COVID -19 y Derechos Humanos. Implicaciones más allá de la protección de la salud

A medida que la pandemia de Covid-19 devasta al mundo, el valor de los datos ha llegado a la vanguardia de las políticas para contener la propagación del virus y permitir que los proveedores de atención médica y los investigadores intercambien datos. Los ejemplos van desde el uso de aplicaciones móviles para realizar un seguimiento de los contactos de las personas que han dado positivo o para permitir a los usuarios de la aplicación realizar un seguimiento de sus síntomas hasta el acceso a los datos de los proveedores de servicios de telecomunicaciones e Internet para supervisar y controlar el movimiento de la población. En este blog, nuestro objetivo es dar nuestras observaciones provisionales sobre la controversia en torno a la necesidad emergente de responder a las normas de protección de la pandemia y de datos.

Marco Jurídico Regional para la Privacidad y la Protección de Datos

A medida que el procesamiento de datos personales se ha convertido en la principal línea de sangre de nuestras vidas, también lo ha hecho la importancia de las normas que los regulan de alguna forma. Para algunos expertos, es menos probable que alcance normas armonizadas de protección de datos en todo el mundo a corto plazo, aunque algunos expertos vieron a principios de la década pasada que sólo China y los Estados Unidos son valores atípicos reales. Ha habido algunos progresos a nivel de las Naciones Unidas para establecer normas comunes, pero esta labor aún no es reconocida por todos los Estados.

Sin embargo, las normas de privacidad y protección de datos en Europa han sido objeto de una armonización muy sustancial en los últimos 50 años. En toda La Europa, los 47 países del Consejo de Europa son partes en el Convenio para la protección de las personas físicas en lo que respecta al tratamiento automático de datos personales (CETS No 108; Convenio 108). También se ha abierto a los Estados no miembros del Consejo de Europa, de los cuales 11 han sido autorizados a adherirse. La Convención se actualizó en 2018 (ahora conocida como 108+) a la luz de los desafíos contemporáneos y todos los Estados del Consejo de Europa la han firmado. La Unión Europea actualizó su legislación en materia de protección de datos en 2016 con el Reglamento General de Protección de Datos (Reglamento (UE) 2016/679; GDPR) (abordando tanto el sector privado como el estatal). En general, se reconoce que el RGPD y, su predecesor, la Directiva de protección de datos (Directiva 95/46) establecen un estándar de protección de datos «oro». Tanto los legisladores de la UE como del Consejo de Europa al actualizar sus medidas eran muy conscientes de los desafíos de los avances tecnológicos en los derechos de las personas. Todas estas medidas (GDPR, Protocolo del Consejo de Europa) se adoptaron para garantizar un equilibrio correcto entre los derechos de los interesados y otros intereses estatales y comerciales en el uso de datos personales. Sin embargo, en estos tiempos de pandemia, algunos actores estatales y del sector privado tratan de cambiar las reglas y reescribir las condiciones en las que tienen acceso y uso de datos personales.

Hipótesis: «Las normas de protección de datos ralentizan la respuesta a la pandemia de Covid-19»

Un argumento en contra del RGPD es que sus estrictas reglas impiden la recopilación y el uso de datos y ralentizan las respuestas orientadas a datos, como las soluciones basadas en Inteligencia Artificial, que de otro modo deberían haber abordado el brote más rápidamente. Este argumento ilustra el escepticismo en curso hacia el RGPD como un obstáculo para la innovación y el crecimiento económico.

Contrariamente a este argumento, el RGPD no prohíbe la recopilación de datos. Como ha subrayado el Presidente del Consejo Europeo de Protección de Datos (EDPB) y algunos expertos, estos principios no representan un obstáculo para las respuestas basadas en datos para contrarrestar la propagación del virus. El RGPD no prohíbe las actividades de procesamiento de datos, sino que las permite si se cumplen ciertos principios. Lo hace con el fin de garantizar el respeto de la integridad, la dignidad y los derechos fundamentales de las personas, como el derecho a la privacidad.

El RGPD no es el único marco regional que es aplicable al procesamiento de datos personales. Como se mencionó anteriormente, el Convenio 108, adoptado en 1981 anterior al RGPD y modernizado en 2018 (Convenio 108+), contiene normas y principios similares aplicables al tratamiento de datos personales. Estos principios difieren según el tipo de datos en cuestión.

En estas situaciones, cuando varios actores ven una oportunidad para abrir el acceso a los datos personales o, en otras palabras, para disminuir las protecciones de privacidad, vale la pena reiterar las reglas.

Procesamiento de datos personales no sensibles

De acuerdo con los marcos de protección de datos regionales europeos, el procesamiento de datos personales, que son datos que identifican a un individuo o lo hacen identificable, está permitido siempre que se observen ciertos principios: es decir, legalidad, equidad y transparencia, limitación de propósito, minimización de datos, precisión, limitación de almacenamiento, integridad y confidencialidad, así como responsabilidad. De acuerdo con el principio de legalidad, el procesamiento de datos personales debe basarse en el consentimiento del interesado u otros motivos legales estipulados en el RGPD (artículo 6 del RGPD). El consentimiento del sujeto de datos puede proporcionar la base legal para el procesamiento de datos siempre que se obtenga de acuerdo con los requisitos del GDPR; que son una indicación libre, específica, informada y sin ambigüedades de los deseos del interesado mediante una declaración o una acción afirmativa clara (Artículo 4 (11) del GDPR). Esto plantea, por ejemplo, preguntas sobre si la aplicación de seguimiento de contactos basada en la proximidad podría depender del consentimiento. El TJUE observó que el consentimiento del interesado se vería socavado si no tuviera una opción real de objetar el procesamiento de sus datos (Asunto C-291/12 Michael Schwarz v Stadt Bochum). El antiguo Grupo de trabajo del artículo 29 tuvo en cuenta el equilibrio entre el interesado y el responsable del tratamiento y consideró que “si el consentimiento se incluye como una parte no negociable de los términos y condiciones, se presume que no se ha otorgado libremente” ( Artículo 29, Directrices sobre el consentimiento, 2018). Esto significa que la participación voluntaria con las aplicaciones de rastreo de contactos puede no depender necesariamente del consentimiento como base legal para procesar los datos.
Además, una serie de otras bases legales podrían ser relevantes para el procesamiento de datos por razones de emergencia de salud pública. Primero, el procesamiento es legal cuando es necesario ‘proteger los intereses vitales del interesado o de otra persona física (Artículo 6 (1) (d) del GDPR)’. Este fundamento legal es, en cierto sentido, secundario porque proporciona la base legal válida si el procesamiento no puede basarse en otras bases legales proporcionadas bajo el RGPD. La segunda base legal para el procesamiento de datos personales es cuando está “ de acuerdo con la obligación legal a la que está sujeto el controlador de datos ” o donde es “ necesario para el desempeño de una tarea realizada en interés público o en el ejercicio de la autoridad oficial conferida al controlador ‘(Artículo 6 (1) (e) del RGPD). El procesamiento de datos por razones de interés público puede servir para actividades de procesamiento con el fin de contener y monitorear la pandemia de Covid-19. De hecho, el GDPR menciona estas dos bases legales, el procesamiento por intereses vitales y razones de interés público pueden superponerse “por ejemplo, cuando el procesamiento es necesario para fines humanitarios, incluido el monitoreo de epidemias y su propagación” (considerando 46 del GDPR). Por razones legales sobre la base de un interés vital o público, el procesamiento debe alcanzar el umbral de “necesidad”, es decir, el procesamiento debe ser proporcionado para lograr el objetivo y el resultado del procesamiento no puede lograrse de una manera menos intrusiva. Además, ninguno de estos fundamentos legales proporciona carta blanca para procesar datos por un período ilimitado. El procesamiento por estos motivos está permitido siempre que existan razones para proteger intereses vitales y / o intereses públicos. Por ejemplo, cuando la amenaza de propagación del virus deja de existir, también lo apropiado de la base del interés público para procesar los datos. Finalmente, el procesamiento de datos por razones de interés público debe ser obligatorio por ley.

Procesamiento de datos sensibles

El marco regulatorio europeo sobre protección de datos se basa en la premisa de que ciertos tipos de datos requieren una protección más estricta que otros tipos de datos porque su procesamiento puede generar mayores riesgos de privacidad y seguridad. Tanto el RGPD como el Convenio 108+ tratan los datos genéticos y biométricos y los datos sobre el estado de salud de las personas como “datos sensibles” (Artículo 9 (1) del RGPD; Artículo 6 del Convenio 108+). El Tribunal Europeo de Derechos Humanos (TEDH) confirmó que los datos de salud deben estar sujetos a salvaguardas más estrictas que los datos no confidenciales (Z v Finlandia). El procesamiento de esta categoría especial de datos está prohibido a menos que se realice para fines específicos y bajo ciertas condiciones.
Según el RGPD, los datos confidenciales no pueden procesarse a menos que el interesado consienta explícitamente o se base en otros fundamentos legales apropiados (Artículo 9 del RGPD). Aquí se destacan algunas razones legales por las cuales se permite el procesamiento de datos confidenciales. Primero, se pueden procesar datos confidenciales si es necesario por razones de atención médica (‘los propósitos de medicina preventiva u ocupacional, para la evaluación de la capacidad de trabajo del empleado, diagnóstico médico, la provisión de atención o tratamiento de salud o social o la gestión de los sistemas y servicios de salud o asistencia social ‘; Artículo 9 (2) (h) del RGPD). Este fundamento legal cubre el procesamiento de datos realizado para la prestación de servicios directos relacionados con la salud, como los ingresos hospitalarios y otros fines administrativos relacionados, y la planificación y comisión de servicios de atención médica, como la producción de conjuntos de datos sobre ingresos. En el contexto de la pandemia de Covid-19, esto se relaciona con el procesamiento de datos sensibles para el diagnóstico médico, incluidas las pruebas y la planificación de Covid-19 y la ejecución de servicios de salud en respuesta a la pandemia. En segundo lugar, puede procesarse si es ‘necesario por razones de interés público en el área de la salud pública, como la protección contra amenazas transfronterizas graves para la salud o garantizar altos estándares de calidad y seguridad de la atención médica y de los medicamentos o dispositivos médicos ‘(Artículo 9 (2) (i) del RGPD). Este fundamento jurídico abarca cuestiones más amplias de salud pública, como la asignación de recursos y las necesidades de atención de la salud (considerando 54 del RGPD). En tercer lugar, los datos confidenciales pueden procesarse si es necesario para la protección del interés vital del interesado u otras personas físicas (artículo 9 (2) (c) del GDPR). Sin embargo, este fundamento legal solo es aplicable en escenarios limitados en los que el interesado es físicamente o legalmente incapaz de dar su consentimiento, por ejemplo, cuando está inconsciente o es menor de edad. La referencia a razones para proteger el interés vital de “otras personas físicas” indica que, aunque el interesado no puede dar su consentimiento, sus datos confidenciales pueden procesarse si tiene una enfermedad contagiosa y otra persona física podría estar infectada. Sin embargo, no cubre el procesamiento de datos confidenciales para la investigación médica general, como los ensayos clínicos para curar la enfermedad. Finalmente, el RGPD permite el procesamiento de datos confidenciales para investigación médica si está autorizado por la ley, que se adhiere al principio de proporcionalidad, respeta la esencia del derecho a la protección de datos personales y proporciona salvaguardias específicas para la protección de las personas fundamentales derechos e intereses (Artículo 9 (1) (j) del GDPR). Según lo reconocido por la EDPB, este fundamento legal es prominente para el procesamiento de datos confidenciales cuando se realiza una investigación médica general sobre la pandemia de Covid-19 (EDPB, Directrices 03/2020).
El Convenio 108+ prohíbe el procesamiento de datos confidenciales a menos que se base en una ley que proporcione salvaguardas apropiadas que complementen las salvaguardas de protección de datos consagradas en el Convenio (Artículo 6 del Convenio 108+). La Recomendación CM / Rec (2019) 2 del Consejo de Europa sobre la protección de datos de salud considera la aplicación de la Convención al procesamiento de datos relacionados con la salud. Aunque la Recomendación no es vinculante, proporciona un marco de políticas que los estados del Consejo de Europa deben implementar en sus leyes nacionales. Proporciona los fundamentos legales sobre los cuales se pueden procesar los datos relacionados con la salud. Por lo tanto, el Presidente del Comité del Convenio 108+ y el Comisionado de Protección de Datos del Consejo de Europa respaldaron la Recomendación en su Declaración conjunta el 30 de marzo de 2020 como el marco que practica el intercambio de datos confidenciales entre profesionales de la salud y entre profesionales de la salud y otros profesionales debe seguir.

Privacidad y principios de proporcionalidad y necesidad

Además del marco regulatorio europeo, cualquier autorización para el procesamiento de datos debe estar en línea con los estándares de derechos fundamentales consagrados en el artículo 8 del CEDH (derecho a la vida privada) y los artículos 7 (derecho a la vida privada) y 8 (derecho a la protección de datos personales) de la Carta de la UE. Las limitaciones a estos derechos deben estar sujetas a los principios generales de legalidad, necesidad y proporcionalidad. Tanto el TEDH como el TJUE han exigido que las leyes que autorizan la recopilación de datos personales se definan de manera suficientemente clara, lo que permite a los interesados ​​saber qué tipos de datos se recopilarían, para qué fines, durante cuánto tiempo se conservarían y qué autoridades, si las hubiera, podrían acceder a él (S y Marper v Reino Unido; Asuntos acumulados C-203/15 y C-689/15 Tele2; Opinión 1/15. Ver aquí y aquí para comentarios sobre Tele2 y Opinión 1/15). La ley debe perseguir un objetivo legítimo para la recopilación y el uso de datos. La protección de la salud, así como la protección de los derechos y libertades de los demás (por ejemplo, el derecho a la vida en virtud del artículo 2 del CEDH) equivalen a un objetivo legítimo requerido para justificar las interferencias con los derechos a la privacidad y la protección de datos personales. Dicha interferencia también debe ajustarse a los principios de necesidad y proporcionalidad. Esto requeriría un análisis sobre si la recopilación y el uso de datos se ajustan al objetivo perseguido.
Si bien las aplicaciones de rastreo de contactos se han promovido ampliamente para contener el coronavirus, existen reacciones encontradas a este tipo de recopilación de información, particularmente a la luz de los informes relacionados con epidemias pasadas y otras crisis humanitarias. Sin evidencia sobre la eficacia de la recopilación y el uso de datos por razones de emergencia de salud pública, surgen preguntas sobre la necesidad de esas actividades bajo los estándares de derechos fundamentales, así como sobre su impacto social.

Conclusión

El marco europeo de privacidad y protección de datos es robusto, actualizado y diseñado para ser sensible a las necesidades del mundo moderno. Se ha actualizado durante la última década para acomodar el cambio tecnológico y establecer un marco robusto y duradero para personas, estados y empresas. La Convención 108+ del Consejo de Europa y el RGPD de la UE se diseñaron y negociaron con pleno conocimiento de los intereses y demandas de todos los actores. Ambos marcos brindan un amplio margen para el uso excepcional de datos personales en tiempos de crisis, pero en todos los casos protegen el interés del individuo en el uso de sus datos.
Las nuevas tecnologías que desafían el marco legal existente de protección de datos deben adaptarse y revisarse para que cumplan con él antes de ponerlas en funcionamiento. Esto se debe a que en Europa, al menos, hemos llegado a un consenso sobre la mejor manera de proteger a las personas al tiempo que permite el desarrollo tecnológico. Para usar una analogía, nuestras industrias manufactureras pueden producir automóviles que funcionan a 250 kilómetros por hora, pero hemos optado por limitar la velocidad a la que los automóviles pueden conducir a menos de la mitad por razones de seguridad pública. Aplicar el mismo razonamiento por analogía, solo porque una compañía ha diseñado un programa de computadora que puede entrometerse en los detalles más íntimos de nuestras vidas y hacer todo tipo de cálculos sobre la base de esa información no significa que nosotros como sociedades tengamos que aceptar esos tecnologías. Tenemos derecho a imponer restricciones legislativas sobre ellos, como lo hemos hecho.
La afirmación de que el régimen actual de protección de datos es inadecuado para los desafíos actuales no es correcta. El régimen actual, revisado recientemente, expresa los límites que las sociedades europeas han puesto en el uso de datos personales, en particular datos personales confidenciales. No debemos permitir que la pandemia de Covid-19 nos lleve a aceptar estándares de protección de datos más bajos y una menor privacidad.

 

Responder

Introduce tus datos o haz clic en un icono para iniciar sesión:

Logo de WordPress.com

Estás comentando usando tu cuenta de WordPress.com. Cerrar sesión /  Cambiar )

Google photo

Estás comentando usando tu cuenta de Google. Cerrar sesión /  Cambiar )

Imagen de Twitter

Estás comentando usando tu cuenta de Twitter. Cerrar sesión /  Cambiar )

Foto de Facebook

Estás comentando usando tu cuenta de Facebook. Cerrar sesión /  Cambiar )

Conectando a %s

Este sitio usa Akismet para reducir el spam. Aprende cómo se procesan los datos de tus comentarios .