1. Introducción
La declaración de la pandemia por SARS-COV 2, denominada COVID-19, ha llevado a que casi todos los países empezaran a tomar diversos tipos de medidas de forma progresiva, con la finalidad de contener la propagación, proteger la salud pública y la vida de las personas. Estas acciones de una u otra forma han limitado derechos y libertades fundamentales, a saber: la privacidad y protección de datos personales, libre circulación, libertad de expresión, libertad religiosa, reunión y manifestación, recreación, trabajo, salud, entre otros. De todos estos nos preocupa especialmente el derecho a la protección de datos personales, debido al tipo de información requerida para la implementación de los sistemas de vigilancia epidemiológica y de control de la diseminación de la enfermedad.
Sin embargo, a pesar de la restricción de libertades, debe señalarse, que acorde con los Principios de Siracusa "ningún Estado, ni siquiera en situaciones de excepción que amenacen la vida de la nación, podrá suspender las garantías contenidas en el Pacto de Derechos humanos."1 (UN Commission on Human Rights, 1984; Silva & Smith, 2015).
En este escenario de incertidumbre y riesgo, los Estados han hecho uso de sus poderes excepcionales de intervención, sin que necesariamente medie un control político, ni se informe adecuadamente a la ciudadanía, ni se garantice su carácter temporal, o se proteja el núcleo fundamental de estos derechos, lo que incide en la falta de confianza y seguridad jurídica de los ciudadanos (Blofield, Hoffmann & Llanos, 2020).
Las epidemias han estado presentes a lo largo de la historia de la humanidad, y se han instaurado medidas para prevenir, tratar, y controlar su propagación con las herramientas disponibles en su momento. Esta pandemia es única en diversos aspectos: de una parte es altamente contagiosa, no se cuenta con una vacuna o un tratamiento efectivo, los portadores asintomáticos pueden transmitir la enfermedad, e hizo evidente que los países no cuentan con políticas claras y efectivas de salud pública, y menos para el caso de catástrofes o emergencias; y de otra parte, se da en un nuevo contexto caracterizado por los siguientes hechos: existe un entendimiento desigual por parte de las empresas privadas, los gobiernos, y los ciudadanos del valor de los datos, los países tienen desarrollos jurídicos que buscan garantizar el derecho a la protección de los datos personales, se cuenta con nuevas tecnologías informáticas que permiten obtener, cruzar y analizar grandes volúmenes de datos, a lo que se suma que en los últimos años ha habido una explosión del mundo digital y del e-comercio, el crecimiento de la telefonía móvil (aunque de manera desigual en distintos países y grupos poblacionales). Es común que las personas usen cotidianamente diversas plataformas como Facebook, o Google, y miles de apps (Whatsapp, Waze, etc.), que tienen en común la captura y almacenamiento de diversos tipos de datos de las personas.
Es decir, tenemos una amenaza tangible para la vida humana, necesitamos datos para conjurarla y contamos con los medios idóneos para hacerlo. Esta es la razón por la que gobiernos nacionales y locales como los de Singapur, Taiwán, España, Noruega, Inglaterra, Corea del Sur, India y también Colombia, emplearon diversas estrategias digitales, que complementan los instrumentos tradicionales de vigilancia epidemiológica para la detección de casos, el rastreo de contactos, corroborar el confinamiento, documentar los lugares donde las personas han estado, determinar los sitios y momentos de mayor afluencia, para así poder tomar las medidas que interrumpan el contagio. También se han usado para comunicar y educar a la ciudadanía o para hacer atención a través de tele-presencia.
Las estrategias incluyen diversas apps, el uso de dispositivos móviles, la medición de temperatura en lugares públicos asociada o no al reconocimiento facial, la implementación de "pasaportes inmunológicos" para hacer turismo, conseguir un empleo y hacer perfilamiento individual (The state in the time of COVID-19, 2020; Voo, Clapham & Tam, 2020). En Colombia, el gobierno nacional lanzó Coronapp, en la que más de 40.000 colombianos voluntariamente han ingresado sus datos de salud (MinTic, 2020)2, así como otros aplicativos desarrollados por los gobiernos locales o incluso por empresas privadas.
Sin embargo, estas innovaciones han generado nuevas preocupaciones sobre la vigilancia y la privacidad de los ciudadanos, y han supuesto una tensión entre el derecho a la salud colectiva y los derechos individuales. Lamentablemente estas estrategias no siempre se contextualizan dentro de un régimen de protección de datos personales robusto, ni de instrumentos jurídicos que garanticen que en su desarrollo e implementación se protejan los derechos de las personas, se obtengan únicamente datos realmente necesarios, se evalúe el impacto en la salud humana que justifique las restricciones de libertades, o se garantice que la información obtenida no será empleada a largo plazo con otros fines estatales o privados (World Health Organization, 2020). Algunos de los principios del derecho a la protección de datos personales son de difícil cumplimiento en el mundo digital, como es el caso de la supresión o el almacenamiento por tiempo limitado y que cada vez es más difícil garantizar el anonimato debido a la posibilidad del cruce de datos. Ante esta realidad, diferentes organismos y entidades, como la Organización Mundial de la Salud, han propuesto una serie de principios para garantizar la transparencia y confianza por parte de la sociedad respecto al tratamiento de datos personales y evitar afectaciones a sus derechos.
Este artículo pretende hacer un análisis de las medidas del gobierno colombiano para el control de la pandemia por COVID-19 desde la perspectiva del marco jurídico vigente del derecho a la protección de datos personales y de los principios y derechos asociados que lo fundamentan, así como de los necesarios ajustes requeridos, conforme a los retos que ofrece la pandemia. Para cumplir con este objetivo nos planteamos una serie de interrogantes como hilo conductor de la reflexión.
2. ¿Cómo se entiende el derecho a la protección de datos personales y su relación con el derecho a la intimidad?
El derecho a la protección de datos personales es un derecho fundamental que se puede definir como el:
"conjunto de facultades que le permiten a la persona tener control sobre el tratamiento de sus propios datos, bien sea que estos se encuentren en soportes manuales o automatizados o que hagan referencia a su vida íntima o privada, e imponer a terceros que actúen o se abstengan de realizar acciones respecto de ellos." (Seoane, 2002)
Este derecho está íntimamente relacionado con la dignidad y con los derechos a la intimidad, al buen nombre, al acceso a la información, a la libertad, y a la autodeterminación informática y libertad informativa, entre otros. El consentimiento previo, expreso, informado, inequívoco y comprobable, que da el titular para el tratamiento legítimo de sus datos, es el eje central del control que este puede ejercer sobre ellos.
3. ¿Bajo qué condiciones pueden los Estados restringir el derecho a la protección de datos personales?
Diversos instrumentos de softlaw y las reglamentaciones de los diferentes países contemplan una serie de principios, derechos y deberes relacionados con el derecho a la protección de datos personales, de las que se destaca la necesidad de contar con el consentimiento del titular para el tratamiento de los datos para una finalidad específica. No obstante, también prevén circunstancias extraordinarias en las que puede obviarse este requisito, como es el caso de las emergencias sanitarias. Sin embargo, estas medidas deben acompañarse de una reflexión ética que las sustenten, que sean comunicadas al momento de tomar estas decisiones, de tal forma que se eviten daños a grupos vulnerables, la sociedad pierda la confianza y no se logre la coordinación requerida entre los actores clave (Esquivel‑Guadarrama, 2020).
Algunas de estos documentos son, entre otros: las Pautas de la OMS sobre la ética en la vigilancia de la salud pública (2017); el documento de Orientación ética sobre cuestiones planteadas por la pandemia del nuevo coronavirus COVID-19 (OPS, 2020); el Documento sobre consideraciones éticas para la orientación del uso de tecnologías digitales para el rastreo de contactos (contact tracking apps) para COVID-19 (OMS, 2020); Resolución 01 de 2020 de la Comisión Interamericana de Derechos Humanos-CIDH (2020), la Declaración sobre epidemias y pandemias de la Asociación Médica Mundial (2017); la Declaración conjunta sobre el derecho a la protección de datos en el contexto de la pandemia de COVID-19 emitida por la Presidenta de la Comisión de la Convención 108 y el Comisionado de Protección de Datos del Consejo de Europa (2020); el informe con recomendaciones del Comité Internacional de Bioética de Unesco sobre Big Data y Salud (2017), el Convenio de Biomedicina y Derechos Humanos del Consejo de Europa (1997).3
Las pautas 10, 11 y 12 del documento Pautas de la OMS sobre la ética en la vigilancia de la salud pública4, en consonancia con los otros instrumentos referidos, reconocen la injerencia al derecho a la privacidad cuando se está frente a la necesidad de proteger un interés público señalando que "si bien el consentimiento informado no es obligatorio en el contexto de vigilancia en salud pública, el tratamiento de los datos personales debe realizarse teniendo en cuenta las excepciones y condiciones que por ley le aplique" (OMS, 2017). Sin embargo, hacen un llamado especial al reconocimiento de los daños que se puedan generar con ocasión de la vigilancia en salud pública a partir del tratamiento de datos personales, y enfatizan no sólo en los deberes de privacidad y confidencialidad, sino en especial en la seguridad entendida como las diferentes "medidas operativas y tecnológicas para proteger los datos personales" (OMS, 2017).
El documento Orientación ética sobre cuestiones planteadas por la pandemia del nuevo coronavirus (COVID-19) se refiere a la rigurosidad del manejo de la información, la confidencialidad en la medida de lo posible y la transparencia de esta (OMS, 2020).
Por su parte, el documento sobre Consideraciones éticas para la orientación del uso de tecnologías digitales para el rastreo de contactos (contact tracking apps) para COVID-19 sugiere un catálogo de 17 principios dirigido a gobiernos, instituciones de salud pública, actores no estatales (organizaciones no gubernamentales, organizaciones benéficas, fundaciones) y compañías con el fin de orientar sobre el uso ético y apropiado de estas tecnologías (OMS, 2020).5
En consonancia con estas orientaciones, la Resolución 01 de 2020 de la CIDH reitera que el manejo de los datos personales debe hacerse bajo unos principios, con el fin de evitar vulnerar los derechos de los ciudadanos. Concluye la CIDH diciendo que, por ello, estas medidas adoptadas en el marco de la pandemia deben estar limitadas en el tiempo, y que las leyes de protección de datos implementadas por cada país deben encontrarse apegadas a estándares y normas internacionales en materia de derechos humanos (CIDH, 2020).
Ante la necesidad de contar con información para el manejo adecuado de la pandemia, es admisible el tratamiento de datos personales sin el consentimiento de los titulares. Sin embargo, este tratamiento debe ser justificado, necesario, proporcional, razonable y eficaz como medida para contener la propagación, y se debe garantizar la seguridad en el tratamiento de los datos. El poder excepcional del Estado debe estar limitado por el respeto al núcleo esencial de los derechos fundamentales y la aplicación de los principios generales para el manejo de emergencias sanitarias, como son los de: confianza, transparencia, participación y planificación.
En este sentido, en los diferentes instrumentos se insta a los Estados a establecer medidas adecuadas y específicas con el fin de proteger los derechos y libertades de las personas (IBC, 2017), con un especial llamado a garantizar la temporalidad de los datos, la no identificación directa o la re-identificación (Pierucci & Walter, 2020) y el deber de brindar la información sobre la recolección de los datos de manera transparente (OMS, 2017; OMS, 2020).
4. ¿Qué contempla el régimen jurídico colombiano en materia de protección de datos personales aplicable al contexto de COVID-19?
El marco jurídico colombiano en el cual se sustenta el derecho a la protección de datos personales, conocido también como derecho al habeas data, está conformado por la Constitución Política de Colombia de 1991, un amplio desarrollo jurisprudencial de las altas Cortes, la Ley Estatutaria 1581 de 2012 (LEPDP) "por la cual se dictan disposiciones generales para la protección de datos personales", y en el Decreto 1377 de 2013, que reglamenta parcialmente esta Ley.
Este régimen es de tipo híbrido, que cuenta, por una parte, con una Ley Estatutaria en la que se enuncian una serie de principios generales que determinan el tratamiento de los datos personales, los derechos de los titulares y las obligaciones de los responsables y encargados del tratamiento, así como los actores e instituciones responsables del control; y, por otra, con el desarrollo posterior de reglamentación sectorial. Lamentablemente, en el ámbito de la salud, la reglamentación complementaria es incompleta y en su mayoría precede a la Ley estatutaria.
Conforme a esta normativa, se entiende por dato personal, "cualquier información vinculada o que pueda asociarse a una o varias personas naturales determinadas o determinables" (Ley 1581, 2012, art. 3., lit. c). Los principios enunciados en la LEPDP son los de: legalidad, finalidad, libertad, veracidad o calidad, transparencia, acceso y circulación restringida, seguridad y confidencialidad (Ley 1581, 2012, art. 4). A estos principios se adicionan los principios rectores derivados directamente de la Constitución. Son derechos de los titulares en relación con sus datos personales: decidir si desea o no ser informado, oposición, acceso, rectificación, y cancelación (Ley 1581, 2012).
En Colombia, al igual que en otros países, está prohibido el tratamiento de los datos personales sensibles -dentro de estos, los de salud -, excepto en determinadas circunstancias, como son: cuando se cuenta con la autorización explícita del titular, cuando el tratamiento tiene como objeto la guarda del interés vital del titular y este se encuentra incapacitado para dar su consentimiento (aunque deberá solicitarse a su representante legal) y cuando hay fines históricos, científicos, o epidemiológicos (Ley 1581, 2012). Estas excepciones se enuncian también en el art. 6 del Decreto reglamentario, que señala que se permite el tratamiento de los datos sin la autorización del titular o quien lo represente en determinadas circunstancias:
"a) Información requerida por una entidad pública o administrativa en ejercicio de sus funciones legales o por orden judicial; b) Datos de naturaleza pública; c) Casos de urgencia médica o sanitaria; d) Tratamiento de información autorizado por la ley para fines históricos, estadísticos o científicos; e) Datos relacionados con el Registro Civil de las Personas." (Ley 1581, 2012, art.10)
Se contempla una figura de control de la autoridad de protección de datos, la cual es ejercida por la Superintendencia de Industria y Comercio por medio de la Delegatura para la Protección de Datos Personales. Esta tiene como objetivo "garantizar que en el Tratamiento de los datos personales se respeten los principios, derechos, garantías y procedimientos previstos" (Ley 1581, 2012.art. 19).
En referencia a la autorización para el tratamiento de datos personales sensibles señala que se deben cumplir las siguientes obligaciones:
"1. Informar al titular que por tratarse de datos sensibles no está obligado a autorizar su Tratamiento. 2. Informar al titular de forma explícita y previa, además de los requisitos generales de la autorización para la recolección de cualquier tipo de dato personal, cuáles de los datos que serán objeto de Tratamiento son sensibles y la finalidad del Tratamiento, así como obtener su consentimiento expreso. Ninguna actividad podrá condicionarse a que el Titular suministre datos personales sensibles." (Decreto 1377, 2013, art. 6)
En relación con estas excepciones la Corte Constitucional se ha pronunciado señalando en la Sentencia C-748 de 2011 que esta excepción es aplicable:
"sólo en los casos en que dada la situación concreta de urgencia, no sea posible obtener la autorización del titular o resulte particularmente problemático gestionarla, dadas las circunstancias de apremio, riesgo o peligro para otros derechos fundamentales, ya sea del titular o de terceras personas." (Corte Constitucional, 2012)
Y adiciona que "el uso del dato también debe sujetarse a todos los principios y limitaciones consagrados en la Ley. Por el contrario, jamás podría interpretarse como una autorización abierta para que se acceda a datos personales sin consentimiento de su titular" (Corte Constitucional, 2012).
Sumarizando, Colombia cuenta con un régimen jurídico cuyos principios permiten la protección efectiva de los datos personales y que puede ser extrapolable y adaptado a las circunstancias de la pandemia. También que la excepción por urgencia médica o sanitaria6 no puede ser aplicada de forma indiscriminada para eludir la necesidad de consentimiento del titular de los datos, y que resulta especialmente problemático para la instauración de medidas de control en el contexto de la pandemia que no pueda condicionarse ninguna actividad a la entrega de datos personales sensibles, como son los de salud.
Colombia declaró el estado de emergencia sanitaria en el territorio nacional mediante la Resolución 385 del 12 de marzo, expedida por el Ministerio de Salud y Protección Social (MinSalud) (2020), y declaró el Estado de Emergencia Económica, Social y Ecológica en todo el territorio Nacional mediante el Decreto Presidencial 417 de 2020, a partir de la cual se han adoptado distintas medidas que se clasifican en tres fuentes "medidas sanitarias y de emergencia sanitaria, medidas de emergencia social, económica y ecológica y medidas de orden público y otras de carácter ordinario" (Ministerio de Salud y Protección, 2020).
Cuando se analizan las medidas sanitarias implementadas en Colombia y se compara con el marco jurídico vigente, existen dudas razonables sobre la garantía al derecho a la protección de datos personales, como se expondrá a continuación.
La Superintendencia de Industria y Comercio (SIC), mediante circular externa 001 dirigida a los operadores de telefonía móvil y a la Asociación de la Industria móvil, los autoriza para suministrar información al Departamento Nacional de Planeación (DNP) y demás entidades estatales que la requieran para "atender, prevenir, tratar o controlar la propagación del COVID-19 Coronavirus y mitigar sus efectos", sustentados en el artículo 10 de la Ley 1581 de 2012, que señala que no es necesaria la autorización para el tratamiento de datos personales en situaciones de urgencia médica o sanitaria, y en el literal b del artículo 13 que señala que los datos personales pueden ser entregados a las entidades públicas administrativas en ejercicio de sus funciones legales (Circular 001, 2020).
Consideramos, al igual que otros actores sociales en el país, que esta circular es muy amplia, no define las finalidades de uso, la información que será recolectada, el límite de tiempo de almacenamiento no limita el acceso a datos registrados durante la pandemia, no adapta los principios del régimen de protección de datos nacional a la situación específica, ni tiene en cuenta los lineamientos que ya habían sido emitidos por instancias internacionales como la OMS. Adicionalmente, la carencia de un sistema autónomo, independiente y robusto de protección de datos personales en salud remarca estas problemáticas.
Mediante Circular Externa 002 del 24 de marzo de 2020 la SIC ordenó a los responsables o encargados abstenerse de recolectar o tratar datos mediante huelleros físicos o electrónicos, por el riesgo de contagio asociado. Posteriormente, de forma reactiva y posiblemente frente a la presión de distintos actores sociales, detalla en su página electrónica las medidas para el uso y recolección de los datos personales en caso de urgencia médica o sanitaria frente a la pandemia por COVID-19 y señala que se deben tomar medidas para garantizar los principios de finalidad, veracidad o calidad, acceso y circulación restringida, y seguridad7, sin incluir el principio de transparencia. Sin embargo, consideramos se quedan cortos frente a los riesgos existentes frente a las nuevas tecnologías, a la posibilidad de cruce de datos, y a su análisis algorítmico o por inteligencia artificial.
La SIC mediante Resolución No. 12169 de 2020, suspendió desde el 1 de abril de 2020 y hasta la vigencia del Estado de Emergencia Económica, Social y Ecológica declarado por el Presidente de la República, los términos de sus actuaciones administrativas sancionatorias y disciplinarias en curso con algunas excepciones, entre ellas la garantía constitucional del habeas data, derechos del consumidor y las actuaciones requeridas para conjurar la crisis por COVID-19 (Resolución 12169, 2020).
MinSalud, señala que es necesario durante el tiempo de la emergencia sanitaria flexibilizar el literal g del artículo 4 de la Ley 1581 de 2012 y el literal b del artículo 32 de la Ley 527 de 1999:
"en el sentido de implementar plataformas digitales accesibles con estándares básicos de audio y video que permitan el diagnóstico y seguimiento del paciente, sin que sea necesario cumplir los estándares técnicos señalados en los precitados artículos. Si bien esta medida incide en la seguridad de los datos de los pacientes, se garantizan los principios y derechos de mayor valor constitucional, como lo son la vida y la salud de las personas que acuden a estas plataformas". (Decreto 538, 2020)
También señala en el parágrafo segundo del artículo 8 que los pacientes:
"podrán enviar la imagen del documento firmado en el que manifieste el consentimiento informado. Cuando esto no sea posible, el profesional tratante dejará constancia en la historia clínica de la situación, de la información brindada sobre el alcance de la atención y de la aceptación del acto asistencial por parte del paciente, de forma libre, voluntaria y consciente." (Decreto Legislativo 538, 2020, art. 8)
En nuestro concepto, a pesar de que se pretende garantizar el derecho a la salud mejorando el acceso, se expone a los pacientes a vulneraciones al derecho a la protección de datos, no se garantiza el principio básico de seguridad, no se exige que se informe los riesgos en el tratamiento de los datos bajo esta nueva modalidad, ni se garantiza la calidad misma del acto médico.
MinSalud emitió un protocolo general de bioseguridad con el fin de mitigar, controlar y realizar el adecuado manejo de la pandemia de COVID-19, para ser implementado por los empleadores, trabajadores y aseguradoras del régimen laboral (ARL), tanto públicos como privados, que requieran desarrollar sus actividades durante el periodo de la emergencia sanitaria. Se señala como deberes de los empleadores reportar los casos sospechosos y confirmados a las empresas promotoras de salud (EPS) y promover el uso por los empleados del aplicativo Coronapp. Como deberes de los empleados se enuncian reportar al empleador, jefe inmediato, cualquier caso de contagio en la empresa o en el núcleo familiar, así como cualquier síntoma de enfermedad respiratoria y registrar la información en el aplicativo ya mencionado (Resolución 666, 2020).
En consecuencia, el Ministerio del Trabajo (MinTrabajo) presenta unos lineamientos mínimos de carácter temporal y señala que los empleadores deben establecer canales de comunicación oportunos frente a la notificación de casos de COVID-19 ante las autoridades de salud competentes (secretarías de salud). El suministro de información debe ser oportuno y veraz y deberá implementar la ruta de notificación e incluir los datos de contacto. Las ARL deben garantizar el registro de los trabajadores con riesgo de exposición directa al COVID-19 y de aquellos con diagnóstico confirmado, según información suministrada por los empleadores y esta información debe ser disponible para las autoridades de trabajo y salud. Los trabajadores deben suministrar información clara, veraz y completa de su estado de salud (Circular 0017, 2020).
En contraste, la normatividad colombiana referente a salud y medicina del trabajo (Resolución 2346, 2007) que regula la práctica de evaluaciones médicas ocupacionales y el manejo y contenido de las historias clínicas ocupacionales, es clara en especificar que los empleadores sólo pueden conocer la existencia de una incapacidad y las medidas de acompañamiento e incorporación al trabajo, por tanto no pueden ser las áreas de recursos humanos o los jefes inmediatos quienes recaben información referente a síntomas o diagnósticos. Esta información debe estar bajo la responsabilidad de áreas de medicina del trabajo, por profesionales de la salud ocupacional y con las medidas requeridas para garantizar la privacidad y confidencialidad en el tratamiento de estos datos, a no ser que se cuente con el consentimiento del trabajador, dado el riesgo de discriminación y estigmatización asociado. Las empresas están solicitando información de carácter sensible para determinar el riesgo de regreso al trabajo en fase de desescalada, como son los antecedentes patológicos o medicamentosos. El consentimiento en general no está precedido de información sobre los riesgos, los derechos del titular o los deberes del responsable o el encargado de la base de datos. No es un consentimiento libre, dado que hay subordinación del empleado al empleador, más aún cuando existe el temor de perder el empleo en este momento.
A nuestro juicio, todo esto es contradictorio con las indicaciones de ruta de notificación señalados en la Resolución 666 de 2020 y en la circular 0017 de 2020. Nos preguntamos ¿qué pasará cuando un empleado no desee dar su consentimiento para el tratamiento de esta información, debido a que padece un patología que puede estar asociada a estigma o discriminación posterior?, ¿se afectara su derecho al trabajo?, ¿cómo se garantiza la privacidad y confidencialidad si los responsables del tratamiento no están sujetos a secreto profesional, como sí lo están los médicos o demás profesionales en medicina del trabajo?, más aún cuando la regulación prevé que no se puede supeditar ninguna actividad al consentimiento para el tratamiento de datos personales de tipo sensible.
En Colombia no solo se ha implementado Coronapp. Las alcaldías de Bogotá, Cali y Medellín cuentan con plataformas y apps como "Bogotá Cuidadora", "Gabo" (Gobierno abierto de Bogotá), "CaliValleCorona" y "Medellín me Cuida". En el caso de la app "Bogotá cuidadora", incluye apartados de registros de movilidad segura, necesito apoyo, reportar estado de salud y COVID a mi alrededor. Esta app inicialmente tenía un carácter obligatorio, pero debido a la presión ciudadana por dudas razonables en su seguridad y eficacia, se hizo voluntaria. Posterior a la implementación de las apps, la SIC pidió a las alcaldías respuesta a las solicitudes planteadas en relación a si cumplían "la regulación colombiana sobre la recolección y tratamiento de datos personales y si han implementado el principio de responsabilidad demostrada (Accountability)." (Portafolio, 2020).
Con la apertura de distintas actividades en la fase de desescalada se enfrentan nuevos retos. En el comercio, cada empresa está decidiendo tomar distintos tipos de datos ante la ausencia de lineamientos por parte de las autoridades competentes, en aras de garantizar la salud pública en sus instalaciones y la salud de sus trabajadores: se toma y registra la temperatura corporal, se pregunta el nombre, ocupación, número de identificación personal, asegurador, dirección, número de móvil, el sitio donde ha estado anteriormente e incluso se realiza el escaneo del documento de identificación, mediando únicamente el consentimiento tácito de las personas, sin una adecuada información, o sin que el responsable del tratamiento de los datos sea idóneo para garantizar los principios del derecho a la protección de datos personales, e incluso se condicionan otros derechos a la entrega de esta información.
5. ¿Qué prácticas generan un riesgo para los derechos humanos cuando se emplean herramientas digitales para la captura de datos personales en el contexto de la pandemia por COVID-19?
Los riesgos asociados con el uso de nuevas tecnologías para el control de la extensión de la pandemia y la afectación de derechos humanos nominados e innominados son el uso obligatorio de las aplicaciones de vigilancia epidemiológica8, la georreferenciación9, el escaneo de temperatura10, el uso de los datos con finalidades distintas a las justificadas para el control de la pandemia o las consentidas por el titular, y el acceso de terceros no autorizados11, tiempo de conservación indefinido12, recolección de un número mayor de datos que los necesarios13, información parcial, incompleta, sesgada, estandarizada para el uso de las plataformas y aplicaciones14, Implementación de aplicativos o plataformas15, falta de garantías técnicas y procedimentales16 y desarrollo de apps falsas17.
5.1 ¿Cómo deben ser reinterpretados los principios que sustentan el tratamiento de datos personales en Colombia ante los nuevos desafíos en tiempo de pandemia?
Si bien la legislación colombiana incluye una serie de principios en materia de tratamiento de datos personales, se hace necesario ampliarlos y re-interpretarlos a las luz de pautas y orientaciones éticas internacionales afines al derecho a la protección de datos personales, que estén contextualizados en los riesgos que ya han sido evidentes y los que pueden materializarse en el futuro, de tal forma, que se intervengan o eviten, con el fin de contar con un marco regulatorio que ofrezca seguridad jurídica, proteja los derechos de las personas y genere confianza en la sociedad. A continuación, se enuncian los principios que hacen parte de la Ley de protección de datos colombiana, y los derechos de los titulares de los datos personales, y cómo estos se relacionan con las recomendaciones éticas OMS en la pandemia de COVID-19:
De los principios enunciados la evaluación de la seguridad de los aplicativos por organismos independientes no se encuentra de manera explícita en la reglamentación colombiana y los demás se pueden relacionar con el marco jurídico vigente para fortalecer su interpretación.
Consideramos que dada la posibilidad de falsos positivos o de sospechas diagnósticas que finalmente no sean confirmadas, es necesario que los titulares de los datos puedan exigir el derecho a la rectificación. Resulta llamativo que los documentos de la OMS no incluyen este aspecto, pero si lo hacen las directrices del comité europeo de protección de datos (Directrices 04, 2020).
6. ¿Qué consideraciones mínimas deben tenerse en el diseño de estos aplicativos?
La Open Web Application Security Project (OWASP) señala como riesgos de seguridad en las aplicaciones web que pueden exponer los datos sensibles, como los de salud, entre otros: inyección (envío de datos hostiles para ejecutar comandos no deseados); autenticación rota (compromiso de contraseñas); exposición de datos por ausencia de barreras adicionales como el cifrado en reposo o en tránsito; archivos XLM que permiten conocer los recursos internos del programa; vulnerabilidad de los controles de acceso y malas configuraciones de seguridad; redireccionamiento a sitios fraudulentos para robo de información (sitios maliciosos); uso de componentes con vulnerabilidades conocidas; insuficiente registro y monitoreo (OWASP, 2020).
En este orden de ideas se recomienda: que en el diseño exista un equipo responsable que garantice la protección de los datos; clasificar la información para identificar aquella que es sensible y protegerla selectivamente; definir controles de acceso (con usuario único y contraseñas robustas y dinámicas) para restringir acceso no autorizados; doble autenticación; protección frente a códigos maliciosos; copias de seguridad; cifrado de datos sensibles; monitorización y logs de auditoría; medidas de seguridad lógica (firewall, segmentación de red); contratos con terceros y proveedores fiables con certificaciones de alta calidad, sujetos a cláusulas de confidencialidad y desarrollo de código seguros y segregación de entornos. Muchas estas acciones son las que se emplean en el ámbito hospitalario para proteger los datos en las historias clínicas electrónicas.
7. Conclusiones y recomendaciones
La pandemia por COVID-19 debe ser entendida como una oportunidad histórica de aprendizaje para la protección de los derechos individuales y colectivos, que fortalezca la confianza de los ciudadanos en los gobiernos, a pesar de las declaraciones de estados de excepción.
No se debe fomentar en el imaginario colectivo la falsa dicotomía entre la vida y la salud pública y la protección de los derechos, en especial el de la protección de datos personales.
La restricción de derechos no puede afectar el núcleo fundamental de estos, debe ser temporal, conforme al principio de legalidad, responder a una necesidad perentoria, ser proporcional a esta, no generar discriminación, ni estigmatización (como es el caso de los pasaportes inmunológicos), no mantenerse de forma permanente, no ser arbitrarios, así como estar plenamente justificados.
La adaptación de los sistemas de protección de datos personales a los retos que imponen las medidas de salud pública en tiempos de pandemia deben salvaguardar los derechos humanos y responder a las particularidades jurídicas y culturales de cada país, de manera que nadie se vea obligado a elegir entre una respuesta eficaz para el control de la pandemia y la protección de sus derechos fundamentales. En el mundo digital algunos de ellos son de más difícil aplicación como es el caso de cancelación de los datos.
El sistema de protección de datos personales colombiano a pesar de tener un carácter general y no contar con una reglamentación sectorial para salud plenamente estructurada, permite la adaptación e interpretación de los principios y derechos a las actuales circunstancias acorde con los lineamientos éticos emanados de diferentes instrumentos de softlaw. Sin embargo, este ejercicio no fue hecho por las autoridades competentes, exponiendo a los ciudadanos a los riesgos enunciados en este artículo, bajo el pretexto de las excepciones por urgencia o emergencia sanitaria, incluso sin tomar en consideración los conceptos previos de la Corte Constitucional en esta materia. En adición es necesario robustecer el régimen de protección de datos y encaminarnos hacia una autoridad autónoma e independiente para la protección de datos personales. Así mismo se requiere regular esta materia de forma sectorial, especialmente en el ámbito de salud, que incluya el escenario digital.
Aun con riesgos graves para la salud pública, se debe procurar, en la medida de las posibilidades, usar datos anonimizados, encriptados, o recolectar información que al ser cruzada no permita la identificación de las personas.
La garantía del derecho a la protección de datos también depende del adecuado diseño de las herramientas tecnológicas y nuevos modelos de gobernanza de la información, lo que significa que en su desarrollo deben participar no solo expertos en sistemas de información, sino también científicos de datos, especialistas en inteligencia artificial, en bioética, bioderecho, y en derechos humanos.
Esta pandemia ha hecho evidente los riesgos asociados con el analfabetismo digital, pero también el desconocer los riesgos asociados con estas nuevas tecnologías y el haz de facultades con las que contamos los ciudadanos para garantizar el derecho a la protección de nuestros datos personales.