Tratamiento de datos personales sobre la salud en contextos laborales frente al COVID-19

Tratamiento de datos personales sobre la salud en contextos laborales frente al COVID-19

Por Juan David Gutiérrez y Fery Cure

A raíz de la emergencia sanitaria ocasionada por el COVID-19, las empresas y entidades públicas deberán seguir estrictos protocolos de bioseguridad expedidos por el Ministerio de Salud y Protección Social. Dichos protocolos generan responsabilidades tanto para el empleador o contratante como para los empleados o contratistas, incluso si realizan trabajo en casa o remoto. El objetivo de los protocolos es mitigar, controlar, evitar la propagación y darle el adecuado manejo a la pandemia del COVID-19. 

En desarrollo de esta función, el Ministerio adoptó el “Protocolo general de bioseguridad durante la emergencia sanitaria” mediante Resolución 666 de 2020. Este protocolo aplica a todas las actividades económicas, sociales y sectores de la administración pública. Lo anterior, sin perjuicio de que el Ministerio expida protocolos especiales por sectores, como el “Protocolo Complementario para las actividades de mantenimiento y reparación de computadores y equipos de comunicaciones, reparación de muebles y accesorios para el hogar, lavado y limpieza”, que fue adoptado a través de la Resolución 737 de 2020.

El COVID-19 ha tenido implicaciones en relación con la necesidad y obligación de tratar datos sobre la salud de las personas. Puntualmente, el artículo 3 de la Resolución 666 de 2020 y las secciones 4, 5, 6 y 7 del Protocolo General contienen disposiciones relativas al manejo, monitoreo y reporte de datos personales sensibles asociadas a la salud de empleadores, contratistas y de terceros. Por ejemplo, las empresas y entidades públicas deberán asegurarse de contar con información sobre “el estado de salud” de los trabajadores, medir la temperatura de quienes quieran ingresar a sus instalaciones (pues no pueden permitir la entrada de quien presente fiebre igual o mayor a 38 grados centígrados), e incluso hacer reportes sobre con dichos datos a través de la aplicación CoronaAPP.

En suma, los protocolos de bioseguridad establecen nuevas obligaciones en cabeza de los empleadores y contratantes y dichos deberes implican tratar de datos personales asociados a la salud de empleados, contratistas y terceros. Con todo, los responsables del tratamiento deben tener la precaución de hacerlo dentro de los parámetros de la legislación de privacidad y protección de datos personales. A continuación explicamos por qué dicha normativa le permite a empresas y entidades públicas responsables tratar datos asociados a la salud, en el marco del cumplimiento de los protocolos de bioseguridad, sin necesidad de obtener el consentimiento previo por parte del titular de los datos.

¿Por qué no se requiere autorización del titular para tratar sus datos personales asociados a la salud en el marco de la emergencia de COVID-19

En Colombia, por regla general, el tratamiento de datos personales requiere una autorización previa, expresa, libre e informada (artículo 9 de la Ley 1581 de 2012). Además, cuando se trata de datos sensibles, es decir, datos que afectan la intimidad del titular, como los relacionados con el estado de salud (artículo 5 de la Ley 1581 de 2012), su tratamiento está prohibido salvo para los casos enlistados en el artículo 6 de la misma norma, cumpliendo con los requisitos adicionales del artículo 2.2.2.25.2.3 del Decreto 1074 de 2015. 

El artículo 6 la Ley 1581 de 2012 contempla que es posible tratar datos sensibles cuando la ley no requiera el otorgamiento de la autorización. El artículo 10 de la Ley 1581 de 2012 establece cinco situaciones en las cuales no es necesario contar con una autorización del titular de los datos personales. Para el asunto que nos ocupa, el literal (c) de dicho artículo es el pertinente: los casos de urgencia médica o sanitaria. Esta es la causal que exceptúa de cumplir con el deber legal de obtener autorización expresa y previa del titular para tratar sus datos personales relativos a la salud en el marco de la emergencia de COVID-19.

La Corte Constitucional aclaró que la causal de excepción contenida en el literal (c) comprende dos situaciones, la primera es que no sea posible obtener la autorización del titular. La segunda, que resulte particularmente problemático gestionarla, dadas las circunstancias de apremio, riesgo o peligro para otros derechos fundamentales, ya sea del titular o de terceras personas. Por lo tanto, puede entenderse que estamos ante un caso de urgencia sanitaria y en consecuencia no se requiere de la autorización previa, expresa, libre e informada para el tratamiento de los datos personales antes señalados, pero únicamente en el marco de la emergencia sanitaria. 

La anterior posición coincide con la manifestada por la propia autoridad de protección de datos personales colombiana, la Superintendencia de Industria y Comercio, tanto en su página web como en su Circular 01 de 2020. A través de esta circular, la Superintendencia autorizó a los operadores de telefonía y entidades privadas a suministrar datos personales a entidades públicas con la finalidad de atender, prevenir, tratar o controlar la propagación del COVID-19 y mitigar sus efectos. Es decir, los mismos objetivos que persiguen los protocolos de bioseguridad. 

Por lo tanto, es plausible concluir que es legítimo para empresas y entidades públicas realizar el tratamiento de datos personales asociados a la salud en los contextos laborales sin necesidad de obtener autorización del respectivo titular, siempre que la finalidad del tratamiento sea cumplir con los protocolos de bioseguridad y, en general, prevenir la propagación del COVID-19. 

En todo caso el tratamiento de datos personales sensibles debe ajustarse a la ley

Sin perjuicio de que el tratamiento esté permitido sin requerir la autorización del titular, el mismo artículo 10 de la Ley 1581 de 2012 señala que quienes accedan a los datos personales de titulares respecto de los que la autorización no sea necesaria, deben cumplir con las demás disposiciones de la ley. La Corte Constitucional declaró exequible este artículo bajo el entendido de que, incluso en los casos en que no se requiere autorización, el uso del dato debe sujetarse a todos los principios y limitaciones consagrados en la ley, y no puede interpretarse como una autorización abierta para que se accedan a datos personales sin consentimiento de su titular. En el caso de los datos personales asociados a la salud, es especialmente relevante cumplir con los principios de finalidad, veracidad, acceso y circulación restringida, seguridad y confidencialidad, del artículo 3 de la Ley 1581 de 2012.

La Superintendencia de Industria y Comercio señaló que los datos deben ser protegidos conforme con estos principios y, para el caso de las entidades públicas, dejó claro que a pesar de estar autorizadas para tratar los datos, debían adoptar medidas de seguridad, circulación restringida y confidencialidad de la información. También la sub-sección 4.1. del Protocolo General, estableció que el informe de sospecha o contacto con personas contagiadas debe ser manejado de manera confidencial.

Para finalizar, a continuación ofrecemos diez recomendaciones puntuales para cumplir con los principios para el tratamiento de datos personales:  

  1. Que los funcionarios autorizados para tratar los datos personales estén capacitados e informados sobre los deberes y limitaciones que impone la legislación de protección de datos.
  2. Tratar los datos únicamente de la forma y para las finalidades descritas en los protocolos. 
  3. Proteger los datos bajo medidas de seguridad técnicas, administrativas y humanas adecuadas para evitar la pérdida de la información o su acceso no autorizado. 
  4. Adoptar mecanismos para que los canales de comunicación de la información especialmente la que tenga carácter sensible, sea privada y segura. 
  5. Asegurarse de que los datos personales conservados en las bases de datos contengan información veraz, completa, exacta, actualizada, comprobable y comprensible. 
  6. Evitar transferir los datos personales asociados a la salud a personas o entidades diferentes de las contempladas en las reglamentaciones y los protocolos de bioseguridad.
  7. Controlar el número y perfil de personas de la organización que están autorizados para acceder a los datos.
  8. Establecer medidas de protección adicionales para todos los datos que tengan un carácter sensible, como es el caso de los datos asociados a la salud de las personas. En un reciente estudio sobre seguridad de los datos personales realizado por la Superintendencia de Industria y Comercio, se reportó que el 79% de las organizaciones privadas no realiza controles de seguridad frente a información de carácter sensible. La Superintendencia ha señalado que las medidas de seguridad deben ser directamente proporcionales al volumen de la información y la naturaleza de la base de datos. Y que, en virtud del carácter preventivo del principio de seguridad los responsables y encargados deben identificar sus vulnerabilidades para implementar y reforzar sus medidas de seguridad.
  9. Suscribir acuerdos de confidencialidad con las personas que tengan acceso a los datos debido a sus cargos (si los contratos que los vinculaban previamente no cuentan con cláusulas de confidencialidad adecuadas).  
  10. Informar a la Superintendencia de Industria y Comercio sobre incidentes de seguridad que se presenten de manera oportuna.

Para recibir información sobre eventos organizados por Avante Abogados y novedades legales, lo invitamos a inscribirse en nuestra lista de correos:

No Comments

Leave a Reply

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios.