Apuntes sobre los datos personales en épocas de COVID-19

Son muchas las obligaciones que las empresas deben observar mientras se ajustan al nuevo mundo regido por la prevención contra el COVID-19.

Entre los tantos requisitos que se tienen ahora, uno de los más comunes para cuando volvamos a salir son los registros y las declaraciones juradas. Ya sea para ingresar a nuestros centros de trabajo o las oficinas de clientes y proveedores.

En este marco, las empresas no pueden pasar por alto que están recopilando -con el fin de proteger a sus colaboradores- datos personales, específicamente datos sensibles; y el ser poseedor de estos es un privilegio regulado y para el cual debemos tener un permiso específico otorgado por la dirección de Protección de Datos Personales del Ministerio de Justicia.

En el presenta artículo queremos refrescar conceptos básicos que las compañías deben tener presentes y el procedimiento que deben cumplir para la correcta inscripción de estas bases de datos personales que van (si es que no lo vienen haciendo ya) a recopilar. Es importante recalcar que esta obligación se extiende a TODA persona jurídica que recopile, guarde y procese datos personales, es decir, desde el edificio que apunta los datos del DNI del personal de delivery, hasta la compañía minera que registra a cada una de las personas que ingresan a la operación.

Algunos de los conceptos más importantes que debemos manejar hoy en día, ya que probablemente tengamos que dar más información que antes para ingresar a lugares, y quizá nos hagan firmar declaraciones juradas, son los siguientes:

¿Qué es un dato personal? ¿Cómo se califica como sensible?

Un dato personal es toda información por la que se puede identificar a una persona natural. Mientras que los datos sensibles son los datos personales como datos biométricos que por sí mismos pueden identificar al titular de estos, datos referidos al origen racial y étnico, ingresos económicos, opiniones o convicciones políticas, religiosas, filosóficas o morales, o a la vida sexual, afiliación sindical, y los más importante para esta crisis: la información relacionada a la salud.

Toda esta información pertenece exclusivamente a la persona a la cual refieren, y es esta la que tiene total derecho sobre estos. Por ello la norma nos otorga el título de Titular de datos personales, sobre los datos que nos refieren.

¿Qué es un Banco de Datos Personales? ¿Quién es el titular del banco de datos?

La norma peruana define un banco de datos personales es el conjunto organizado de datos personales. Para esta calificación no importa el soporte de almacenamiento, organización o acceso, ya sea este físico o digital.

Es por ello que, todos debemos entender que se trata de un banco de datos personales cuando hablamos de la lista de clientes en el cuaderno de una bodega, de la lista de asistencia de una empresa o la lista de ingresos en la puerta de un edificio residencial.

El titular del banco de datos es la empresa, organización o persona que recopile, organice y trate datos personales. Y es el responsable de garantizar las medidas de protección correspondientes a los datos personales recopilados. Comenzando por la debida inscripción del banco de datos en el Registro Nacional de Protección de Datos Personales.

¿Puedo negarme a dar mis datos?

Sí, en general el mundo de la regulación de los datos personales gira en torno a la proporcionalidad y los derechos de titular de los datos. Si bien son varios los principios y los derechos que regulan los datos personales, por los nuevos escenarios en los que nos vamos a encontrar, queremos enfocarnos en primer lugar en el hecho de que, los datos solicitados deben ser los mínimos indispensables para cumplir el fin para el cual son solicitados y que ante todo, debe mediar el principio de consentimiento, es decir, el titular debe expresar que está de acuerdo en el tratamiento de sus datos personales y conocer el motivo para el que serán recopilados.

Por ejemplo, si se trata de un simple control de visitas a un departamento privado, con los nombres podría ser suficiente (hay casos en que se solicita el N° de DNI). En este caso, claramente pedir datos adicionales como, tipo de sangre, no tendrían sentido.

Se debe tener muy presente que, para el caso de los datos sensibles, la regla es que el consentimiento debe ser por escrito. Pero existen excepciones en las que se faculta a la recopilación y el tratamiento de datos sin consentimiento previo, un ejemplo de ello, son las relaciones laborales y el deber de proteger a los trabajadores.  

¿Qué autoridad es la encargada de la protección de datos personales?

La entidad encargada es el Ministerio de Justicia, a través de la Dirección Nacional de Justicia, es la Autoridad Nacional de Protección de Datos Personales.

Para que la autoridad pueda cumplir sus funciones, se ha creado el Registro Nacional de Protección de Datos Personales, en el cual, quienes manejen bancos de datos, deberán inscribirlos.

Ahora que hemos refrescado algunos conceptos importantes, queda reflexionar sobre lo que va a pasar con los datos personales en general y los datos sensibles en especial a raíz de la crisis COVID-19. Como ya se ha mencionado, es probable que los controles sean más severos y detallados, donde se va a solicitar datos que pueden ir desde el nombre de una persona, hasta pedir que firme una declaración jurada en la que de información de salud.

Y si bien el pedido de esta clase de información puede sentirse como invasivo o innecesario, ante la crisis que se ha generado, las empresas pueden sentirse amparadas en conceptos legales como que se trata de datos necesarios para poder ejecutar las labores (al ser necesarios para ingresar a una planta de trabajo, por ejemplo) profesionales, y también “cuando se trate de datos personales relativos a la salud y sea necesario por motivos de salud pública. Naturalmente esta situación de ser calificada previamente como tal por el Ministerio de Salud (y esperamos que complementariamente por la autoridad laboral). Esto ha sido corroborado por la Autoridad Nacional de Protección de Datos Personales mediante a OPINIÓN CONSULTIVA N° 32-2020-JUS/DGTAIPD, del 05 de mayo de 2020; en la cual corroboran los puntos que hemos expuesto y a su vez, hacen especial énfasis en que, por la necesidad pública puede no pedirse previamente el consentimiento, pero igual, debe existir proporcionalidad entre los datos tratados, el fin para el que son recopilados y siempre bajo el marco de la protección del derecho del titular de los datos.

Es importante que todos sepamos que los controles van a ser más detallados, pero que, así como se nos pueden exigir datos, nosotros podemos exigir que los datos solicitados sean los correspondientes al uso que se les va a dar, y en todo caso podemos negarnos a dar los que no consideremos correspondientes. 

Finalmente, detrás de cada solicitud de datos existe una intención de protección de las personas, y que las entidades que los solicitan tienen la responsabilidad y obligación de tratar los datos correctamente, de lo contrario serán objeto de fuertes sanciones administrativas.