Por: Ángela Garzón Vargas/Pablo Hernández Vidal – Estudio Legal Hernández
A pesar que la legislación es bastante protectora con relación al tratamiento de los datos personales, durante la emergencia ocasionada por la pandemia ha sido necesario ajustar algunos aspectos para facilitar diversas operaciones, así como garantizar un adecuado manejo frente a otras. Es así que mediante el Decreto 538 de 2020 se buscó flexibilizar el literal g del artículo 4 de la Ley 1581 de 2012 relacionado con el principio de seguridad y el literal b del artículo 32 de la Ley 527 de 1999, sobre los implementos de los sistemas de seguridad para garantizar la emisión y creación de firmas digitales.
De esta forma, el artículo 8 del Decreto 538 de 2020, buscando facilitar el acceso a los servicios de salud, ordenó a los prestadores de servicios de salud implementar plataformas digitales con estándares básicos de audio y video por las cuales se puedan realizar diagnósticos y seguimientos de los pacientes, con la finalidad de proteger los derechos fundamentales de los pacientes.
Por lo que al flexibilizarse el literal g del artículo 4 de la ley 1581 de 2012 y el literal b del artículo 32 de la ley 527 de 1999, implica que se limita su entendimiento al manejo de “medidas técnicas, humanas y administrativas de seguridad con la que cuenten las prestadoras siempre que la finalidad sea proteger los derechos fundamentales a la vida digna y a la salud de los pacientes”.[1] Es por esto que a pesar de que el Gobierno es consiente que con estas flexibilizaciones se puede afectar la seguridad de los datos de los pacientes, debido a la actual situación evidenciada por la pandemia se encuentra que existen derechos de valor constitucional que deben ser protegidos y que priman sobre la seguridad de los datos, como lo son la vida y la salud de las personas.
Es así que se otorgan libertades para brindar los servicios de telemedicina para garantizar el derecho a la vida y la salud de los ciudadanos, y que para brindar estas libertades se sacrifican algunos aspectos de la protección de datos y la seguridad de la información, ya que por las necesidades actuales de la población para continuar recibiendo la atención médica sin tener que correr mayores riesgos, el Gobierno encontró pertinente efectuar dichas aclaraciones y de esta forma permitir un mayor acceso al sistema de salud que se encuentre acorde con las posibilidades de los prestadores de salud.
Adicionalmente, la Superintendencia de Industria y Comercio mediante el Concepto 20-118135, se pronunció sobre diversos puntos:
- ¿La Ley 1581 protege la identidad personal de las personas que se contagien con COVID?
Efectivamente, mediante esta disposición se protegen los datos personales de las personas, incluyendo los “datos sensibles”,[2] dentro de los cuales se encuentra la información relacionada con la historia clínica de los pacientes. Debido a que la historia clínica contiene datos sensibles, el tratamiento de esta información tiene una prohibición expresa, y solo se puede dar en los casos indicados por ley.[3] Es así que, mediante esta normativa se protege la intimidad de las personas contagiadas con COVID 19.
- ¿La persona contagiada con COVID está obligada a informar a las autoridades sanitarias de su eventual situación médica y además, debe notificar a la Administración de la propiedad horizontal en caso de residir en vivienda sometida a este régimen?
El tratamiento de datos sensibles está prohibido de manera general, y solo es posible bajo las excepciones consagradas en la Ley. Una de estas excepciones es mediante una autorización expresa del titular, que además está sometida a los requisitos particulares del Decreto 1074 de 2015.[4] Por lo tanto, la autorización para el tratamiento de esta información es facultativa, esto quiere decir que la decisión final será del titular.
La información propia de la identidad del contagiado por COVID y de su estado de salud siguen siendo datos sensibles, que solo podrán ser tratados bajo las condiciones ya explicadas, esto es, con la autorización expresa del titular o por un mandato legal.
Sobre la obligación de entregar datos personales en el marco de esta emergencia sanitaria generada por el COVID 19, vale la pena considerar el caso que resolvió una Juez de tutela en la ciudad de Medellín.[5] Este fallo es importante, toda vez que aún en el marco de esta emergencia sanitaria, el derecho fundamental al habeas data debe ser protegido por el ordenamiento jurídico, sobre todo tratándose de datos sensibles.
- ¿Cuál debe ser el protocolo o procedimiento a seguir por el Administrador de Propiedad Horizontal en caso de enterarse por terceros sobre la eventual existencia de un contagiado con COVID 19 residente en la copropiedad?
Aunque la Superintendencia no se pronuncia sobre este punto, sí menciona que esta información supone un grado de confidencialidad máximo y únicamente la pueden conocer las personas autorizadas por el titular de la misma. Esto quiere decir que el Administrador no podría hacer uso de esta información al ser un tercero sin autorización del titular.
- ¿El Administrador en Propiedad Horizontal está obligado a compartir con los integrantes del Consejo de Administración la información obtenida?; ¿Además del paciente contagiado con COVID 19 que otros terceros pueden tener acceso a información sobre la situación clínica?; y ¿Un médico no tratante puede acceder a información sobre personas contagiadas con COVID 19 residentes en una propiedad horizontal?
Al respecto se reitera por parte de la autoridad que los datos sensibles solo podrán ser tratados en los eventos en que se de una excepción legal de las dadas en la Ley 1581 de 2012, y que dicha información solo podrá ser compartida con los terceros que el titular expresamente autorizará. Por lo que si se llega a dar el manejo de los datos sensibles sin que se cuente con la autorización del titular de los mismos y sin que medie una excepción legal, la Superintendencia podrá sancionar a quienes hagan el manejo indebido con multas como lo indica la Ley 1581 de 2012 en su artículo 23.
Por todo esto, queda en evidencia que a pesar de la situación que se esta viviendo con la pandemia, los datos sensibles de los pacientes continúan estando bajo la protección legal sin que se pueda llegar a afectar dicho carácter y pudiéndose sancionar a quienes atenten contra dichas disposiciones.
[1] Artículo 8, Decreto Legislativo 538 de 2020 del Ministerio de Salud y Protección Social.
[2] Son datos sensibles “aquellos que afectan la intimidad del Titular o cuyo uso indebido puede generar su discriminación, tales como aquellos que revelen el origen racial o étnico, la orientación política, las convicciones religiosas o filosóficas, la pertenencia a sindicatos, organizaciones sociales, de derechos humanos o que promueva intereses de cualquier partido político o que garanticen los derechos y garantías de partidos políticos de oposición así como los datos relativos a la salud, a la vida sexual y los datos biométricos” (Ley 1581 de 2012, artículo 5).
[3] Se prohíbe el Tratamiento de datos sensibles, excepto cuando: a) El Titular haya dado su autorización explícita a dicho Tratamiento, salvo en los casos que por ley no sea requerido el otorgamiento de dicha autorización…” (Ley 1581 de 2012, artículo 6).
[4] El artículo 2.2.2.25.2.3. del Decreto 1074 de 2015 trae esos requisitos particulares, por ejemplo, uno de los requisitos para obtener la autorización de tratamiento de datos sensibles, es el deber de informarle al titular que no está en la obligación de autorizar el tratamiento de estos datos.
[5] Sentencia del 20 de mayo de 2020. Radicado 050014009045202000107; Juzgado Cuarenta y Cinco Penal Municipal con Función de Conocimiento de la ciudad de Medellín.
Si está interesado en obtener mayor información y asesoría legal no dude en escribirnos a contacto@estudiolegalhernandez.com o directamente a nuestro equipo ELH.
Directora Derecho Corporativo
angela@estudiolegalhernandez.com
Coordinador Derecho Corporativo
ignacio@estudiolegalhernandez.com
Abogado Junior Derecho Corporativo
pablo@estudiolegalhernandez.com
