Los datos relacionados con el estado de salud presente o futuro de una persona identificada o identificable son considerados por las leyes como datos personales sensibles, recuerda el Instituto.
Las transferencias de datos personales a las autoridades competentes deberán efectuarse adoptando las medidas de seguridad con un nivel alto que garanticen su protección.
Ante la situación sanitaria que se vive en el país por el COVID-19, con el propósito de prevenir riesgos de seguridad y respetar la privacidad de las personas afectadas, de manera enunciativa y no limitativa, el Instituto de Transparencia, Acceso a la Información Pública, Protección de Datos Personales y Rendición de Cuentas de la Ciudad de México (INFO) emite las siguientes recomendaciones para el tratamiento adecuado de datos personales para los sujetos obligados:
• Las instituciones y prestadores de servicios de salud públicos y todos los sujetos obligados que se encuentren en algún supuesto que implique el tratamiento de datos personales deberán tener en cuenta que los datos relacionados con el estado de salud presente o futuro de una persona identificada o identificable son considerados por las leyes en materia de protección de datos como datos personales sensibles.
• Ante la situación sanitaria actual, el tratamiento de datos personales se deberá sujetar a lo dispuesto en la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados (Ley de Datos), los Lineamientos Generales sobre Protección de Datos Personales en Posesión de Sujetos Obligados, ambos de la Ciudad de México y demás normativa aplicable en la materia.
• Con independencia de los supuestos de emergencia o de los casos en los que se requieran datos para diagnóstico, prevención o asistencia sanitaria, a que se refiere la Ley de Datos, el responsable deberá informar al titular, entre otras cuestiones, el tratamiento a que serán sometidos sus datos personales, la finalidad de dicho tratamiento y el fundamento legal correspondiente; además en esos supuestos, las transferencias de datos personales a las autoridades competentes deberán efectuarse adoptando las medidas de seguridad con un nivel alto que garanticen su protección.
• Todo tratamiento de datos personales que efectúe el responsable, relacionados con el COVID-19, deberá sujetarse a los principios de licitud, lealtad, proporcionalidad, transparencia, con énfasis en los de confidencialidad y de finalidad. Debe precisarse que los datos personales recopilados con el fin de prevenir o contener la propagación, no deben utilizarse para propósitos distintos.
• Los responsables podrán adoptar medidas compensatorias, que son aquellos mecanismos alternos para dar a conocer a los titulares el aviso de privacidad, a través de su difusión por medios de comunicación masiva u otros de amplio alcance, cuando no se haya podido recabar el consentimiento previo al tratamiento de los datos personales de una persona física por emergencia de salud pública.
• El responsable tratará datos personales, implementando las medidas de seguridad técnicas, físicas y administrativas que considere necesarias para su protección, a través del documento de seguridad, tomando en cuenta que, por su naturaleza, corresponden a un nivel de seguridad alto; dichas medidas garantizarán la confidencialidad, integridad y disponibilidad de estos.
• Los responsables deben recabar los datos personales mínimos necesarios para que las autoridades implementen medidas a fin de evitar contagios, prevenir o contener la propagación de COVID-19, así como asegurar el derecho a la protección de la salud en los centros de trabajo y garantizar en todo momento la aplicación del procedimiento de disociación, mecanismo mediante el cual los datos personales no pueden asociarse al titular, ni permitir, por su estructura, contenido o grado de desagregación, la identificación del mismo.
• El responsable adoptará las políticas internas necesarias para la gestión y tratamiento de datos personales, tomando en cuenta el contexto en el que ocurre dicho tratamiento y su ciclo de vida.
Las anteriores recomendaciones se emiten con fundamento en lo dispuesto en los artículos 49 de la Constitución Política de la Ciudad de México; 3, fracciones X, XIII, XXI, XXII, XXIII, XXIV XXV, XXVIII, XXIX, XXXIII y XXXIV, 7, 9, 10, 11, 16, fracciones I,II, VII, VIII y IX; 22, 23, fracción X, 24, 35, 79, fracciones VIII, IX, XVII y XXIII, de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados de la Ciudad de México y demás normativa aplicable.
