Recomendaciones para el tratamiento de datos personales ante la situación de emergencia sanitaria nacional
Recomendaciones
1) Los datos de salud son datos sensibles y su tratamiento requiere como principio el cumplimiento de requisitos especiales, en particular, contar con el consentimiento previo, expreso, informado, específico, inequívoco y escrito de los titulares de los datos. Adicionalmente, corresponde tomar medidas de responsabilidad proactiva, como las evaluaciones de impacto previas.
2) Se debe tener en cuenta que los sujetos legitimados para el tratamiento de datos de salud son los establecimientos sanitarios públicos o privados, los profesionales vinculados a las ciencias de la salud y el Ministerio de Salud Pública en cumplimiento de los cometidos que le asigna la Ley.
3) Se debe considerar que fuera de los casos previstos en el numeral anterior, el tratamiento y la comunicación de datos de salud deben hacerse con el consentimiento del titular en las condiciones antes mencionadas o en el marco de alguna de las excepciones taxativamente establecidas en la ley a saber, razones de interés general autorizadas por ley, cuando el organismo solicitante tenga mandato legal para hacerlo, o para finalidades estadísticas o científicas, en este último caso disociado de sus titulares.
“Disociar” implica un procedimiento por el cual la información no puede vincularse a persona determinada o determinable, por lo que debe descartarse cualquier tratamiento con información que pueda volver a vincularse con una persona, salvo cuando la ley expresamente lo permita.
4) El consentimiento escrito no requiere que la persona se encuentre presente, pero se deben adoptar medidas que garanticen su debida autenticación y la conformidad con toda la información necesaria para entender los fines y consecuencias de dicha conformidad, lo que debe ser debidamente documentado.
5) En ningún caso los responsables del tratamiento de datos quedan eximidos del cumplimiento de los demás principios generales de la Protección de Datos Personales. Así, los datos recolectados deben ser los mínimos necesarios para el cumplimiento de la finalidad informada y no emplearse para fines distintos o incompatibles con aquellos que motivaron su recolección. Deben adoptarse medidas para garantizar la seguridad y confidencialidad de los datos y otras medidas técnicas y organizativas comprobables para garantizar un tratamiento acorde a la legislación vigente. Se desaconseja el uso de formularios o sistemas en línea que no brinden las debidas garantías de seguridad o confidencialidad en el tratamiento de los datos personales.
6) Es fundamental informar al personal del responsable de los datos recabados sobre el cuidado de la información personal y las consecuencias penales asociadas a la revelación de dicha información. Resulta también conveniente estipular las condiciones para el tratamiento de la información en contratos que se suscriban con los encargados de tratamiento.
7) El tratamiento adecuado de los datos personales requiere asegurar el cumplimiento de los derechos de los titulares de los datos, en la forma y en los plazos que prevé la legislación vigente. Debe cumplirse con el derecho de información previamente a la recolección, con el derecho a la impugnación de valoraciones personales ante el requerimiento del titular afectado y con los derechos de acceso, rectificación, actualización, inclusión y supresión en el plazo de 5 días hábiles desde su ejercicio.
8) No pueden realizarse transferencias internacionales a países no adecuados sin la autorización previa de la URCDP. El uso de sistemas o servicios en la nube –incluso de almacenamiento- puede constituir una transferencia internacional si los servidores se encuentran en el exterior.
9) Son obligaciones legales formales la inscripción de todas las bases de datos de todo responsable y la designación del delegado de Protección de Datos en los casos en que la ley lo establece (entidades públicas y privadas que traten grandes volúmenes de datos y datos sensibles como negocio principal).
Enlaces de interés:
Ley N° 18.331, de 11 de agosto de 2008 (Ley de Protección de Datos Personales y Acción de Habeas Data).
Ley N° 19.670, de 15 de octubre de 2018, arts. 37 a 40 (Modificaciones al régimen de protección de datos personales).
Decreto N° 414/009, de 31 de agosto de 2009 (Reglamentario de la Ley N° 18.331).
Decreto N° 64/020, de 17 de febrero de 2020 (Reglamentario de los artículos 37 a 40 de la Ley N° 19.670).
Dictamen del Consejo Ejecutivo N° 8/014, de 23 de julio de 2014 (Tratamiento de datos en la nube y transferencias internacionales).
Resolución del Consejo Ejecutivo N° 68/017, de 26 de abril de 2017 (Aprobación de los Criterios de Disociación de Datos Personales).
Resolución del Consejo Ejecutivo N° 4/019, de 12 de marzo de 2019 (Países adecuados para transferencias internacionales).
Dictamen del Consejo Ejecutivo N° 2/020, de 20 de marzo de 2020 (Tratamiento de datos personales en el marco de la emergencia declarada por decreto N° 93/020, de 13 de marzo de 2020).
Documento de trabajo de la URCDP sobre Delegado de Protección de Datos. Guía conjunta URCDP-AAIP para la realización de Evaluaciones de Impacto en Protección de Datos Personales.