones realizadas en la presente coyuntura de identificación , seguimiento de casos de sospechosos y confirmados del COVID 19, ha originado el dictado de normas especificas para regular esta situación. La presente norma establece disposiciones relacionadas a la Protección de Datos Personales en el contexto de las medidas de emergencia dictadas para combatir esta pandemia. El cumplimiento de los principios rectores de Legalidad, Consentimiento, Finalidad, Proporcionalidad, Calidad de Datos, Seguridad, Tutela, es necesario e imprescindible, incluso en un Estado de Emergencia Sanitaria.  Cordialmente, Dr. Julio Nuñez Ponce, Doctor en Derecho. Experto en Derecho de las Nuevas Tecnologías. Profesor Universitario. Contactos academicos: julionunezponce@gmail.com. Contactos profesionales y para consultoria: nunezdigitallaw@gmail.com