El Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI), informó a través de un comunicado que los responsables y encargados del sector público y privado que traten datos personales relacionados con casos de COVID-19, deben contar con estrictas medidas de seguridad administrativas, físicas y técnicas para evitar cualquier pérdida, destrucción, robo, extravío, uso o acceso, daño, modificación o alteración no autorizada.
El INAI recomienda a las instituciones y prestadores de servicios de salud públicos y privados, así como a la población en general, que los datos relacionados con el estado de salud presente o futuro de una persona identificada o identificable son considerados por las leyes en materia de protección de datos, como datos personales sensibles.
Por regla general, agrega, el tratamiento de estos datos requiere un consentimiento expreso y por escrito del titular, salvo casos de excepción, en donde sean indispensables para atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, mientras el titular no esté en condiciones de otorgar el consentimiento o cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona.
Ante los diferentes escenarios de tratamiento que pudieran registrarse, se presentan algunas recomendaciones para un adecuado tratamiento de datos personales:
Para responsables (Instituciones y prestadores de servicios de salud públicos y privados)
• Las medidas tomadas en respuesta al COVID-19 que implican el tratamiento de datos personales que incluyen datos de salud, deben ser necesarias y proporcionales, atendiendo la orientación y/o instrucciones de la Secretaría de Salud y autoridades competentes.
• Las instituciones y prestadores de servicios de salud públicos y privados, deben recabar solamente los datos personales mínimos necesarios, para lograr el propósito de implementar medidas para prevenir o contener la propagación de COVID-19 y, en su caso, brindar la atención, diagnóstico y tratamiento médico correspondiente.
• Los datos personales recopilados con el fin de prevenir o contener la propagación de COVID-19, no deben utilizarse para propósitos distintos.
Para responsables del sector privado:
• Las organizaciones deben proteger la confidencialidad sobre cualquier dato personal o personal sensible relacionado con cualquier caso de COVID-19, para evitar daño o discriminación de la persona afectada.
• Toda comunicación que se realice en la organización sobre la posible presencia de COVID-19 en el lugar de trabajo, no debe identificar a ningún colaborador de forma individual.
• El tratamiento de datos personales ante el COVID-19, debe ser informado y el titular debe conocer en todo momento las finalidades para las cuáles serán recabados y tratados sus datos personales. Previo al tratamiento, el responsable deberá poner a disposición del titular el aviso de privacidad correspondiente.
• La identidad de las personas afectadas de COVID-19 no debe divulgarse, en caso de requerirse una transferencia de datos personales a las autoridades de salud, ésta deberá ser documentada claramente, fundamentada y realizarse considerando medidas de seguridad que garanticen la protección de los datos personales.
• Los responsables deben definir los plazos de conservación de los datos personales relacionados con casos de COVID-19, así como los mecanismos que se emplearán para eliminarlos de forma segura, tomando en consideración la normatividad sectorial en la materia.
Para la población en general:
• Recordar que existe el derecho a la protección de sus datos personales, por lo que, en caso de un tratamiento inadecuado, podrán acudir al INAI a presentar una denuncia.