En los últimos días, los medios de comunicación han dado seguimiento a la posibilidad de que la Caja Costarricense del Seguro Social (CCSS) haga uso de la aplicación del EDUS (Expediente Digital Único en Salud), con el fin de identificar personas que estuvieron o han estado en contacto físico con personas diagnosticadas con COVID-19. Según han explicado las autoridades en distintos medios, la herramienta podría realizar dicho fin cuando las personas tengan la función de bluetooth habilitada en sus dispositivos electrónicos que cuenten con la aplicación de EDUS y, de esta forma, la información de ubicación y contacto será remitida a las bases de datos de la CCSS para dar seguimiento, permitiendo la geolocalización.
Como premisa, podemos considerar que la tecnología y la protección de datos son compatibles entre sí y que la iniciativa efectivamente sería de gran uso para evitar el contagio comunitario en Costa Rica, el cual gracias a las políticas sanitarias hemos evitado. Sin embargo, la utilización de tecnología y de herramientas como la aplicación del EDUS, no pueden dejar de lado el cumplimiento de la normativa aplicable a la protección de datos, sobre todo por el hecho de que nos encontramos ante el tratamiento de datos de salud y una posible geolocalización.
La Ley de Protección de la Persona frente al Tratamiento de Datos Personales, Ley Número 8968, que rige en Costa Rica desde el año 2011, es una ley de orden público que crea el derecho a la autodeterminación informativa aplicable a todas las bases de datos personales, de conformidad con el artículo 4, y crea también la obligación de contar con un consentimiento informado para aquellas empresas que recolecten información personal, según el numeral 5 de dicho cuerpo normativo.
Tomando como base lo anterior, y tras hacer el ejercicio inicial de descargar e ingresar en la herramienta del EDUS, se evidencia que la misma solicita información personal como lo es el nombre, domicilio, cantidad de personas con las que vive, correo electrónico, centro de salud al que pertenece, fecha de nacimiento, entre otros. Ahora bien, específicamente para temas del COVID-19, el sistema hace consultas relacionadas con los síntomas del COVID-19.
Todos los datos antes descritos son datos personales de distintas categorías, de conformidad con el artículo 9 de la Ley 8968, como los datos de acceso irrestricto, datos de acceso restringido y datos sensibles, sin embargo, el fin principal de la herramienta es recolectar datos de salud caracterizados como datos sensibles. Todos ellos, y con mayor rigurosidad los datos de salud, requieren del consentimiento informado de los usuarios para el tratamiento de dichos datos, consentimiento que no fue requerido al momento de ingresar la información.
La Ley de Protección de Datos dispone en el artículo 5 que el consentimiento debe constar por escrito, ya sea físico o electrónico. Asimismo, el consentimiento de cada usuario del EDUS debe ser expreso, preciso e inequívoco, por lo que se requiere que exista un apartado específico donde, previo a ingresar los datos personales, se le informe a este sobre la existencia de una base de datos, los fines, destinatarios, el tratamiento a dar, los derechos ARCO (acceso, rectificación, cancelación y eliminación) y el responsable de la base de datos, como mínimo. Y como consecuencia de lo anterior, proveer de las políticas de privacidad dentro de la herramienta. No es posible para una aplicación como el EDUS, aplicar un consentimiento tácito por el simple hecho de haber descargado la aplicación desde el Apple Store o Play Store, dependiendo del tipo de sistema operativo.
A la fecha, la descarga del EDUS supera el millón por parte de la población en Costa Rica, por lo que la CCSS debe siempre estar en cumplimiento con la normativa de protección de datos, tanto por el uso actual, como por el posible uso de geolocalización de casos COVID-19.
No podemos dejar de lado que la CCSS, al ser una institución pública de salud que evidentemente recolecta y trata datos de los pacientes, debe siempre solicitar el consentimiento informado y cumplir la normativa de protección de datos en su totalidad, más tratándose de datos de salud. Debe así la CCSS en todos los procesos que realice, sea en la atención de pacientes, uso de nuevas herramientas, en procesos de licitación para la compra de equipo biomédico, entre otros, siempre tomar en consideración las disposiciones de la Ley de Protección de la Persona frente al Tratamiento de Datos Personales y su reglamento.