La CoronAPP-Colombia y su política de tratamiento de datos

El artículo analiza la Política de Tratamiento de Datos de la CoronAPP-Colombia y expone una serie de reflexiones relevantes al contrastarla con la Ley 1581 de 2012.

Por: María Camila Cubillos Sánchez^[1] y María Alejandra Restrepo Rojas^[2]

La coyuntura sanitaria actual ha obligado a los países del mundo a adoptar medidas que faciliten la identificación y rápido aislamiento de personas afectadas, de ahí que diversos países hayan encontrado en la tecnología una alternativa para mitigar los contagios y registrar la evolución diaria del virus en sus territorios. Debido a que cada vez más personas cuentan con dispositivos móviles y estos tienen la capacidad de registrar localizaciones, las aplicaciones de contacto móvil se han convertido en una opción viable para el control de propagación y la toma de decisiones en materia de política pública.

Colombia no ha sido la excepción y el Gobierno nacional decidió crear la aplicación móvil denominada “CoronApp”. Sin embargo, esta ha sido de suma preocupación para la sociedad civil, pues las personas deben suministrar datos que son catalogados como sensibles de conformidad con la Ley 1581 de 2012. Así pues, la política de privacidad de la aplicación no es clara sobre la recolección de los datos y si el tratamiento de estos cumple con las exigencias del principio de responsabilidad demostrada,

En tal sentido, el principio de finalidad defiende que la recolección de datos personales se basa en un ámbito temporal, donde se debe determinar el periodo por el cual se van a conservar los datos recolectados; y en un ámbito material, que consiste en la exigencia de que estos datos cumplan con las finalidades por las cuales fueron recaudados, como se expone en la sentencia C-748 del 2011.

De acuerdo a lo anterior, la Política de Tratamiento de Información relacionada con la CoronApp Colombia, estableció que la finalidad principal para la cual se recaudan los datos personales de los usuarios (ya sean privados, públicos, semiprivados o sensibles) es “realizar la vigilancia en salud pública en el marco de las diferentes etapas para afrontar la pandemia del COVID-19”^[3]. Una vez utilizados para los fines previstos, estos podrán ser conservados para su uso en la proyección de datos estadísticos, históricos o científicos.

Con relación al tiempo de conservación de los datos personales, según lo señalado por el INSI en respuesta a la petición elevada 2­1200­2020­002663 del 03 de julio de 2020, señaló lo siguiente:

“El tratamiento de los datos recolectados a través de CoronApp Colombia será el estrictamente necesario para realizar las actividades que despliegue el Ministerio de Salud y Protección Social para la contención y mitigación del coronavirus COVID­19, así como para el análisis del comportamiento del virus que deban realizar las entidades de salud del país. Una vez finalice la necesidad para la cual fueron recolectados los datos, la información que no  requiera conservarse para fines históricos, científicos o estadísticos (información anonimizada),  será suprimida según los procedimientos de eliminación de documentos establecidos por el  Instituto Nacional de Salud.”

Nuestro ordenamiento prevé en el artículo 11 del Decreto 1377 de 2013 una limitación temporal al tratamiento de datos personales, el cual concretiza en que sea razonable y necesario; lo anterior nos permitiría preguntar si para el caso en concreto, la vigencia de la base de datos se encontraría bajo condición, la cual se cumplirá el día en que no se presenten casos de Covid-19 en Colombia.

No obstante, dicha condición sobre los datos no anonimizados ¿se puede considerar necesaria y razonable? Claramente no, en vista de que los datos a los cuales tiene acceso la aplicación no son directamente proporcionales a las finalidades planteadas por el PTI, como son los datos de geolocalización a personas, que si bien descargaron la aplicación, nunca han sido diagnosticados con Covid-19.

Ahora bien, otro aspecto relevante es lo establecido por el numeral VII del artículo 8 de la Resolución 0186 de 2019, el cual establece como  responsabilidad de los propietarios de la Información^[4], el determinar los tiempos de retención de la información en conjunto con el Grupo de Gestión Documental de las áreas que se encargan de  su protección y almacenamiento, y que de acuerdo con las políticas de la Entidad, nos permite identificar la carencia de parámetros objetivos por parte del INS, ya que la duración del tratamiento de datos es indeterminada, y poco razonable incumpliendo con lo establecido el artículo 11 del Decreto 1377 de 2017, dejando al titular del dato en un estado de inseguridad jurídica.

Por otra parte, la aplicación realiza la recolección de los datos personales, a través del titular, previo consentimiento. En caso de tratarse de un menor de edad, deberá ser suministrada por su representante legal. Lo anterior cobra una especial relevancia en virtud de la Política de Tratamiento de datos sensibles, ya que se estaría accediendo a información altamente calificada como lo es la  ubicación geográfica y datos relacionados con el historial clínico del usuario. No obstante, es de suma importancia aclarar que los datos que recopila la aplicación no son únicamente aquellos que suministra el usuario, sino también aquellos que no necesitan de “la autorización de las personas porque así lo permite el artículo 10 de la ley 1581 de 2012”^[5], ya que existen intereses constitucionalmente superiores, los cuales justifican las limitaciones. Sin embargo, ello no obsta para que no se cumplan con los principios establecidos para el uso de datos sensibles.

De manera análoga, es fundamental dar a conocer que el Instituto Nacional de Salud, en respuesta a la petición elevada 2­1200­2020­002663 del 03 de julio de 2020 reconoce que la CoronAPP-Colombia realiza un cruce de datos, pues la información brindada por los usuarios es almacenada “en una base de datos y procesada por el INS a través de SIVIGILA- ­ Sistema Nacional de Vigilancia en Salud Pública- para poder identificar los casos en riesgo, en cuyo caso, las secretarías de salud pueden contactarse con el usuario para corroborar el diagnóstico y evaluar la aplicación de la prueba según sea el caso”^[6], lo cual nos permite identificar que opera un cruce de datos, sin que sea inicialmente prevista por los usuarios, ya que además del responsable del tratamiento de datos personales, hay un encargado que puede acceder y usar la información personal.

Si bien es cierto que el responsable ha establecido unos pasos concretos para que se logre verificar la finalidad para la transmisión y que dichos destinatarios cumplan con los niveles adecuados para la protección de los datos, es claro que en la PTI de la CoronApp no se observa un mecanismo efectivo para que el Titular pueda ejercer los derechos correspondientes al tratamiento de sus datos, y que éste pueda emitir autorización previa y expresa como lo establece la Corte Constitucional^[7]

Para concluir, dentro de la lógica expuesta, es menester saber los riesgos a los que se ven expuestos los datos personales dentro del Tratamiento de datos, ya que podrán ser susceptibles de adulteración, pérdida, consulta, uso, acceso o divulgación no autorizada o fraudulenta de la información. Una vez identificados y valorados los riesgos a lo largo del presente escrito, dejamos a criterio de los usuarios la decisión sobre la descarga y uso de la aplicación. Sin embargo, una vez revisado el régimen de protección de datos en Colombia, no se estima conveniente el uso de la aplicación porque no hay claridad sobre la forma como se ejerce el tratamiento y el cumplimiento de los propósitos establecidos.

Referencias:

1. CORTE CONSTITUCIONAL, Sala Plena de la Corte Constitucional. (6 de octubre de 2011) Sentencia C-748/2011 [MP. Jorge Ignacio Pretelt Chaljub]
2. MINISTERIO DE COMERCIO, INDUSTRIA Y TURISMO. (27 de junio de 2013)[Decreto 1377 de 2013]
3. CONGRESO DE COLOMBIA. (17 de octubre de 2012) LEY ESTATUTARIA 1581 DE 2012. [Ley 1581 de 2012]. DO: 48.587.
4. INSTITUTO NACIONAL DE SALUD. (22 de diciembre de 2014) [Resolución 1607 DE 2014 Y ANEXOS No. 1, 2, 3 Y 4]
5. INSTITUTO NACIONAL DE SALUD. Política de tratamiento de información (PTI) relacionada con la CoronApp Colombia. Bogotá, D.C, Colombia; versión 1.0 de fecha 08 de mayo de 2020 pag 14. https://www.ins.gov.co/Normatividad/PoliticasInstitucionales/politica-de-tratamiento-de-informacion-coronapp-colombia.pdf
6. INSTITUTO NACIONAL DE SALUD. (27 de febrero de 2019) [Resolución 0186 de 2019]
7. INSTITUTO NACIONAL DE SALUD. Respuesta al derecho de petición 2­1200­2020­002663 del 03 de julio de 2020.
8. Terminos_y_condiciones_CoronApp https://www.ins.gov.co/Terminos_y_condiciones_CoronApp.pdf

Notas:

^[1] Estudiante de Pregrado en Derecho de la Universidad Externado de Colombia.

^[2] Estudiante de Pregrado en Derecho de la Universidad Externado de Colombia.

^[3] INSTITUTO NACIONAL DE SALUD. Política de tratamiento de información (PTI) relacionada con la CoronApp Colombia. Bogotá, D.C, Colombia; versión 1.0 de fecha 08 de mayo de 2020. 14 p.

^[4] Son propietarios de la información cada uno de los directores, así como los jefes de las oficinas donde se genera, procesa y mantiene información, en cualquier medio, propio del desarrollo de sus actividades.

^[5] Respuesta emitida por el INSTITUTO NACIONAL DE SALUD a la petición elevada 2­1200­2020­002663 del 03 de julio de 2020, en ejercicio del derecho de petición, por la ciudadana María Camila Cubillos.

^[6] ibídem; pag 5

^[7] CORTE CONSTITUCIONAL, Sala Plena de la Corte Constitucional. (6 de octubre de 2011) Sentencia C-748/2011 [MP. Jorge Ignacio Pretelt Chaljub]