Mar 6

Los datos sensibles imponen obligaciones especiales

El que es el más potente centro de investigación periodística del país, Ciper Chile, reveló hace pocos días un notorio caso de vulneración de la seguridad de datos personales: datos personales de miles de personas que incluían su nombre, número único de identificación (el RUN), domicilio, caso médico, medicamentos utilizados, etc. quedaron por meses expuestos al libre conocimiento de los empleados que tienen acceso a la red informática del Ministerio de Salud (MINSAL), con conexiones incluso desde fuera de los centros de salud y a lo largo de todo el país.

Especialmente relevante es lo expuestas que quedaron las personas con datos sobre VIH, con antecedentes de cáncer, los que tienen problemas de salud mental o que sufrieron procedimientos de aborto.

¿Por qué?. Porque se trata de tipos de datos conocidos internacionalmente como “datos sensibles”, es decir aquellos cuyo mero conocimiento por terceros los pone en riesgo que a su respecto se tomen decisiones arbitrarias en base a prejuicios ocultos, pero dolorosamente presentes en nuestras sociedades.

¿Contratarías a alguien profesionalmente competente que ha tenido cáncer?. Muchos optarán por negarse ante el riesgo de las licencias médicas o el que fallezca después de haber “invertido” en su formación. ¿Le arrendarías tu casa a un señor que necesita administrarse retrovirales para vivir?. Más de alguien dirá que no por las razones incorrectas, pero seguirá siendo un NO.

Y así, hay un largo cúmulo de efectos devastadores para las personas porque alguien sabe algo de ti (que no debería saber) y toma decisiones arbitrarias en base a ello, como dejarte sin trabajo, sin hogar, sin seguros de salud o restringiendo el círculo de personas con las que puedes tomar contacto o a las que tú o tus hijos pueden acceder.

Tengan muy presente que los datos sensibles no son solo los de salud, sino que todos aquellos cuyo conocimiento por terceros te deja en una posición vulnerable, como los de origen racial o étnico, opiniones políticas, convicciones religiosas, afiliación sindical, vida sexual o cualquier otro dato que, por su naturaleza o su contexto, pueda provocar algún trato discriminatorio en tu contra.

Como consecuencia de ello este tipo de datos debe tener un régimen especial de protección y los organismos públicos o privados que deben tratar datos de esta naturaleza, como el Ministerio de Salud, están obligados a tomar todos los resguardos jurídicos, organizativos y técnicos para que ellos solo puedan ser conocidos y utilizados en el ámbito en que su uso sea necesario y aceptable, pero con medidas de seguridad incluso superiores a otros tipos de datos personales.

En el fondo, y haciendo una analogía (que no sé si resultará tan afortunada), quien trata datos sensibles es como el proveedor de explosivos para la industria minera: solo puede entregarlos a personas determinadas para fines conocidos y necesarios y siempre con medidas de seguridad asociadas.

Y, por supuesto, debe garantizar que nadie pueda acceder al depósito de explosivos y llevárselos con otras intenciones, por lo que debe organizar todo para tener un férreo control de lo que ocurre con ellos en todo momento.

Lo mismo se aplica al caso y a cualquiera entidad que realice una actividad análoga en lo que a datos de personas se refiere. Ello no significa que no pueda contratar una solución tecnológica con una tercera empresa, pero lo que debe quedar claro es que frente a los titulares de los datos ello es indiferente o irrelevante: el responsable frente a nosotros, los titulares de datos sensibles, es el tenedor legal de los datos.

El tema de fondo es que no todos los órganos del Estado tienen profesionales expertos en protección de datos y no deben porqué tenerlos, pues los países suelen contar con un organismo técnico-especializado de alto nivel, una autoridad de protección de datos, que es la que enseña, da las pautas y directrices, establece los estándares, fija sistemas de auditoría, fiscaliza y aplica sanciones a los responsables de exponer al riesgo a las personas.

Y, desde luego, una autoridad de protección de datos dirá lo mismo que nosotros les contamos a ustedes: las entidades que tratan datos sensibles tienen que tomar medidas técnicas, jurídicas y organizativas diferentes de las que tratan datos personales ordinarios o que no tienen ese carácter, y si no lo hacen incurrirán en una responsabilidad que nadie desea sobre sus hombros.

 

Carlos Reusser Monsálvez

Abogado por la Universidad de Chile. Máster en Informática y Derecho y Especialista en Derechos Humanos por la Universidad Complutense de Madrid. Socio de Valencia & Reusser Abogados.