Privacidad en Crisis: ¿El Fin Justifica los Medios?
¿Es legal que el Gobierno realice un seguimiento por geolocalización de los ciudadanos con motivo de la pandemia? ¿Qué recaudos legales se requerirían para que ello fuese legal? ¿Puede el gobierno solicitar datos de geolocalización a las empresas proveedores de servicios de telecomunicaciones y IT sin orden judicial? Y en tal caso, ¿estarían las empresas legalmente obligadas a responderle? ¿Pueden tales datos ser considerados “datos sensibles”? ¿Cómo impacta en todo esto los derechos a la intimidad de los ciudadanos? En suma: ¿Cómo se articula el derecho a la privacidad con el derecho a la seguridad y la salud (y el deber del estado de proveer estos últimos)?
Estas preguntas se han planteado –y continúan planteándose- a nivel global en los últimos meses como consecuencia de las acciones de los distintos gobiernos para combatir la pandemia. En Argentina en particular, el debate se ha suscitado con motivo de la App Cuid.ar desarrollada y promovida por el Gobierno Nacional (y también de otras aplicaciones similares utilizadas por distintos gobiernos provinciales, de distinto signo político).Estos interrogantes han generado debates en los que, por un lado, se advierte una lógica resistencia a la posibilidad de que el Estado monitoree los movimientos de los individuos, con la invasión a la privacidad que ello supone. Por otro, se contrapone que esta posición constituye un obstáculo para combatir los efectos de la grave pandemia actual mediante el uso de la tecnología. Y, paradójicamente, ambas posturas parecen lógicas.
El tratamiento gubernamental de datos personales –sin consentimiento del titular del dato- con fines de interés público en situaciones excepcionales y/o de emergencia como la actual pandemia, se encuentra previsto en la regulación de datos personales. Veamos:
Contexto Normativo Actual en Europa
A nivel europeo, el Reglamento General de Protección de Datos 679/2016 de la Unión Europea (“GDPR” por sus siglas en inglés), probablemente la regulación más avanzada en materia de protección de datos personales, contiene varias prescripciones que facultan a los Gobiernos a recolectar datos de salud con finalidades como las aquí descriptas (i.e. combatir los efectos de una pandemia). Entre tales disposiciones se encuentran el considerando 46, y los arts. 6.1.(b), 6.1.(c), 6.1.(d), 6.1.(e) y 9.2, que prevén la facultad de las autoridades de procesar datos personales sin consentimiento de los titulares de los mismos “por motivos importantes de interés público…como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación”…“para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento;”…cuando “el tratamiento es necesario por razones de interés público en el ámbito de la salud pública, como la protección frente a amenazas transfronterizas graves para la salud, o para garantizar elevados niveles de calidad y de seguridad de la asistencia sanitaria”.
Aplicando esta normativa al actual contexto pandémico, la Agencia Española de Protección de Datos (AEPD), una de las más prestigiosas de Europa, recientemente emitió un informe con referencia explícitas a la implementación de los artículos de GDPR antes citados en el marco de la lucha contra el Coronavirus. En dicho informe, la AEPD sostiene: “El RGPD permite el tratamiento de datos personales de salud sin consentimiento del interesado en situaciones de interés público en el ámbito de la salud pública…en situaciones en las que existe una emergencia sanitaria de alcance general…En consecuencia, la protección de datos no debería utilizarse para obstaculizar o limitar la efectividad de las medidas que adopten las autoridades, especialmente las sanitarias, en la lucha contra la pandemia.”
Marco Regulatorio en Argentina
El criterio general antes expuesto también tiene su correlato legislativo en nuestro país. Nuestra ley 25.326 de Protección de Datos Personales determina el consentimiento del interesado como principio básico para el tratamiento de datos personales. Una de las diversas excepciones a este principio se encuentra en el art. 5.2.(b), en cuanto dispone que “No será necesario el consentimiento cuando:…(los datos) se recaben para el ejercicio de funciones propias de los poderes del Estado o en virtud de una obligación legal”. Por su parte, el art. 11 del mismo cuerpo normativo dispone que “El consentimiento (para la cesión de datos personales) no es exigido cuando: a) Así lo disponga una ley;…d) Se trate de datos personales relativos a la salud, y sea necesario por razones de salud pública, de emergencia o para la realización de estudios epidemiológicos, en tanto se preserve la identidad de los titulares de los datos mediante mecanismos de disociación adecuados”.
Para aplicar las normas genéricas a la actual situación específica de Coronavirus en Argentina, la Agencia de Acceso a la Información Pública (“AAIP”, órgano de aplicación de la Ley 25.326 y que tiene bajo su órbita a la Dirección Nacional de Protección de Datos Personales) con fecha 11/03/2020 emitió una guía titulada “Tratamiento de datos personales ante el Coronavirus”. Entre otros puntos, dicha guía dispone que “El Ministerio de Salud de la Nación y los ministerios provinciales se encuentran facultados a requerir, recolectar, cederse entre sí o procesar de cualquier otro modo información de salud sin consentimiento de los pacientes, conforme a las competencias explícitas e implícitas que les hayan sido conferidas por ley (art. 5, inc. 2 b y art. 11, inc. 3 b - Ley 25.326)”.
Más aún, ante la proliferación de aplicaciones de software de seguimiento y geolocalización por parte de diversos gobiernos, incluyendo gobiernos de varias provincias e incluso municipios de Argentina, con fecha 29 de Abril de 2020 –la AAIP emitió un comunicado oficial con “principios fundamentales de la regulación vigente en materia de protección de datos que se aplican al uso de herramientas de geolocalización y tracking”. El listado de principios comienza diciendo expresamente que la Ley 25.326 “no prohíbe el monitoreo de la ubicación de las personas, pero las medidas de tratamiento de datos que se implementen deben realizarse respetando el derecho humano a la privacidad de las personas.” Después de definir los “datos de ubicación” y explicar que los mismos “pueden inferirse por GPS, torres de celdas (operadores de telefonía móvil) o redes wifi” y pueden estar en poder de distintos prestadores de servicios de telecomunicaciones, internet y IT, se establece que “los organismos estatales estarán autorizados a realizar el monitoreo siempre y cuando lo hagan en el ámbito de su competencia específica.”. Más aún, la AAIP dispone allí que “para la cesión de datos referidos a la ubicación de una persona y/o sus desplazamientos entre organismos públicos, no se requiere el consentimiento del titular de los datos en la medida en que el cedente haya obtenido los datos en ejercicio de sus funciones, el cesionario utilice los datos pretendidos para una finalidad que se encuentre dentro del marco de su competencia y, por último, los datos involucrados sean adecuados y no excedan el límite de lo necesario en relación a esta última finalidad”. Entre varios criterios, se dispone que “Los datos deben ser destruidos cuando hayan dejado de ser necesarios…Cuando el monitoreo haya sido revocado por el titular de datos o cuando su finalidad haya sido cumplida, por ejemplo, porque la pandemia del coronavirus COVID-19 llegó a su conclusión, los datos deben eliminarse”.
La normativa sobre datos personales antes citada debe encuadrarse en el marco normativo sobre Coronavirus, que tienen como pilares los Decretos de necesidad y urgencia que otorgan amplias facultades al Poder Ejecutivo Nacional para combatir la pandemia. Así, el Decreto PEN 260/2020, que autoriza al Ministerio de Salud a “adoptar cualquier otra medida que resulte necesaria a fin de mitigar los efectos de la pandemia declarada por la Organización Mundial de la Salud”. La misma norma encomienda a la Jefatura de Gabinete de Ministros la “coordinación con las distintas jurisdicciones y organismos del Sector Público Nacional, la implementación de las acciones y políticas para el adecuado cumplimiento de las recomendaciones que disponga la autoridad sanitaria nacional, en el marco de la emergencia y de la situación epidemiológica”; e instituye a dicho organismo como coordinadora de la “Unidad de Coordinación General del Plan Integral para la Prevención de Eventos de Salud Pública de Importancia Internacional”. El Decreto PEN 297/2020, establece que “el Ministerio de Seguridad dispondrá controles permanentes en rutas, vías y espacios públicos, accesos...para garantizar el cumplimiento del “aislamiento social, preventivo y obligatorio”, de las normas vigentes dispuestas en el marco de la emergencia sanitaria”. En tanto que el Decreto PEN 355/2020 -de orden público- establece que “Las autoridades de las jurisdicciones y organismos del sector público nacional en coordinación con sus pares de las jurisdicciones Provinciales, de la Ciudad Autónoma de Buenos Aires y las autoridades Municipales, cada uno en el ámbito de sus competencias, dispondrán los procedimientos de fiscalización necesarios para garantizar el cumplimiento del aislamiento social, preventivo y obligatorio, de los protocolos vigentes y de las normas dispuestas en el marco de la emergencia sanitaria y de sus normas complementarias”.
Entre las normas nacionales de jerarquía inferior, la Decisión Administrativa 431/2020 JGM dispone que todas las entidades del Sector Público "deberán transferir, ceder, o intercambiar entre sí y bajo la supervisión de la “Unidad de Coordinación General del Plan Integral para la Prevención de Eventos de Salud Pública de Importancia Internacional” los datos e información que, por sus competencias, obren en sus archivos, registros, bases, o bancos de datos , con el único fin de realizar acciones útiles para la protección de la salud pública" tendientes a combatir la pandemia. Lo anterior deberá realizarse "observando en todo momento las previsiones existentes en materia de protección de datos personales y sensibles conforme lo establece la Ley N° 25.326, no pudiendo ser divulgados, transmitidos, cedidos ni difundidos por fuera de los órganos" del Sector Público antes aludido.
Por último, cabe recordar que la Decisión Administrativa JGM 432/2020 y la Disposición 1771/2020 DNM ya habían establecido –con términos poco claros- la obligatoriedad de uso de la App denominada entonces "COVID 19 - Ministerio de Salud" (ahora denominada “Cuid.AR”) para quienes –en el momento en que ello era posible aun- ingresaran al país, por al menos 14 días de su ingreso. Esta app tiene geolocalización del usuario y recolecta numerosos datos de salud del mismo. La Disposición 3/2020 de la Subsecretaría de Gobierno Abierto y País Digital de la JGM crea la base de datos recolectados por la aplicación antes referida “con la finalidad de centralizar los datos recabados por la Aplicación”. En el Anexo de la misma se aclara que “Los datos son proporcionados directamente por los usuarios de la APP COVID 19- Ministerio de Salud, con excepción de la información relativa a la georeferenciación, que son obtenidos en forma automática desde sus dispositivos móviles.”
Reflexiones
Es indiscutible el riesgo grande que implica el hecho de que el gobierno pueda saber en todo momento dónde me encuentro. También lo es el hecho de que esa geolocalización pretende ser implementada en el marco de una situación de emergencia global sin precedentes, como uno de los remedios para controlar la expansión de la pandemia. Por eso debería implementarse como una medida excepcional, transitoria, con el único propósito de implementar acciones tendientes a la mitigación de los efectos de la pandemia, transcurrida la cual los datos deberían serán eliminados, cumpliéndose así los principios de finalidad, minimización, legalidad, adecuación y pertinencia que rigen el tratamiento de datos personales bajo la Ley 25.326.
Voces autorizadas de doctrina han postulado que los datos de geolocalización a ser usados por el gobierno deberían ser recolectados de forma disociada y/o únicamente con el consentimiento de los titulares de los datos; y así también lo han afirmado los máximos organismos europeos de datos personales (i.e. “Guidelines 04/2020 on the use of location data and contact tracing tools in the context of the COVID-19 outbreak” publicada el 21/4/2020 por la European Data Protection Board). Este argumento es atendible, tanto como el hecho que es potestativo de los gobernantes determinar la oportunidad, mérito, conveniencia y justificación de motivos para hacer un seguimiento individualizado de los ciudadanos en el contexto pandemiológico actual.
Personalmente creo que, en el contexto actual y con el marco normativo existente, es lícito que el gobierno pueda tratar datos de geolocalización de los ciudadanos, de modo temporal, con finalidad y datos acotados a procurar mitigar los efectos de la pandemia. ¿Cómo podemos pretender que las autoridades solucionen un problema de salud (la pandemia) si impedimos que procesen datos de salud? Se trata de un remedio excepcional para una situación excepcional, que –como vimos- tiene ya sustento normativo.
Consideremos la cuestión en la coyuntura de crisis mundial a la que estamos asistiendo, en la que se encuentran suspendidos o sumamente restringidos derechos elementales como trabajar o circular libremente. Analizar jurídicamente la viabilidad de la geolocalización a ciudadanos como si estuviésemos en tiempos normales y la pandemia no hubiese ocurrido constituye, en mi opinión, un grueso error de perspectiva. Algo similar sucede con las objeciones fundadas en los usos indebidos y/o posteriores a la terminación de la pandemia que el gobierno pueda efectuar con los datos de geolocalización. Es que oponerse a un uso legítimo real de datos personales por el uso ilegítimo potencial que de ellos pueda hacerse invalida cualquier análisis.
Siempre es fructífera la pluralidad de opiniones doctrinarias, máxime en una cuestión tan novedosa y controvertida como esta, con ribetes jurídicos e incluso filosóficos. La diversidad de criterios nos obliga a revisar y repensar constantemente nuestras posturas y eso es lo que, en definitiva, redunda en el crecimiento de esta área del derecho. En ese marco, creo que quienes nos dedicamos al derecho de la privacidad, tenemos el deber de analizarlo e interpretarlo integrado junto con otras áreas jurídicas. Considerar las cuestiones que involucran privacidad únicamente desde la ‘burbuja’ de las normas específicas de nuestra materia, probablemente nos conduzca a resultados disvaliosos y –como toda burbuja- apartados de la realidad.
Artículos
GUYER & REGULES
opinión
ver todosKabas & Martorell
PASBBA
NORDELTA S.A.