El Comité Ejecutivo de la Asamblea Global de Privacidad (GPA por sus siglas en inglés), de la que Argentina es miembro, emitió una declaración conjunta sobre la importancia de la protección de datos personales y sensibles, en particular datos referidos a la salud, recolectados al momento de realizarse viajes nacionales e internacionales durante la pandemia de COVID-19. A pesar de que la GPA reconoce la importancia de procesar la información para ayudar a contener la pandemia, destaca que dicho tratamiento de datos debe realizarse protegiendo los principios globales comunes de protección de datos, incluida la privacidad por diseño y por defecto. En consecuencia, los datos recolectados no deben ser excesivos, la información provista al titular del dato debe ser clara y accesible, debe haber un propósito específico para el procesamiento y los datos tienen que ser retenidos por no más del tiempo necesario.
Entre las medidas sugeridas, se destacan las siguientes:
- Los principios de “privacidad por diseño y por defecto” deben integrarse en el desarrollo de cualquier sistema, aplicación o acuerdos de intercambio de datos relacionados con el procesamiento de datos de salud con fines de viajes internacionales. Así, realizar una evaluación formal y completa del impacto en la privacidad de las personas antes del comienzo de cualquier procesamiento es el mejor método para garantizar que la protección de datos mediante principios de diseño se implementen en la práctica y que los riesgos subyacentes se mitiguen de manera adecuada.
- Los datos personales recolectados, utilizados o divulgados para aliviar los efectos del COVID-19 en la salud pública requieren un propósito claramente definido y no deben utilizarse de manera incompatible con este propósito.
- Todas las organizaciones deben operar bajo la autoridad legal pertinente y apropiada, y únicamente procesar datos de salud cuando sea necesario y de forma proporcionada.
- Las personas deben ser informadas sobre cómo se procesarán sus datos, por quién y con qué propósito. La información proporcionada debe ser clara y accesible, y contemplar la diversidad geográfica, cultural y lingüística.
- Las organizaciones deben recopilar el mínimo de información de salud de individuos u otras fuentes que sea necesario para su contribución a la protección de la salud pública.
- El riesgo de ciberseguridad de cualquier sistema o aplicación digital debe evaluarse en su totalidad, teniendo plenamente en cuenta los riesgos que pueden surgir de diferentes actores en un contexto de amenaza global.
- Las organizaciones deben considerar cuidadosamente cuánto tiempo se deben retener los datos y diseñar un cronograma de retención para la eliminación segura de la información una vez que ya sea necesaria.
- Se debe incorporar cláusulas de extinción en el diseño de dichos esquemas, previendo la eliminación permanente de dichos datos o bases de datos, reconociendo que el procesamiento rutinario de la información de salud de COVID-19 en las fronteras puede volverse innecesario una vez que termine la pandemia.
Por Gustavo P. Giay, Diego Fernández, Sebastián Filipich y Manuela Adrogue
Artículos
GUYER & REGULES
opinión
ver todosKabas & Martorell
PASBBA
NORDELTA S.A.