La Ley General de Protección de Datos en Brasil (Ley Nº 13.709/18 o LGPD, por sus siglas) es objeto de una amplia discusión porque sus obligaciones se consideran complejas de interpretar y costosas de implementar. Las reglas introducidas son aún más estrictas para el tratamiento de una categoría especial denominada «datos sensibles», de uso común en el sector de la salud. Se trata de datos de origen racial o étnico, convicciones religiosas, opinión política, pertenencia a un sindicato u organización de carácter religioso, filosófico o político, datos relacionados con la salud o la vida sexual, y datos genéticos o biométricos, cuando estén vinculados a una persona física. De esta definición podemos inferir que la intención del legislador era proteger los datos que pudieran conducir a la discriminación de un individuo.
El sector de la salud está conformado por una cadena de diferentes actores. Entre ellos se encuentran hospitales, clínicas médicas, proveedores, distribuidores o administradores de seguros de salud, entre otras organizaciones. Todos estos actores del sector de la salud están involucrados en el tratamiento de datos personales sensibles, con el fin de brindar sus servicios a los clientes.
Para que los datos personales puedan ser utilizados, la LGPD establece las denominadas «bases legales», es decir, justificaciones que otorgan permiso para utilizar datos personales y datos personales sensibles. Los datos de salud, como se ha dicho previamente, se consideran sensibles y, por lo tanto, tienen una restricción en cuanto a las situaciones en las que pueden ser utilizados. Entre las diez bases legales previstas para el tratamiento de datos de salud, se ha excluido la posibilidad de utilizar supuestos como el del interés legítimo, quedando, por tanto, únicamente las siguientes bases legales previstas por el artículo 11 de la LGPD: (i) el consentimiento del titular, de manera específica y destacada, para fines específicos; (ii) el cumplimiento de una obligación legal o reglamentaria por parte del responsable del tratamiento; (iii) el ejercicio regular de los derechos, incluso en los procedimientos contractuales y judiciales, administrativos y arbitrales; (iv) la protección de la vida o seguridad física del titular o de un tercero; (v) garantía de prevención del fraude y seguridad del titular, en los procesos de identificación y autenticación del registro en sistemas electrónicos; entre otros que pueden ser ejercidos por la administración pública, institutos de investigación y profesionales de la salud.
Dado lo anterior, la LGPD resulta ser un desafío para el sector de la salud, ya que garantiza la posibilidad de tratarlos datos necesarios para la prestación de los servicios, pero no brinda una respuesta clara a cómo las organizaciones pueden utilizar estos datos para otras actividades, como los desarrollados en marketing de la salud e inteligencia de mercado y promoción de las actividades del controlador. De hecho, las bases legales ii, iii, iv y v mencionadas anteriormente no parecen aplicables a este propósito, ya que no existe una norma que exija el tratamiento de datos; ni un derecho claro a este respecto a ejercer en un contrato o en procedimientos judiciales, administrativos o de arbitraje; ni la necesidad de proteger la vida o la salud del titular; o, incluso, el propósito de identificación en un sistema electrónico para autenticación o prevención de fraude.
Por lo tanto, solo queda la base legal del consentimiento. Sin embargo, el consentimiento tiene varios requisitos impuestos por la LGPD, como la necesidad de una expresión libre, informada e inequívoca, así como específica y resaltada en el caso de datos sensibles. Por tanto, es una base difícil de gestionar, teniendo en cuenta también que el interesado puede oponerse al tratamiento de los datos y revocar el consentimiento prestado en cualquier momento, de conformidad con el artículo 18, que trata de los derechos de los interesados y que a menudo podría hacerlo imposible para realizar actividades de marketing en salud e inteligencia de mercado. En este sentido, la retirada del consentimiento por parte del titular podría hacer inviable un análisis preciso y útil para el sector sanitario del controlador.
Para hacer frente a estos obstáculos, en un primer análisis, sería recomendable realizar una anonimización—proceso en el que los datos pierden la posibilidad de asociación con un particular—de los datos personales utilizados en el desempeño de las actividades de inteligencia de mercado. Sin embargo, en varias de estas operaciones, se produce un tratamiento de datos personales en alguna etapa del proceso, lo que hace inviable esta recomendación. Este es el caso de las actividades que utilizan Big Data e IA (inteligencia artificial), que utilizan diferentes conjuntos de datos, que difícilmente pueden considerarse anonimizados dada su comprensión y alcance. De la misma manera, la precisión de los resultados de estas actividades se puede perder, pues en estos casos existe un trade-off entre privacidad y precisión de los resultados.
Es aún más complejo determinar qué tipos de datos se pueden o no considerar sensibles. Un ejemplo para ilustrar esta encrucijada es el uso de una aplicación de gestión de dispositivos para tratar una enfermedad. Si el controlador tiene la intención de monitorear la interacción de los titulares con la aplicación para comprender la frecuencia y las preferencias de uso de estas personas, la pregunta sigue siendo si se están procesando datos sensibles. En principio sí, ya que en este contexto es posible inferir que los interesados que utilizan la aplicación son portadores de la enfermedad para la que se proporciona el tratamiento.
Por otro lado, de esta situación podemos sacar una posible solución al desafío, que necesita regulación adicional. En este sentido, en primer lugar, cabe preguntarse si el legislador tenía la intención de hacer inviable el tratamiento de datos para promocionar las actividades de los responsables del tratamiento. Esta hipótesis no parece probable dada la importancia de estas actividades para toda organización en la actualidad.
Por tanto, cabe preguntarse si sería posible relajar los supuestos en los que los datos obtenidos en el contexto de una interacción entre un paciente y una organización del sector sanitario deberían considerarse datos sensibles. En este caso, para mitigar los riesgos de una posible asociación del usuario de la aplicación con una condición de salud específica, sería posible implementar medidas de seguridad adicionales considerando el contexto de interacción con el propietario.
Otra posibilidad sería interpretar este tipo de operación como un derecho a ejercer por parte del responsable del tratamiento, dentro de la base legal mencionada en el supuesto iii (el ejercicio regular de derechos). Sin embargo, esta situación necesitaría de una mayor regulación para comprender qué interpretación se debe dar a esta disposición. Esto se debe a que, si bien esta operación de tratamiento para inteligencia de mercado estaría descrita en las Condiciones de Uso de la aplicación aceptadas por el titular, no se trata de datos necesarios para cumplir con el objeto del contrato, que es la provisión de la aplicación. Por tanto, sería necesario comprender el alcance de esta base jurídica.
Con ello, se espera que, a partir de la maduración del debate sobre la necesidad de compatibilizar la LGPD con la normativa sectorial y particularidades del sector, se produzca una consecuente regulación de las bases legales de la LGPD por parte de las autoridades competentes, con el fin de permitir el tratamiento de datos personales sensibles para actividades como marketing sanitario e inteligencia de mercado.
Photo by Telmo Filho on Unsplash