En virtud de la situación actual de contingencia sanitaria ocasionada por el COVID-19, la Comisión de Transparencia y Acceso a la Información Pública del Estado de Querétaro (Infoqro), a través de los Comisionados Javier Rascado, María Elena Guadarrama y Eric Hernández, emitió un conjunto de recomendaciones para que las autoridades del ámbito estatal que conforman el sistema de salud, procuren la más amplia protección de los datos personales en la atención de casos confirmados o posibles de COVID-19. Entre ellas, destacan:
Principios de protección: en el tratamiento de datos personales (obtención, uso, divulgación o almacenamiento), se deben observar los principios señalados en el artículo 10 de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado de Querétaro (LPDPPSOEQ), especialmente los siguientes: consentimiento, información, proporcionalidad y finalidad.
Al respecto, debido a que los datos personales relativos al estado de salud presente o futuro de las personas pertenecen a la categoría de datos personales sensibles, se deberá obtener el consentimiento expreso y por escrito del titular para su tratamiento, salvo en los casos previstos en los artículos 16, 60 y 64 de la LPDPPSOEQ.
Medidas de seguridad: los responsables del tratamiento de datos personales deberán contar con medidas de seguridad en tres vertientes: a) administrativas (políticas y procedimientos para la gestión de la seguridad de datos a nivel organizacional); b) físicas (protección del entorno físico de los datos personales); c) técnicas (hardware y software para proteger el entorno digital de los datos). Lo anterior, para que los datos personales sean protegidos contra vulneraciones en cualquier fase de su tratamiento, tal y como pérdida o destrucción no autorizada; robo, extravío o copia no autorizada; uso, acceso o tratamiento no autorizado; daño, alteración o modificación no autorizada.
Confidencialidad: los responsables del tratamiento deben proteger la confidencialidad sobre cualquier dato personal o personal sensible relacionado con cualquier caso de COVID-19. En relación con ello, la identidad de las personas que sean atendidas no deberá divulgarse, ya sea que se trate de casos confirmados, sospechosos o descartados.
Aviso de privacidad (ADP): a través de este documento, se debe informar a las personas sobre la existencia y características principales del tratamiento de sus datos, entre ellas: a) a quién se le proporcionará esa información; b) qué datos se van a proporcionar; c) para qué finalidad se utilizarán; d) con quién se compartirán los datos personales proporcionados; e) cómo puede ejercer sus derechos ARCO.
Adicionalmente, el ADP debe ser sencillo, expresado en lenguaje claro y comprensible, y tener una estructura que facilite su entendimiento; mientras que en cuanto a su formato y difusión, el ADP debe ponerse a disposición de los titulares de forma impresa, digital, visual, sonora o por cualquier otra tecnología que permita su comunicación y deberá ser ubicado en un lugar visible que facilite su consulta.
Dichas recomendaciones fueron emitidas por Infoqro atendiendo el hecho de que la protección de la salud es necesariamente compatible con las disposiciones normativas sobre datos personales. En ese sentido, si bien Infoqro ha tomado las medidas necesarias de prevención alineadas a lo establecido por las autoridades sanitarias de la entidad, este organismo garante continúa en funciones y con total disposición a proporcionar atención, orientación y asesoría a los sujetos obligados que así lo requieran para asegurar la debida protección de los datos personales y, por tanto, el respeto a la privacidad y la dignidad de las personas en medio de la actual contingencia.