Han ocurrido varios sucesos en los primeros meses del año que me han hecho pensar y reflexionar sobre la importancia que tiene el reconocer una categoría especial de datos personales, como lo son los datos personales sensibles, entre los que se encuentran los datos de salud.

En el caso de México tanto la Ley General de Protección de Datos Personales en Posesión de Sujetos Obligados (que regula al sector público), como la Ley Federal de Protección de Datos Personales en Posesión de los Particulares (que regula al sector privado), establecen que para su tratamiento se requerirá del consentimiento expreso y por escrito del titular, salvo cuando se esté ante una de las excepciones previstas por cada uno de los cuerpos normativos. En este sentido, ambas leyes contemplan que los datos personales sensibles pueden tratarse sin el consentimiento del titular cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona o en sus bienes o cuando los datos personales sean necesarios para la prevención, diagnóstico y la prestación de asistencia sanitaria. Con lo anterior, es probable que las grandes cantidades de información personal sensible que se están generando alrededor del desafortunado tema COVID-19 encuadren en unas de estas excepciones de tratamiento sin la necesidad del consentimiento del titular.

No obstante lo anterior, es importante que cuando se dé el tratamiento de datos personales, no solo se considere a los principios, deberes y obligaciones contemplados en las leyes de protección de datos, sino también, por ejemplo, a los principios de bioética, como son: la autonomía, beneficencia, no maleficencia y justicia. Es así que pueden darse casos en donde el tratamiento de datos personales se hace conforme a la ley pero que el mismo pudiera resultar contrario a la ética. (Respecto a este tema los días 27 y 28 de febrero el INAI organizó un foro titulado “Bioética, transparencia y protección de datos”, pueden consultar los detalles de los paneles y su contenido en la página del INAI).

Respecto a la forma de recabar consentimiento expreso y por escrito, las leyes de protección de datos establecen que se recabará del titular a través de la firma autógrafa, firma electrónica o cualquier otro mecanismo de autenticación que, al efecto, se establezca. Sin embargo, aun no se tiene claro qué tipo de firma electrónica se requeriría y si pudiera ser la firma electrónica avanzada expedida por el Sistema de Administración Tributaria. Por otro lado, también se desconocen las características que debieran tener los mecanismos de autenticación que se establezcan, por lo que sería bueno contar con una guía de parte de la autoridad garante. Hoy en día es probable que los mecanismos que se implementen para solicitar consentimiento puedan ser adecuados desde el punto de vista del sujeto regulado, ¿pero serán considerados de la misma forma por la autoridad? Sería bueno saberlo a fin de no incurrir en conductas que pudieran parecer contrarias a las leyes de protección de datos.   

Finalmente quisiera cerrar, informándoles de la publicación de dos obras que estoy segura les pueden ser muy útiles. Ellas son: el “Diccionario de Protección de Datos Personales, Conceptos Fundamentales”, el cual pueden consultar aquí, y la “Ley Federal de Protección de Datos Personales en Posesión de los Particulares, Comentada”, que pueden consultar aquí.

Sin más por el momento, esperamos que las notas que se incluyen en el presente les resulten de utilidad. Quedamos a la espera de sus colaboraciones para el siguiente número.

Saludos,
Rosa María