Resolución N° 35/020 .
CONSEJO EJECUTIVO DE LA UNIDAD REGULADORA Y DE CONTROL DE DATOS PERSONALES
Montevideo, 9 de junio de 2020
VISTO: La pertinencia de brindar lineamientos para la utilización de sistemas de rastreo de contacto (“contact tracing”) mediante aplicaciones móviles con respeto de los principios de la protección de datos personales.
CONSIDERANDO:
I) Que se tienen en cuenta las siguientes circunstancias:
a) Distintas autoridades sanitarias a nivel mundial han planteado la conveniencia de desarrollar aplicaciones que incluyan sistemas para monitorear los movimientos de las personas según áreas geográficas y determinar vínculos de proximidad entre personas infectadas y personas sanas. En el primer caso, el monitoreo permitiría realizar predicciones y controlar la expansión; en el segundo, informar a potenciales infectados para que adopten las medidas necesarias para asegurar su salud.
b) En relación a las especificaciones técnicas vinculadas al almacenamiento de la información de contacto, se distinguen actualmente sistemas con almacenamiento centralizado y los que descentralizan su operación, almacenando la información de contacto en los propios dispositivos de los usuarios.
c) El informe del Comité Europeo de Protección de Datos N° 4/2020 señala que los datos de ubicación necesarios para el funcionamiento de los sistemas de rastreo de contactos pueden provenir de proveedores de servicios de comunicaciones electrónicas o de aplicaciones que requieren el uso de dichos datos, recolectados por proveedores de servicios de la sociedad de la información.
d) Las aplicaciones móviles ya desarrolladas cuentan con otras funcionalidades vinculadas a la provisión de información general sobre la pandemia, el auto-monitoreo del estado de salud, y mecanismos de telemedicina, entre otras.
e) Adicionalmente, dichas aplicaciones solicitan información personal de naturaleza sensible, por lo que se impone su uso responsable, adecuado y ponderado, atento a los riesgos que importan para la privacidad de las personas.
f) Distintas entidades a nivel global (entre ellas la Red Iberoamericana de Protección de Datos, la “Global Privacy Assembly” y el Consejo de Europa) han elaborado documentos de buenas prácticas sobre la protección de la privacidad durante el transcurso de la pandemia y la Organización Mundial de la Salud emitió recientemente una Guía con consideraciones éticas para el uso de la tecnología de rastreo de contacto en el marco de la pandemia por COVID-19.
g) Esta Unidad se ha pronunciado con respecto al tratamiento de datos en la situación de la emergencia nacional sanitaria a través del Dictamen N° 2/020, de 20 de marzo de 2020, brindando directivas específicas en la materia.
II) Que la aplicación de sistemas de rastreo de contacto y su inclusión en otras aplicaciones en desarrollo requiere un análisis de ponderación entre el derecho y el deber a la salud y el derecho a la protección de datos personales –incluido en el artículo 72 de la Constitución Nacional como se explicita en el artículo 1° de la Ley N° 18.331, de 11 de agosto de 2008-.
III) Que, la comunicación de datos personales por razones sanitarias o de emergencia corresponde se efectúe, de principio en forma disociada, habilitando la identificación del titular del dato en circunstancias particulares (artículo 17 literal C); fuera de ese caso, se requerirá el consentimiento del titular del dato (artículo 9° de la Ley citada). Adicionalmente y en lo que respecta al empleo de datos de contacto, si estos son obtenidos de operadores de telecomunicaciones es aplicable el artículo 20 de esa Ley, y 6° del Decreto N° 64/020, de 17 de febrero de 2020, por tratarse de datos especialmente protegidos.
IV) Que el monitoreo a gran escala de los contactos de las personas no posee una base legal que lo habilite sino que esta radica en el previo consentimiento informado, el que podrá recabarse por medios electrónicos. El tratamiento de estos datos podrá realizarse exclusivamente por el período de duración de la emergencia sanitaria, en el marco de una política de mitigación de la pandemia, y bajo el estricto control y responsabilidad de la autoridad sanitaria, en cumplimiento de un mandato legal de conformidad con la ley Nº 18.331, art. 18° de la Ley N° 18.331 y Ley N° 9.202, de 12 de enero de 1934.
V) Que en todo caso deben tenerse presentes los principios de protección de datos personales que explicita la ley Nº 18.331, en especial los principios de veracidad (artículo 7°), finalidad (artículo 8°), consentimiento informado (artículo 9°) seguridad de los datos (artículo 10), y responsabilidad proactiva (artículo 12). También garantizarse el ejercicio de los derechos de los titulares de los datos (artículos 13 a 17, y cumplir las medidas previstas en el Decreto N° 64/020.
ATENTO: a lo expuesto y a normativa concordante,
El Consejo Ejecutivo de la Unidad de la Unidad Reguladora y de Control de Datos Personales
RESUELVE:
1) Efectuar las siguientes consideraciones respecto al uso de sistemas de rastreo de contacto en el ámbito de la emergencia nacional sanitaria, a efectos de la adecuada protección de los datos personales:
I. En cuanto a los sistemas de rastreo de contactos, aconsejar los que implican un almacenamiento descentralizado de los datos por resultar menos invasivos para la privacidad de las personas.
II. Señalar la pertinencia de realizar en forma previa una evaluación de impacto en la protección de datos; la inscripción de la base generada en caso de contener datos personales, o en su caso, actualizar la preexistente; y la suscripción de acuerdos que garanticen el cumplimiento de la normativa en caso en que se aplique sistemas provistos por terceros así como analizar y evaluar especialmente los aspectos técnicos vinculados con seguridad, considerando especialmente los lineamientos del Centro Nacional de Respuesta a Incidentes de Seguridad Informática (CertUy) de la Agencia para el Desarrollo del Gobierno de Gestión Electrónica y la Sociedad de la Información y del Conocimiento.
III. En caso que el rastreo de contactos se adicione como funcionalidad a aplicaciones preexistentes que recolecten otro tipo de información, deberán extremarse las medidas de seguridad, atendiéndose otras alternativas en el marco de la necesaria evaluación de impacto a la protección de datos.
IV. Corresponde asegurarse la obtención del consentimiento previo y expreso de los usuarios mediante la descarga y aceptación de términos de la aplicación, o en caso de que se agregue como funcionalidad a aplicaciones pre-existentes, de las nuevas funcionalidades y actualizaciones que se propongan incluir en el sistema.
V. Deberá establecerse una adecuada granularidad del consentimiento ante distintas acciones propuestas a los titulares de los datos, y prever la posibilidad que éstos puedan revocar su consentimiento para el uso del rastreo de contacto, aún sin tener que eliminar la aplicación.
VI. Procede asegurarse que el sistema sólo pueda ser aplicado por el Ministerio de Salud Pública en el marco de la emergencia sanitaria en su calidad de responsable de tratamiento de datos, y con fines de alertar a potenciales contagiados, del contacto con una persona positiva por COVID-19. Adicionalmente, no debe emplearse para realizar un monitoreo individual de los usuarios.
VII. La información debe almacenarse en centros seguros y en territorio nacional. En casos debidamente justificados de transferencia internacional, deberá solicitarse la autorización a esta Unidad, salvo que se transfiera a territorios adecuados. Los respaldos deberán cumplir con las recomendaciones indicadas en el presente y deberán ser eliminados en las mismas condiciones que las bases originales.
VIII. En caso de conservarse información en forma centralizada –fuera de los dispositivos de los usuarios- se debe contar con los mecanismos de seguridad pertinentes para evitar incidentes y ser eliminada una vez cumplida la función para la cual fue recolectada.
IX. Como corolario de lo anterior, y en caso de que se agregue el rastreo de contacto a una aplicación preexistente, mantenerse independiente la información vinculada a éste de la que resulte de otras funcionalidades de la aplicación.
X. No deberá proporcionarse información personal de casos positivos a potenciales contagiados por la enfermedad; tal información sólo puede remitirse al Ministerio de Salud Pública con el consentimiento expreso del titular del dato y a efectos del seguimiento de su situación de salud. Cuando el rastreo de contactos se adicione a una aplicación preexistente, la comunicación de confirmación de un caso positivo debe efectuarse con el consentimiento expreso del titular del dato.
XI. Deberá ponerse a disposición de los interesados las especificaciones de la aplicación a efectos de garantizar un tratamiento transparente de los datos y un eventual consentimiento informado. En particular, especificarse la forma de habilitar o deshabilitar el rastreo de contactos y la información sobre el uso de bluetooth; si ésta se adiciona a una aplicación preexistente, deberá aclararse expresamente y en forma separada las condiciones de tratamiento de otras funcionalidades de la aplicación.
XII. Procede informarse expresamente a los titulares de los datos sobre situaciones de potencial contagio y los parámetros de tiempo y distancia, así como eventuales modificaciones, en el marco de la necesaria y permanente transparencia.
XIII. Deberá minimizarse la recolección de información, en especial cuando refiere a informaciones de terceros; en su caso, estas sólo podrán remitirse al Ministerio de Salud Pública para su gestión conforme los protocolos que se elaboren al respecto, manteniéndose separadas de la información derivada del rastreo de contactos. También eliminarse toda la información finalizada la emergencia sanitaria, salvo que sea debidamente anonimizada y su conservación autorizada por la Unidad. La información recolectada debe ser periódicamente revisada en función de los objetivos específicos considerando un criterio de minimización de los datos.
2) PUBLÍQUESE.
FDO. MAG. FEDERICO MONTEVERDE
URCDP