El INAI reconoce los desafíos sin precedentes que todos enfrentamos durante la emergencia sanitaria que implica el COVID-19 respecto a la posible necesidad de compartir información rápidamente o adaptar la forma de trabajar ante la situación. En este sentido, con el fin de orientar una actuación que sea proporcional a la protección de datos personales, en el presente apartado se contestan algunas preguntas frecuentes, tomando como referencia consultas recibidas a través del Centro de Atención a la Sociedad, las más recurrentes entre las Autoridades de Protección de Datos Personales a nivel internacional, así como aquellas que se identifican a partir de los hechos y comunicados relacionados con el tratamiento de datos personales ante el COVID-19 en México.
Como responsable del tratamiento de datos personales ¿qué debo hacer ante el COVID-19?
Las medidas que se están llevando a cabo por parte del sector público y del sector privado para hacer frente al COVID-19 pueden involucrar el tratamiento de datos personales, principalmente datos sobre el estado de salud, al respecto quiénes hagan uso de estos deberán de cumplir con los principios y deberes establecidos en la normativa de protección de datos personales que sea aplicable al sector que les corresponda.
Para conocer recomendaciones específicas sobre el cumplimiento de las obligaciones en materia de protección de datos personales se sugiere consultar la sección Recomendaciones para el tratamiento de datos personales ante COVID-19.
¿Qué datos personales se pueden recabar ante el COVID-19?
Todos aquellos que la autoridad sanitaria estime pertinentes para la situación de emergencia que potencialmente pueda dañar a un individuo en su persona y cuando sean necesarios para efectuar un tratamiento para la prevención, diagnóstico, la prestación de asistencia sanitaria.
¿Es necesario obtener el consentimiento del titular de datos personales ante el COVID-19?
En el tratamiento de estos datos se podría considerar una excepción a la obtención del consentimiento expreso y por escrito de los titulares, siempre que sean indispensables para atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, mientras el titular no esté en condiciones de otorgar el consentimiento o cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona. Por ello será indispensable que el responsable analice de forma específica los casos que pudieran ser sujetos de excepción y ante cualquier duda acudir con la autoridad federal (INAI) o local (Órganos Garantes).
¿Es necesario contar con un Aviso de Privacidad ante el COVID-19?
Sí. El tratamiento de datos personales ante el COVID-19, debe ser informado y el titular debe conocer en todo momento las finalidades para las cuáles serán recabados y tratados sus datos personales. Previo al tratamiento, el responsable deberá poner a disposición del titular el aviso de privacidad correspondiente.
¿Es necesario establecer medidas de seguridad en toda organización o autoridad para el tratamiento de datos personales que obtenga con motivo del COVID-19?
Sí. Los responsables del tratamiento en cumplimiento a los deberes de seguridad y confidencialidad se encuentran obligados a adoptar las medidas que permitan garantizar la integridad, disponibilidad y confidencialidad de la información obtenida dada la naturaleza sensible de ésta, por lo que se deberán adoptar las medidas físicas, administrativas y técnicas necesarias en el caso particular.
¿Qué tipo de medidas de seguridad debe establecer toda organización o institución para la realización de sus labores a distancia?
Sí el personal trabaja a distancia y a través de dispositivos personales, se deberán establecer las mismas medidas de seguridad adoptadas para la protección de la información de la organización en circunstancias normales, o inclusive adoptar nuevas de requerirse, ya que aumenta el riesgo de pérdida o fuga de información que puede contener datos personales. Asimismo, se sugiere establecer comunicación a través de los canales establecidos por las instituciones y evitar el uso de páginas de internet o aplicaciones móviles no verificadas para el flujo de información.
Para conocer más se invita a consultar la sección de recomendaciones relacionadas con la implementación del Trabajo a distancia.
Con motivo del COVID-19 ¿Se puede solicitar información de la salud adicional a la que sus trabajadores le informan?
Preferentemente, se recomienda que el empleador incentive a los trabajadores voluntariamente a comunicar sobre los síntomas que presenten o los viajes recientes a sitios de riesgo a los que han acudido, de manera personal al médico ocupacional y no así a través de formularios extensos sobre su situación de salud o de sus destinos frecuentes, al resultar desproporcionado.
Los datos personales de salud que se solicite a los trabajadores deberán ser los mínimos necesarios para que se tomen las medidas para la seguridad del centro de trabajo y asegúrese de que toda la información recopilada sea tratada con las garantías adecuadas.
¿Es necesario documentar el proceso de toma de decisiones derivadas del COVID-19?
Sí. Es necesario documentar el proceso de toma de decisiones que se adopten durante el tratamiento de los datos personales sensibles en observancia al principio de responsabilidad, así como tomar medidas para notificar al personal sobre cómo se manejará su información personal para responder a cualquier caso potencial o confirmado de COVID-19.
¿Se puede informar al personal que un compañero de trabajo o visitante de la institución u organización contrajo o puede ser un caso sospechoso de COVID-19?
Como parte de la obligación de salvaguardar la salud y la seguridad de los trabajadores sí se puede informar al personal que un compañero de trabajo o visitante contrajo o puede ser un caso sospechoso de COVID-19, sin embargo, esta información se proporcionará de manera anonimizada con el fin de no hacer identificable al afectado, y así evitarle una situación de tensión e incluso discriminación.
¿Puedo compartir la información de salud de los empleados con las autoridades con fines de salud pública?
Sí, y sólo si así lo requiere una autoridad sanitaria al actualizarse un supuesto de excepción para realizar la transferencia de datos personales, sin embargo, dicha comunicación deberá observar el cumplimiento de los demás principios y deberes rectores del derecho a la protección de datos personales.
.¿Se pueden tratar los datos de salud de las personas trabajadoras relacionados con el COVID-19?
En el caso específico de los centros de trabajo de manera coordinada con lo que establezca el Gobierno Federal, con el objeto de que el trabajo se efectúe en condiciones que aseguren la vida digna y la salud para las y los trabajadores y sus familiares dependientes, realizarán el tratamiento de datos personales de sus trabajadores.
El tratamiento y la recolección de información de las personas trabajadoras relacionadas con el COVID-19 se debe realizar a través de medios lícitos y buscando siempre que sean los mínimos posibles, en todo caso, el tratamiento de estos datos debe observar los principios establecidos en la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados y la Ley Federal de Protección de Datos Personales en Posesión de los Particulares.
Como institución de salud, ¿Qué debo tomar en cuenta para llevar a cabo el tratamiento de datos personales de pacientes del COVID-19?
Derivado de su naturaleza, los datos de salud presente y futura se constituyen como datos personales sensibles, los cuales deben tener un tratamiento que sea proporcional al propósito de prevenir y contener la pandemia y que, en cuanto ésta haya cesado, el tratamiento de estos datos deberá observar el cumplimiento de los plazos de conservación legalmente establecido para ello. Cabe señalar que, ante una emergencia sanitaria como la que se vive, los datos personales de pacientes podrían fungir como información histórico confidencial para ayudar a las labores de investigación.
Bajo ciertas condiciones, se podrá configurar una excepción al cumplimiento de las obligaciones que derivan del principio del consentimiento, toda vez que los datos personales que se obtienen resultan necesarios para efectuar un tratamiento para la prevención, diagnóstico, la prestación de asistencia sanitaria, por lo tanto, no será necesario obtener el consentimiento de los titulares para realizar el tratamiento de estos datos, sin que ello exima a los responsables de la aplicación de los demás principios, deberes y derechos que resulten aplicables.
Asimismo, cualquier procesamiento de datos en el contexto de prevenir la propagación de COVID-19 debe llevarse a cabo de una manera que garantice la seguridad de los datos, en particular cuando se trata de datos de salud por lo que deberán elevar las medidas de seguridad y confidencialidad para proteger la identidad de los pacientes y personas cercanas a ellos, limitando el acceso público y filtración, así como el acceso no autorizado a su información personal, incluso después de finalizada la relación médico-paciente.
¿Qué datos personales debe solicitarme el personal médico en una institución de salud?
Una institución de salud que trate datos personales para conocer si usted es sospechoso o esta contagiado de COVID-19 solo debe solicitar los datos que resulten adecuados, relevantes y estrictamente necesarios para la finalidad que justifique su tratamiento para atender dicha enfermedad, de conformidad con lo establecido en el artículo 25 de la Ley General y 13 de la Ley Federal.
¿Pueden las instituciones médicas públicas o privadas que atendieron mi caso positivo de COVID-19 utilizar mis datos personales al respecto, sin mi consentimiento?
Existen supuestos de excepción, claramente establecidos, en el marco normativo del sector público y privado. Para el caso de datos personales de salud, se deberá considerar los supuestos previstos en el artículo 10 de la Ley Federal o 22 de la Ley General.
¿Los servicios médicos podrán dar seguimiento médico a las personas que se curen del COVID-19 a fin de estudiarlo como caso clínico y servir de referencia para continuar con la investigación epidemiológica y sus efectos sobre inmunidad?
Los servicios médicos públicos deberán contar con facultades para llevar a cabo ese tipo de investigaciones y contar con el consentimiento del titular.
¿Cómo puedo saber para qué utilizarán mis datos personales las instituciones públicas o privadas, en esta contingencia del COVID-19?
Las instituciones deben informar a través del aviso de privacidad sobre las finalidades y características principales del tratamiento de los datos personales a los cuales serán sometidos sus datos personales, incluyendo datos personales sensibles, como lo son, los datos de salud, lo anterior de conformidad con lo establecido en los artículos 3, fracción II y 26 de la Ley General y los artículos 3, fracción I y 15 de la Ley Federal.
¿A quién le puedo solicitar el aviso de privacidad?
Podrá solicitar el aviso de privacidad a la persona que le recabe sus datos personales previo a su tratamiento.
¿Qué puedo hacer si estoy inconforme con el tratamiento que le están dando a mis datos personales, relacionados con el COVID-19?
Podrá presentar una denuncia ante el INAI, en el supuesto de que se trate de una autoridad federal o un responsable del sector privado, o en su caso ante el organismo garante local que corresponda en cada entidad federativa, por cualquier mal uso que realice el responsable o los responsables que traten sus datos personales.