¿Cómo se aplica la Ley de Protección de Datos Personales al tratamiento de datos de geolocalización?

10220

Sumario: 1. Introducción, 2. Los datos de geolocalización como datos personales, 3. Principios rectores del tratamiento de datos personales, 4. El derecho/deber de información y la tutela de los derechos de los titulares de los datos de geolocalización, 5. Conclusiones.


1. Introducción

El pasado 18 de abril, la Autoridad Nacional de Protección de Datos Personales emitió una nota de prensa en la que señala su competencia para fiscalizar el tratamiento que se realice sobre los datos personales de quienes llamen a las centrales telefónicas de emergencia de Essalud y del Ministerio de Salud para reportar síntomas del Covid-19, haciendo énfasis en los datos de geolocalización de los teléfonos móviles utilizados por las sospechosas o confirmadas víctimas de dicha enfermedad, cuyo uso se tiene previsto en el artículo 3 del Decreto Supremo 070-2020-PCM.

No resulta familiar para muchos el término “geolocalización”, así como no es relacionable con el concepto de datos personales, a simple vista. Por ello, en el presente artículo se pretende aclarar la naturaleza de la geolocalización como dato personal, la sujeción de su tratamiento a la Ley 29733, Ley de Protección de Datos Personales (LPDP) y a sus pautas de adecuación.

2. Los datos de geolocalización como datos personales

El artículo 2 de la LPDP, en su numeral 4, define de forma general al dato personal como “información sobre una persona natural que la identifica o la hace identificable a través de medios que pueden ser razonablemente utilizados”, debiendo entenderse como información que por estar vinculada únicamente con una persona, permite identificarla plenamente, como sucede con el número de DNI, el cual es asignado a un solo individuo. Asimismo, el concepto abarca la información que, sin tener un grado tan alto de vinculación con la persona, informa sobre ella, dando alcances acerca de sus actividades, hábitos, estilo de vida, preferencias y, especialmente, su ubicación física.

Dicha definición se complementa con el numeral 4 del artículo 2 del reglamento de la LPDP, aprobado por Decreto Supremo 003-2013-JUS (RLPDP), en el que se señalan algunos tipos de información que pueden constituirse como datos personales: “Información numérica, alfabética, gráfica, fotográfica, acústica, sobre hábitos personales, o de cualquier otro tipo concerniente a las personas naturales que las identifica o las hace identificables a través de medios que puedan ser razonablemente utilizados”.

De tales normas, se desprende la vocación omnicomprensiva del concepto de dato personal, como elemento que brinda información sobre una persona específica que contribuye a su individualización, siempre que esta se efectúe por medios razonables, vale decir, que no se recurra medios excesivos en su cantidad, en su complejidad y/o en el lapso que pueda tomar la identificación.

Ahora bien, los datos de geolocalización deben entenderse como datos que, por sí mismos o correlacionados con otros datos, pueden informar sobre la posición en el espacio de la persona con la cual se vinculan en un determinado momento, lo cual permite trazar un perfil de su desplazamiento[1] cuando se conjugan con alcances sobre la posición de la misma persona en momentos posteriores. En nuestro caso, los datos de geolocalización se pueden obtener del teléfono móvil utilizado para reportar los síntomas (en su ubicación actual y en sus movimientos anteriores), información que se vinculará con la persona que se identifica en la llamada, con lo cual se constituye como dato personal.

Entonces, resulta aplicable al dato de geolocalización el concepto de “tratamiento de datos personales”, que abarca operaciones aisladas como la correlación de operaciones encaminadas a obtener un producto informativo determinado. El numeral 19 del artículo 2 de la LPDP ofrece una lista enunciativa de acciones que constituyen tratamiento, entre las cuales se encuentra la correlación con otras fuentes y datos[2].

Por consiguiente, las disposiciones de la LPDP son aplicables al tratamiento de los datos de geolocalización efectuado por las entidades mencionadas, debiendo seguir los parámetros establecidos en dicha ley y su reglamento.

3. Principios rectores del tratamiento de los datos personales

La LPDP establece ciertas pautas generales a las que debe ajustarse toda actividad o proceso de tratamiento de datos personales a través de sus principios rectores[3], los que a su vez sirven como raíces de sus disposiciones específicas y de su complemento reglamentario.

Dicha ley establece como pauta inicial a cumplir el principio de legalidad de su artículo 4[4], por el cual se exige que el tratamiento sea concordante con el ordenamiento jurídico peruano, vale decir, tanto con el resto de normas que rigen en nuestro territorio y, por otro lado, con lo regulado en la misma LPDP.

Respecto de la concordancia con la normativa general, es preciso señalar que el Decreto Supremo que habilita el uso de los datos de geolocalización, es emitido en el marco del Estado de Emergencia declarado por medio del Decreto Supremo 044-2020-PCM y sigue las disposiciones de la Ley 26842, Ley General de Salud (LGS)[5], referidas a la protección de la salud pública, la misma que se tiene como un bien constitucionalmente protegido de acuerdo con el artículo 7 de la Constitución, relacionado con el derecho fundamental a la integridad moral, psíquica y física de las personas, establecido en el 1 de su artículo 2[6].

Para verificar la legalidad del tratamiento de datos personales, es preciso comenzar con el primer elemento legitimador que le otorga la LPDP: El consentimiento, según su artículo 5[7], o si existe una situación de mayor fuerza legitimadora y por tal motivo, sea una excepción al requisito de obtener el consentimiento de las personas para dar tratamiento a sus datos personales, como los de geolocalización. En nuestro caso, corresponde examinar ciertos supuesto de legitimación del artículo 14 de dicha ley, que constituyen tales excepciones, presentes en los numerales 1 y 6[8].

El primer caso resulta más claro y general: Se exime de la obtención obligatoria del consentimiento para el tratamiento por el cumplimiento de las competencias otorgadas a las entidades responsables. En este caso, se tiene establecida la competencia del Ministerio de Salud, en su calidad de Autoridad Nacional de Salud de acuerdo con la LGS, mientras que para el caso de Essalud, esta competencia deriva de su labor de prestaciones de prevención, promoción y recuperación en salud prevista en el artículo 3 de la Ley 27056, Ley de Creación del Seguro Social en Salud[9]. Son estas normas legales las que sustentan la asignación de funciones específicas por medio de normas de rango inferior, como los decretos supremos.

El caso del numeral 6 del artículo 14, ha sido estudiado de manera pormenorizada en este artículo; sin embargo, no es banal puntualizar ciertos aspectos, como la concepción de la superioridad de un bien constitucionalmente protegido como la salud traducida en la flexibilización del derecho fundamental a la protección de datos personales, a través de la prescindencia de la voluntad de la persona para permitir o restringir el tratamiento de sus datos de geolocalización, en el escenario de emergencia nacional conocido.

Ahora bien, existen otros requisitos de adecuación del tratamiento de datos personales que se evalúan de forma posterior a la obtención consentida y lícita de los mismos, los cuales son establecidos a través de los artículos 6, 7 y 8 de la LPDP[10], en los que se tienen previstos los principios de finalidad, proporcionalidad y calidad, los cuales también deben evaluarse correlativamente, puesto que de acuerdo con el resultado de la evaluación de uno, se puede evaluar si se cumple también el siguiente.

En tal sentido, el cumplimiento del principio de finalidad implica el establecimiento de una finalidad determinada, lícita y explícita, lo cual significa que el tratamiento debe procurar alcanzar una meta acorde con el derecho, que se encuentre claramente establecida e informada al titular de los datos personales. En el caso del tratamiento de los datos de geolocalización de los sospechosos o infectados con el covid-19, el decreto supremo correspondiente explica el objetivo de su tratamiento (ubicación de posibles o efectivos casos, así como la prevención de contagio), enmarcado en las disposiciones derivadas de la declaratoria de emergencia nacional mencionada, con lo cual cumple con el principio.

De acuerdo con la finalidad lícita reconocida, se puede determinar qué datos personales y qué acciones de tratamiento son necesario y cuáles no. Así, el principio de proporcionalidad requiere que el responsable del tratamiento realice solo la mínima cantidad acciones de tratamiento necesarios, únicamente sobre los datos personales que sean adecuados y relevantes, evitando el despliegue de acciones de tratamiento excesivas para alcanzar la finalidad y una vez extinta la necesidad, evitando también retener datos inútiles.

En concordancia con ello, el principio de calidad impone al responsable del tratamiento el adoptar medidas para conservar la adecuación y relevancia del tratamiento, refiriéndose específicamente a los datos personales a tratar, al disponer que estos deben conservarse actualizados, veraces y adecuados para alcanzar la finalidad, evitando realizar actividades de tratamiento posteriores a ello.

En observancia de tales principios, es que debe pensarse en la limitación del tratamiento de los datos personales de los sospechosos o infectados, una vez concluidas las acciones de prevención y tratamiento en la pandemia, adoptando medidas como la eliminación de los datos de geolocalización cuando estos pacientes ya no representen peligro, o la anonimización de sus registros en el sistema correspondiente, sin perjuicio de los datos específicos de salud, que deben añadirse a las historias clínicas correspondientes.

Habiendo mencionado el sistema por medio del cual se efectúa el tratamiento de los datos personales de los sujetos mencionados, así como las historias clínicas, debe revisarse el principio de seguridad del artículo 9 de la LPDP, en virtud del cual los responsables del tratamiento están obligados a implementar las medidas de seguridad organizativas, legales y técnicas necesarias para mantener la confidencialidad, integridad y disponibilidad de aquellos datos, siguiendo lo pormenorizado en este artículo.

4. El derecho/deber de información y la tutela de los derechos de los titulares de los datos de geolocalización

Si bien no se encuentra incluido como un principio rector de la LPDP, este deber/derecho establecido en su artículo 18[11], impone prerrequisitos necesarios para emprender acciones de tratamiento y, sobretodo, para el ejercicio de los derechos por parte del titular de los datos personales, cobrando un grado de relevancia similar al de los otros principios.

En el caso de los datos personales de estos pacientes, incluyendo los de geolocalización, ya se ha evidenciado que en algún momento estos requerirán de su actualización o bien de su supresión en el sistema en el que son almacenados (ello, aparte del tratamiento en la respectiva historia clínica, que está fuera de este caso), solicitando la tutela de derechos como el de información, acceso o cancelación, a través de los procedimientos ARCO establecidos en el RLPDP.

Sin embargo, en caso de que este titular en ningún momento tenga a disposición información de los pormenores mencionados en el mencionado artículo 18, como el canal o modalidad de solicitud de tutela, la identidad y domicilio del responsable, entre otros factores, se verá impedido de ejercer sus derechos. Dicha situación es algo que debe evaluarse para disponer la implementación de dicha información y, en caso de que no se establezcan procedimientos para el cese del tratamiento, los canales de atención de las solicitudes de tutela.

Debe entenderse que la restricción del derecho a la protección de datos personales no es absoluta, sino que se da sobre algunos de sus componentes por un período limitado, el relacionado con el estado de emergencia nacional, no debiendo olvidar que en un momento posterior, se repondrá la plena prevalencia de tal derecho.

5. Conclusiones

Al estar vinculados a una persona específica, los datos de geolocalización son datos personales, por lo que su tratamiento se somete a las disposiciones de la LPDP y del RLPDP. Dichas disposiciones, encuentran limitaciones por la prevalencia de bienes constitucionalmente protegidos como la salud pública, que también tiene desarrollo en la LGS, y que en el estado de emergencia nacional declarado a través del Decreto Supremo 044-2020-PCM, prevalecen sobre el derecho fundamental a la protección de datos personales.

La ponderación de ambos bienes, así como el cumplimiento de ciertos requisitos, lleva a limitar el mencionado derecho fundamental, al eximirse a las entidades responsables del tratamiento de datos personales como los de geolocalización de obtener el consentimiento para efectuarlo. Ello no impide la aplicación de otros principios rectores de la LPDP sobre el mencionado tratamiento, ni mucho menos enerva otros derechos de los titulares de los datos personales, como la información, ni el ejercicio, en un momento oportuno, de derechos como la cancelación de los datos personales.

 


[1] Pérez Gil, Julio. “Los datos sobre localización geográfica en la investigación penal”. En Pedraz Penalva, Ernesto (coord.). Protección de datos y proceso penal. Madrid: La Ley, 2010, p. 310.

[2] Ley 29733, Ley de Protección de Datos Personales

“Artículo 2. Definiciones

Para todos los efectos de la presente Ley, se entiende por:

(…)

  1. Tratamiento de datos personales. Cualquier operación o procedimiento técnico, automatizado o no, que permite la recopilación, registro, organización, almacenamiento, conservación, elaboración, modificación, extracción, consulta, utilización, bloqueo, supresión, comunicación por transferencia o por difusión o cualquier otra forma de procesamiento que facilite el acceso, correlación o interconexión de los datos personales.”

[3] Zamudio Salinas, María de Lourdes. “El marco normativo latinoamericano y la ley de protección de datos personales del Perú”. En Revista Internacional de Protección de Datos Personales, num. 1, Julio-Diciembre 2012. Bogotá: Universidad de los Andes, 2012, pág.45.

[4] Ley 29733, Ley de Protección de Datos Personales

“Artículo 4. Principio de legalidad

El tratamiento de los datos personales se hace conforme a lo establecido en la ley. Se prohíbe la recopilación de los datos personales por medios fraudulentos, desleales o ilícitos.

Artículo 5. Principio de consentimiento

Para el tratamiento de los datos personales debe mediar el consentimiento de su titular.”

[5] Ley N° 26842, Ley General de Salud

“TÍTULO PRELIMINAR

(…)

  1. La protección de la salud es de interés público. Por tanto, es responsabilidad del Estado regularla, vigilarla y promoverla.

(…)

  1. La salud pública es responsabilidad primaria del Estado. La responsabilidad en materia de salud individual es compartida por el individuo, la sociedad y el Estado.”

[6] Constitución Política del Perú

“Artículo 2. Toda persona tiene derecho:

  1. A la vida, a su identidad, a su integridad moral, psíquica y física y a su libre desarrollo y bienestar. El concebido es sujeto de derecho en todo cuanto le favorece.

Artículo 7. Todos tienen derecho a la protección de su salud, la del medio familiar y la de la comunidad así como el deber de contribuir a su promoción y defensa. La persona incapacitada para velar por sí misma a causa de una deficiencia física o mental tiene derecho al respeto de su dignidad y a un régimen legal de protección, atención, readaptación y seguridad.”

[7] Ley 29733, Ley de Protección de Datos Personales

“Artículo 4. Principio de legalidad

El tratamiento de los datos personales se hace conforme a lo establecido en la ley. Se prohíbe la recopilación de los datos personales por medios fraudulentos, desleales o ilícitos.

Artículo 5. Principio de consentimiento

Para el tratamiento de los datos personales debe mediar el consentimiento de su titular.”

[8] Ley N° 29733, Ley de Protección de Datos Personales

“Artículo 14. Limitaciones al consentimiento para el tratamiento de datos personales

No se requiere el consentimiento del titular de datos personales, para los efectos de su tratamiento, en los siguientes casos:

  • Cuando los datos personales se recopilen o transfieran para el ejercicio de las funciones de las entidades públicas en el ámbito de sus competencias.

(…)

  1. Cuando se trate de datos personales relativos a la salud y sea necesario, en circunstancia de riesgo, para la prevención, diagnóstico y tratamiento médico o quirúrgico del titular, siempre que dicho tratamiento sea realizado en establecimientos de salud o por profesionales en ciencias de la salud, observando el secreto profesional; o cuando medien razones de interés público previstas por ley o cuando deban tratarse por razones de salud pública, ambas razones deben ser calificadas como tales por el Ministerio de Salud; o para la realización de estudios epidemiológicos o análogos, en tanto se apliquen procedimientos de disociación adecuados.”

[9] Ley 27056, Ley de Creación del Seguro Social de Salud

“Artículo 3. Prestaciones

3.1 Las prestaciones que otorga el Seguro Social de Salud (ESSALUD) son de prevención, promoción y recuperación de la salud, maternidad, prestaciones de bienestar y promoción social, prestaciones económicas así como programas de extensión social y planes de salud especiales a favor de la población no asegurada y de escasos recursos y otras prestaciones derivadas de los seguros de riesgos humanos que ofrezca ESSALUD dentro del régimen de libre contratación.

3.2 Las prestaciones de prevención y promoción de la salud comprenden la educación para la salud, evaluación y control de riesgos e inmunizaciones.”

[10] Ley 29733, Ley de Protección de Datos Personales

“Artículo 6. Principio de finalidad

Los datos personales deben ser recopilados para una finalidad determinada, explícita y lícita. El tratamiento de los datos personales no debe extenderse a otra finalidad que no haya sido la establecida de manera inequívoca como tal al momento de su recopilación, excluyendo los casos de actividades de valor histórico, estadístico o científico cuando se utilice un procedimiento de disociación o anonimización.

Artículo 7. Principio de proporcionalidad

Todo tratamiento de datos personales debe ser adecuado, relevante y no excesivo a la finalidad para la que estos hubiesen sido recopilados.

Artículo 8. Principio de calidad

Los datos personales que vayan a ser tratados deben ser veraces, exactos y, en la medida de lo posible, actualizados, necesarios, pertinentes y adecuados respecto de la finalidad para la que fueron recopilados. Deben conservarse de forma tal que se garantice su seguridad y solo por el tiempo necesario para cumplir con la finalidad del tratamiento.”

[11] Ley 29733, Ley de Protección de Datos Personales

“Artículo 18. Derecho de información del titular de datos personales

El titular de datos personales tiene derecho a ser informado en forma detallada, sencilla, expresa, inequívoca y de manera previa a su recopilación, sobre la finalidad para la que sus datos personales serán tratados; quiénes son o pueden ser sus destinatarios, la existencia del banco de datos en que se almacenarán, así como la identidad y domicilio de su titular y, de ser el caso, del o de los encargados del tratamiento de sus datos personales; el carácter obligatorio o facultativo de sus respuestas al cuestionario que se le proponga, en especial en cuanto a los datos sensibles; la transferencia de los datos personales; las consecuencias de proporcionar sus datos personales y de su negativa a hacerlo; el tiempo durante el cual se conserven sus datos personales; y la posibilidad de ejercer los derechos que la ley le concede y los medios previstos para ello.

Si los datos personales son recogidos en línea a través de redes de comunicaciones electrónicas, las obligaciones del presente artículo pueden satisfacerse mediante la publicación de políticas de privacidad, las que deben ser fácilmente accesibles e identificables.

(…)”

Comentarios:
Abogado y magíster en Derecho de la Propiedad Intelectual y Derecho de la Competencia por la Pontificia Universidad Católica del Perú. Especializado en Derecho Administrativo por la Universidad de Salamanca (España); y en Protección de Datos Personales por el Institute of Audit & IT-Governance así como por la Fundación CEDDET y la Agencia Española de Protección de Datos Estudios de especialización en Derecho Corporativo y Fintech por la Universidad ESAN Estudios de Gestión de Negocios y Supply Chain por la Universidad Pontificia Comillas (España).