ZegarraLaw: Pandemia, Privacidad y Datos Personales a propósito del COVID-19

Por: Angela Valdivia Romero – Asociada Senior Jefe del Area Administrativa (avaldivia@zegarralaw.com)

La crisis sanitaria ha llamado a reflexionar a nuestros gobernantes sobre la contundencia de las medidas que deben adoptar para proteger la salud pública. La aparición de una amenaza social y sanitaria, de la magnitud que representa la propagación del virus COVID – 19, obligó al Poder Ejecutivo a la instauración del Estado de Emergencia Nacional a través del Decreto Supremo N° 004-2020-PCM[1]. Esta norma dispuso la suspensión temporal del ejercicio de distintos derechos constitucionales como la libertad, seguridad personal, inviolabilidad del domicilio, libertad de reunión y tránsito en el territorio.

La experiencia internacional expone la importancia que juega la información sobre la salud de los ciudadanos en la toma de decisiones para evitar el contagio de esta enfermedad. Esta información al alcance de nuestras autoridades y la ciudadanía, podría convertirse en una forma de prevención o alerta para reducir la exposición al contagio. Ha sido bien discutido el caso de Corea del Sur, dónde el Estado asumió medidas de identificación y publicación de información sobre la salud, movimiento y geolocalización de los contagiados por medio de métodos profiling. Para el caso peruano, ¿cuál es el límite de acceso a la información sobre la salud de cada ciudadano?

Es trascendental entender que la suspensión de derechos constitucionales planteada por el Decreto Supremo N° 044-2020-PCM no afecta el ejercicio del derecho fundamental a la autodeterminación informativa. La Ley N° 29733, Ley de Protección de Datos Personales, que desarrolla y viabiliza la aplicación en la práctica jurídica de este derecho fundamental, deja en claro que todo aquel que realice el tratamiento de datos personales de terceros cuenta con la obligación de guardar confidencialidad[2] respecto de los mismos y sus antecedentes. Por ello, toda organización privada u órgano estatal se encuentra ante la prohibición de publicar o transferir información sobre la salud de pacientes diagnosticados, potencialmente infectados o en riesgo de contagio de esta enfermedad.

Sucríbase a nuestro boletín diario, el mejor resumen de noticias sobre las regiones del Perú

Por otra parte, debemos atender a la especial naturaleza de los datos personales correspondientes a la salud. La Ley N° 26842, Ley General de Salud, establece que toda información relativa al acto médico tiene carácter reservado[3]. En caso de infracción, podrá atribuirse al profesional infractor la respectiva responsabilidad civil y penal; sin perjuicio de la responsabilidad administrativa que podría determinar el correspondiente Colegio Profesional.

No obstante, la información relevante para la emergencia sanitaria involucra datos que no necesariamente se encontrarán comprendidos en el concepto de acto médico. En ese sentido, la Ley de Protección de Datos Personales define como dato sensible a aquella información relacionada a la salud (física o mental) de las personas[4]. Este concepto cuenta con una amplitud suficiente que abarca información referida al contacto con personas diagnosticadas o la presentación de síntomas que no hayan sido identificados por medio de un acto médico. Los datos de carácter sensible gozan de protección reforzada por parte de la normativa vigente, que establece obligaciones como la aplicación de medidas de seguridad de mayor contundencia o la necesidad de obtención de consentimiento expreso y escrito para su tratamiento, a través de una firma.

Queda claro entonces que la regulación peruana en data privacy impide al proveedor de servicios de salud transferir o publicar información respectiva al diagnóstico o prueba de COVID-19 de sus pacientes, en tanto dicha información es de carácter reservado y sensible. A su vez, no podrá dar a conocer información sobre terceros expuestos al contagio, pues esta constituye también dato personal de carácter sensible, por su vinculación a la esfera de intimidad personal de su titular. Sólo resultará posible la puesta en conocimiento público de dicha información después de un adecuado proceso de disociación, que permita la elaboración de estadísticas para la satisfacción del interés público.

Síganos en Facebook

En este orden de ideas, el Decreto de Urgencia N° 031-2020 dispuso la creación del Sistema Integrado para la Gestión de la Emergencia Sanitaria COVID-19[5], con la finalidad de centralizar las bases de datos utilizadas para la implementación y seguimiento de las acciones vinculadas a la prevención, control, diagnóstico y tratamiento del COVID-19. La implementación de este sistema, así como los accesos y privilegios previstos para el mismo, deberán tener en consideración las limitaciones antes descritas.

En el ámbito laboral, el Decreto de Urgencia N° 026-2020 dispuso la suspensión imperfecta[6] del vínculo laboral en caso el colaborador se encuentre contagiado con COVID-19. En este supuesto el empleador se encuentra inhabilitado a solicitar del trabajador información sobre la naturaleza de la enfermedad que lo aqueja. Si bien el empleador requiere sustento para aplicar dicha suspensión, debe considerar que el principio de proporcionalidad contenido en la Ley de Protección de Datos Personales exige una correspondencia lógica entre la finalidad de tratamiento y la naturaleza del dato a ser tratado. Así, para el empleador basta con tener a su alcance la prescripción de descanso médico debidamente suscrita por un profesional de la salud.

Para esclarecer la relevancia de la tutela del derecho de autodeterminación informativa por parte del Estado, debemos atender a la facultad de fiscalización y sanción en materia de datos personales atribuida a la Dirección de Transparencia, Acceso a la Información Pública y Protección de Datos Personales, adscrita al Ministerio de Justicia. Este órgano cuenta con potestad para imponer sanciones ascendentes hasta de S/ 430,000.00. El incumplimiento de las medidas de seguridad establecidas para el tratamiento de datos personales de carácter sensible se sanciona como infracción grave, en cuyo supuesto, la autoridad impondrá una multa no menor a S/ 21,500.00[7].

De las consideraciones antes expuestas, es válido discutir la necesidad de establecer políticas de emergencia que limiten la protección de datos personales, siendo imperante que esto se realice en pro de la preservación de la salud pública. Sin embargo, en atención al contenido de orden constitucional de los bienes jurídicos protegidos por la regulación en data privacy, resulta de crítica importancia que el sector público y privado priorice el respeto y cumplimiento de estas normas.


[1] Artículo N° 3 del Decreto Supremo N° 044-2020-PCM

[2] Artículo N° 17: Confidencialidad de datos personales, de la Ley N° 29733, Ley del Protección de Datos Personales.

[3] Artículo N° 25 de la Ley N° 26842, Ley General de Salud.

[4] Artículo 2°, numeral 5° de la Ley N° 29733, Ley de Protección de Datos Personales y Artículo 2°, numeral 6° del Decreto Supremo N° 003-2013-JUS.

[5] Artículo 4° del Decreto de Urgencia N° 031-2020

[6] Artículo 17° del Decreto de Urgencia N° 026-2020

[7] Artículo 39° de la Ley N° 29733, Ley de Protección de Datos Personales y Artículo 132°, numeral 2° del Decreto Supremo N° 003-2013-JUS, Reglamento de la Ley de Protección de Datos Personales.

Sea el primero en comentar sobre "ZegarraLaw: Pandemia, Privacidad y Datos Personales a propósito del COVID-19"

Deje un comentario