A través de un comunicado, el Instituto Zacatecano de Transparencia, Acceso a la Información y Protección de Datos Personales (IZAI) acordó iniciar de oficio una investigación previa, ante el posible tratamiento indebido de los datos personales del primer paciente en la entidad diagnosticado positivo de COVID-19 (Coronavirus).
La acción acordada por el órgano de transparencia es de acuerdo al artículo 111 de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados del Estado.
Ese artículo establece la facultad del organismo garante para iniciar investigaciones cuando cuente con indicios que hagan presumir fundada y motivada la existencia de violaciones a la Ley en la materia.
Derivado de lo anterior, ya quedaron notificadas las instancias federales y estatales en materia de salud correspondientes, para que informen sobre las medidas de seguridad físicas, técnicas y administrativas, así como el control que se tiene sobre la información de sus pacientes, para prevenir futuras vulneraciones a la privacidad de los pacientes.
Deberán referir si tuvieron conocimiento de los datos personales sensibles derivados del estado de salud del primer paciente positivo de COVID-19 en el estado, ya que estos fueron revelados y hechos del conocimiento público sin el consentimiento del Titular (paciente), lo que vulnera lo establecido por la Ley de la materia.
En la notificación hecha al Sujeto Obligado en materia de Salud del Estado, se le solicitan elementos necesarios para el análisis del órgano garante de transparencia y del caso del paciente referido quién conocía los datos personales, y en caso de ser así, deberán señalar el nombre los servidores públicos que tuvieron acceso a dicha información.
En el documento podrán proporcionar la información adicional que pudiera coadyuvar con el desarrollo de dicha investigación y una vez entregada, la Dirección de Datos Personales del IZAI realizará el análisis correspondiente y lo turnará al Comisionado Ponente del caso para que sea resuelto en sesión de pleno y se determine por los Comisionados en su conjunto, a fin de determinar si hubo alguna vulneración a la privacidad del paciente por parte de algún sujeto obligado.
Los Comisionados Samuel Montoya Álvarez, Julieta del Río Venegas y Fabiola Torres Rodríguez reiteraron que los datos personales que se deben recabar para asuntos oficiales deben ser los mínimos necesarios y por ningún motivo deben ser filtrados, además de que debe haber una finalidad clara de las instituciones públicas o privadas para su uso.
Agregaron que los datos relacionados con el estado de salud presente o futuro de una persona identificada o identificable son considerados por las leyes en materia de protección de datos personales, como datos personales sensibles.
En el caso de la instancia federal en materia de salud, el caso fue enviado de manera oficial al Instituto Nacional de Transparencia, Acceso a la Información y Protección de Datos Personales (INAI) mediante un oficio con los elementos necesarios con los que el IZAI cuenta ante la presunta violación de los datos personales sensibles, para que realicen los procedimientos necesarios por ser de su competencia.
Exhortaron a las instituciones públicas encargadas de la salud pública, reforzar las medidas de seguridad físicas, técnicas y administrativas, así como el estricto control sobre la información de sus pacientes, para prevenir futuras vulneraciones a la privacidad de los pacientes.
Por regla general, el tratamiento de estos datos requiere un consentimiento expreso y por escrito del titular, salvo casos de excepción, en donde sean indispensables para atención médica, la prevención, diagnóstico, la prestación de asistencia sanitaria, tratamientos médicos o la gestión de servicios sanitarios, mientras el titular no esté en condiciones de otorgar el consentimiento o cuando exista una situación de emergencia que potencialmente pueda dañar a un individuo en su persona.
El tratamiento de los datos personales que incluyen datos de salud, debe ser necesarias y proporcionales, es decir, que recaben los mínimos necesarios y por ningún motivo deben ser filtrados, además de que debe haber una finalidad clara de las instituciones públicas o privadas para su uso.
Cabe señalar que también se recibieron mensajes de alerta por esta vulneración a través del chat en línea del IZAI.