Dr. Ramiro Prieto
El pasado 20 de marzo, el Ministerio de Salud Pública (MSP) conjuntamente con la Agencia de Gobierno Electrónico y Sociedad de la información y el conocimiento (AGESIC) presentaron la aplicación Coronavirus.UY.
Dicha aplicación, presentada en el marco de la emergencia nacional sanitaria declarada por el Poder Ejecutivo (Decreto N° 93/020), pretende ser una herramienta digital para complementar la detección de posibles casos de COVID-19 y darle posterior seguimiento.
En tanto la misma posee implicancias respecto de la Protección de Datos Personales de los usuarios, en el presente artículo me propongo cotejar su diseño con la normativa vigente en la materia.
1- En primer término, corresponde señalar que el presente artículo fue redactado a la luz de la información divulgada por las autoridades al momento de la presentación de la APP, en tanto no se encuentran disponibles a la fecha (ni en el sitio web del plan nacional coronavirus, ni en las tiendas de aplicaciones respectivas) términos y condiciones del servicio que permitan conocer fehacientemente las distintas instancias y procesos de tratamiento de la información personal. Asimismo, no se ha publicado aún, la evaluación de impacto en materia de protección de datos personales, necesaria en estos casos, a la luz de las medidas de responsabilidad proactivas dispuestas en el Decreto N° 64/2020 al cual la Administración se encuentra sujeta a cumplimiento.
Sin perjuicio de ello, se ha informado a través de la prensa que la APP utilizará el Sistema y Plataforma de Historia Clínica Electrónica Nacional, por lo que el presente análisis se ha realizado en ocasión de dicha normativa y de la referente a la protección de datos personales.
2- Es importante señalar que la APP recolecta datos personales de salud, que son datos sensibles y especialmente protegidos por la normativa nacional (art. 4 Lit. E, art.18. y art. 19 de la Ley N° 18.331).
3- La recolección de dichos datos de salud, requiere consentimiento previo, expreso y escrito del titular (art. 9 y art. 18 de la Ley N° 18.331), condición que la APP reúne, en tanto el mismo se solicita previamente a la carga de los datos.
4- Los datos sensibles sólo pueden ser recolectados y objeto de tratamiento cuando medien razones de interés general autorizadas por Ley, o cuando el organismo solicitante tenga mandato legal para hacerlo, condición reunida por el MSP (La ley Orgánica de la Salud Nº 9202 y el art. 2 de la Ley Nº 18.211 de creación de SNIS) en el marco de la situación de emergencia nacional decretada (Decreto N° 93/020)
5- Asimismo, dichos datos deben almacenarse en bases de datos que se encuentren inscriptas en la Unidad Reguladora de Protección de Datos Personales (URCDP) (art. 6 Ley N° 18.331, art 2 del Decreto N° 64/020).
6- Estos dos puntos anteriormente mencionados, merecen especial consideración, en tanto el apartado N° 1 de la política de privacidad de la APP (publicada en el sitio del plan nacional coronavirus) establece que los datos son recabados por el MSP, pero seguidamente se dice que la base de datos es de titularidad de AGESIC. Al respecto, en el sitio web de la URCDP luce publicada la Resolución N° 64/020 en la cual se inscribe la base de datos denominada “PlanCoronavirusUY” a nombre de la Dirección General de Secretaría (DIGESE) del MSP.
Interpreto, que aquí existe un desajuste respecto del titular de la base de datos (responsable de la base de datos o de tratamiento art. 4 Lit. K Ley N° 18.331) y del titular de la APP o quien la ofrece al ciudadano (que en este caso es encargado de tratamiento art. 4 Lit. H Ley N° 18.331). En este marco, entiendo que AGESIC posee competencia legal para desarrollar la aplicación que ofrezca el servicio en línea al ciudadano (o que la misma se desarrolle a su nombre por un proveedor externo tal como parece haber sucedido en este caso) y para dotar de medidas de seguridad al sistema, pero no tiene competencia para almacenar a su nombre datos personales de salud de los habitantes (Art. 1 Decreto N° 184/015 y art. 21 del Decreto N° 242/017), competencia que si tiene el MSP (Ley Orgánica de la Salud Nº 9202 y del art. 20 del Decreto N° 242/017).
7- Al respecto, no es menor señalar, que la responsabilidad administrativa o civil en materia de Protección de Datos (art. 12 de la Ley N° 18.331 en la redacción dada por el art. 39 la Ley Nº 19.670, reglamentado por el Decreto N° 64/020) recae sobre el titular de la base de datos, y también sobre el encargado de tratamiento, pero las mismas son graduadas de diferente manera acorde al nivel de responsabilidad de los infractores en los hechos (Resolución N° 105/015 del Consejo Ejecutivo de URCDP). Asimismo, se prevé que los derechos de de acceso, rectificación, actualización, inclusión y supresión deben ejercerse ante el MSP, no así ante AGESIC.
8- La base de datos que almacena los datos de salud, debe reunir las condiciones de seguridad exigidas (art. 10, art 19 Ley N° 18.331 y Decreto N° 64/020). Asimismo, dichos datos deberán encontrarse alojados en centros de datos seguros situados en territorio nacional (art. 3 Decreto N° 92/014 y art. 3 Decreto N° 451/009), situación que se reúne en tanto se ha informado que se utiliza la infraestructura tecnológica de la Plataforma de Historia Clínica Electrónica Nacional (HCE) que brinda las mayores garantías. (art. 466 de la Ley N° 19.355, art. 15 Decreto N° 242/017, art. 20 de la Ley N° 18.335).
9- Según se informó, por intermedio de la APP (y cuando así corresponda acorde al resultado del Test), los datos de salud recolectados, serán comunicados al prestador de salud del usuario en el marco del sistema de HCE, lo cual como señalamos cumple con la normativa y reúne las garantías necesarias. (art. 466 de la Ley N° 19.355, art. 19 y 20 del Decreto N° 242/017, Ley Nº 18.211, art. 18 Lit. D), art. 19 de la Ley N° 18.335 art. 4 Lit. B) y art. 17 de la Ley N° 18.331)
10- Finalmente corresponde indicar que se comparte lo establecido en el Dictamen N° 2/020 del Consejo Ejecutivo de la URCDP de fecha 20 de marzo de 2020, en el sentido de la necesaria armonización del derecho a la protección de datos personales, con otros derechos, deberes y garantías referentes a la salud (arts. 7, 72 y 44 de la Constitución de la República), en el contexto actual de la pandemia por COVID-19 y de la declaración de emergencia nacional decretada por el Poder Ejecutivo (Decreto N° 93/020), ya sea en lo referente a las excepciones al consentimiento previo del titular de los datos (art. 17, 9 y 18 de la Ley N° 18.331), asi como al necesario respeto a los restantes principios de la protección de datos personales por parte de las autoridades públicas que traten la información personal.
Ramiro Prieto Aguiar 
Deja un comentario