Ante los casos de COVID-19 que se han presentado en el estado, el Instituto de Acceso a la Información Pública para el Estado de Guanajuato IACIP, pone a la disposición de todos los sujetos obligados las siguientes recomendaciones, las cuales tienen como finalidad prevenir riesgos de seguridad y respetar la privacidad de las personas afectadas, así como de sus familias.

Los datos relacionados con el estado de salud presente o futuro de una persona identificada o identificable son considerados, como datos personales sensibles.

Todas las instituciones de salud públicas deben de tener un estricto control sobre la información de sus pacientes al tratarse de un dato sensible, pues implica la salud de la persona.

1.- Proteger la confidencialidad sobre cualquier dato personal o personal sensible relacionado con cualquier caso de COVID-19, para evitar daño o discriminación de la persona afectada.

2.- Contar con estrictas medidas de seguridad administrativas, físicas y técnicas para evitar cualquier pérdida, destrucción, robo, extravío, uso o acceso, daño, modificación o alteración no autorizada.

3.- Toda transferencia de datos personales que realicen las instituciones de salud del sector público deberán estar fundamentadas y claramente justificadas.

4.- Adoptar las medidas que considere convenientes para procurar que los datos personales de casos de COVID-19, sean exactos, completos, pertinentes, actualizados y correctos.

5.- Los datos personales recopilados con el fin de prevenir o contener la propagación de COVID-19, no deben utilizarse para propósitos distintos

6.- El tratamiento de datos personales ante el COVID-19, debe ser informado y el titular debe conocer en todo momento las finalidades para las cuáles serán recabados y tratados sus datos personales. Previo al tratamiento, el responsable deberá poner a disposición del titular el aviso de privacidad correspondiente.

7.- Limitar el periodo de tratamiento al tratarse de datos inherentes a la salud de un titular y por ser considerados datos personales sensibles de acuerdo al marco legal en materia de protección de datos personales.

8.- Definir los plazos de conservación de los datos personales relacionados con casos de COVID-19, así como los mecanismos que se emplearán para eliminarlos de forma segura, tomando en consideración la normatividad sectorial en la materia.

9.- Notificar cualquier vulneración de seguridad de datos personales, a los titulares y de forma adicional al IACIP.

10.- Evitar la difusión pública no autorizada de información y datos personales de casos -posibles o confirmados- de COVID-19.

11.- Proteger y evitar la difusión de datos personales de niñas, niños y adolescentes en casos -posibles o confirmados- de COVID-19.

Con el propósito de respetar la privacidad de las personas afectadas, el Instituto de Acceso a la Información Pública para el Estado de Guanajuato IACIP hace un atento llamado a la ciudadanía en general para la protección de sus datos personales derivado de la contingencia COVID-19.

Se debe tomar en cuenta lo siguiente:

• Tus datos relacionados con tu estado de salud presente o futuro son considerados datos personales sensibles.
• Las instituciones de salud te deben solicitar solamente los datos personales mínimos necesarios para prevenir o contener la propagación del COVID-19, mismos que no podrán utilizarse para fines distintos.
• Tu identidad como persona afectada no debe divulgarse.
• Cada que te recaben tus datos personales asegúrate de que pongan a tu disposición el aviso de privacidad donde se establezcan las finalidades para las cuales serán recabados y tratados tus datos personales, así como los casos en los que se realizarán transferencias de tus datos personales.
• Recuerda, es obligación de todas las instituciones públicas establecer todas las medidas de seguridad necesarias para la protección de tus datos personales.

¡No olvides! La protección de datos personales es un ejercicio de corresponsabilidad entre la institución que te los recaba y tuya al momento de proporcionarlos.

El derecho fundamental a la protección de tus datos personales es un derecho humano, por lo que en caso de un tratamiento inadecuado por alguna institución pública, puedes acudir al IACIP a presentar una denuncia.

En el IACIP nos ponemos a tus órdenes para cualquier consulta relacionada con tratamiento de datos personales.

¿De qué manera el IACIP puede actuar ante un indebido tratamiento de datos personales?

Si tienes conocimiento de un tratamiento indebido de datos personales o algún responsable del sector público a nivel estatal realizó un uso indebido de tus datos personales que proporcionaste para el diagnóstico, atención y seguimiento del COVID-19, puedes acudir ante el IACIP y presentar una denuncia en el correo: contacto@iacip-gto.org.mx, o  través del chat interactivo en la página web: www.iacip-gto.org.mx, por las presuntas violaciones a la normatividad estatal que regula el derecho a la protección de datos personales.

¿Cuáles son los requisitos y medios de presentación de la denuncia?

Con fundamento en el artículo 158 de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados para el Estado de Guanajuato, los requisitos para la presentación de la denuncia, son los siguientes:

• El nombre de la persona que denuncia, o en su caso, de su representante;

• El domicilio o medio para oír y recibir notificaciones;

• La relación de hechos en que se basa la denuncia y los elementos con los que cuente para probar su dicho;

• El responsable denunciado y su domicilio, o en su caso, los datos para su identificación y/o ubicación, y

• La firma del denunciante, o en su caso, de su representante. En caso de no saber firmar, bastará la huella digital.

La denuncia podrá presentarse por escrito libre, o a través de los formatos, medios electrónicos o cualquier otro medio o tecnología que el Instituto establezca para tal efecto.

¿Qué se considera como un tratamiento indebido de datos personales?

Se deben considerar diversos factores, entre ellos: el uso ilícito, la divulgación no permitida o el almacenamiento excesivo y desproporcionado de los datos personales, que lleve a cabo el responsable de su protección, sea cual sea el medio físico o electrónico.

 

DENUNCIA ANTE UN INDEBIDO TRATAMIENTO DE DATOS PERSONALES POR PARTE DEL SECTOR PRIVADO.

 

¿Ante quién se presenta la denuncia?

Esta siempre se presentará ante el INAI. Independientemente de donde se encuentre el responsable al que vayas a denunciar, el INAI será la única instancia competente para dar trámite a este tipo de denuncias.

¿A través de qué medios puedes presentar una denuncia?

Los medios que pone a disposición el INAI para la presentación de las denuncias son los siguientes:

• Por correo electrónico a la dirección verificacion@inai.org.mx, o
• Mediante el sistema IFAI-PRODATOS, disponible en el sitio web https://www.datospersonales.org.mx/

Cualquier duda, orientación o asesoría sobre el ejercicio del derecho a la protección de datos personales puede ser atendida por los colaboradores del INAI, mediante el TEL INAI (800 835 4324) o vía correo electrónico, a la dirección atencion@inai.org.mx. Los horarios de atención son de lunes a jueves, de 9:00 a 18:00 horas, y los viernes, de 9:00 a 15:00 horas.

¿Qué requisitos debe contener la denuncia?

Los requisitos de información para presentar una denuncia son:

• El nombre y domicilio del titular, o en su caso el correo electrónico al cual se le pueda enviar cualquier información respecto de su denuncia.
• La descripción de los hechos que denuncia el titular y, en su caso, los elementos con los que cuenta para probar su dicho (documentos, fotos, grabaciones, entre otros); y,
• El nombre y domicilio del responsable que considere que está vulnerando los principios y deberes que establece la ley.

¿En qué consiste el derecho a la protección de datos personales?

El artículo 16, segundo párrafo de la CPEUM, establece el derecho fundamental de protección de datos personales estableciendo que toda persona tiene derecho a la protección de sus datos personales, al acceso, rectificación y cancelación de estos, así como a manifestar su oposición, en los términos que fije la ley, la cual establecerá los supuestos de excepción a los principios que rijan el tratamiento de datos, por razones de seguridad nacional, disposiciones de orden público, seguridad y salud públicas o para proteger los derechos de terceros.

¿Qué derechos tengo sobre el tratamiento de mis datos personales?

Las instituciones públicas o privadas que te otorguen servicios para diagnósticos, atención y seguimiento sobre COVID-19, en su calidad de responsables del tratamiento de datos personales están obligados a garantizarte como titular de los datos personales, derechos, los cuales se explican a continuación.

Derechos ARCO

Como titular de tus datos personales, tienes derecho a acceder a ellos, rectificarlos, a solicitar su cancelación, así como a oponerte a su tratamiento. A estos derechos se les conoce como, ARCO y puedes solicitarlos a todas las instituciones públicas o privadas que te otorguen servicios para diagnóstico, atención y seguimiento sobre COVID-19.

Los derechos ARCO son los siguientes:

• DERECHO DE ACCESO: Es el derecho que tienes de solicitar el acceso a tus datos personales que están en las bases de datos, sistemas, archivos, registros o expedientes de todas las instituciones públicas o privadas que los utilicen para otorgar servicios para diagnóstico, atención y seguimiento sobre COVID-19, así como de conocer información relacionada con el uso que se dará a tu información personal.

• DERECHO DE RECTIFICACIÓN: Es el derecho que tienes de solicitar la rectificación o corrección de tus datos personales, cuando éstos sean inexactos o incompletos o no se encuentren actualizados. Es decir, puedes solicitar a las instituciones públicas o privadas que posean o utilicen tus datos personales para otorgarte algún servicio en relación al diagnóstico, atención y seguimiento sobre el tratamiento que se te esté brindando.

• DERECHO DE CANCELACIÓN: Es el derecho que tienes de solicitar que tus datos personales se eliminen de los archivos, registros, expedientes, sistemas, bases de datos de las instituciones públicas o privadas que posean o utilicen tus datos personales para otorgarte algún servicio en relación con el diagnóstico, atención y seguimiento sobre COVID-19. Es importante que tomes en cuenta que no en todos los casos se podrán eliminar tus datos personales, por ejemplo, cuando sean necesarios por alguna cuestión de seguridad y salud pública ante una emergencia sanitaria como la que se vive actualmente en el país, tal como el tratamiento de tu información sobre si eres afectado del COVID-19.

• DERECHO DE OPOSICIÓN: Es el derecho que tienes de solicitar que tus datos personales no se utilicen para ciertos fines, o de requerir que se concluya el uso de los mismos a fin de evitar un daño a tu persona. También en este caso, como en el anterior, no siempre se podrá impedir el uso de tus datos personales siempre que sean necesarios por una cuestión de seguridad y salud pública, sin embargo, si podrás oponerte a fines desproporcionados que afecten tu situación como afectado por el COVID, por ejemplo el tratamiento de tus datos personales para fines distintos a aquellos para los que originalmente proporcionaste tus datos.

¿Cómo y quién puede ejercer estos derechos?

El derecho a la protección de datos personales es un derecho personalísimo, por lo que sólo tú, como titular de tus datos personales o, en su caso, tu representante legal, podrán solicitar el ejercicio de los derechos ARCO. Por ello, será necesario y de gran importancia que previo al ejercicio del derecho de que se trate, quede debidamente acreditada la identidad del titular de los datos personales.

Toma en cuenta que para que puedas solicitar uno de los derechos no es necesario que hayas ejercido previamente otro, ni el ejercicio de uno de ellos impide que hagas valer después uno distinto.

Lo primero que hay que señalar es que la solicitud de ejercicio de los derechos ARCO se debe presentar ante la institución pública o privada que posea o utilice tus datos personales para otorgarte algún servicio en relación con el diagnóstico, atención y seguimiento sobre COVID-19 respecto de los cuales requieras el acceso, rectificación, cancelación u oposición. Los medios para la presentación de estas solicitudes deberán estar indicados en el aviso de privacidad.

Cuando se trate de ejercer tus derechos ARCO ante alguna institución pública, debes acercarte a la Unidad de Transparencia de dicha institución, ahí deben orientarte en la elaboración de tu solicitud de ejercicio de derechos ARCO, así como darle seguimiento para que en el plazo de 20 días contados a partir del día siguiente de la recepción de la solicitud te den respuesta.

En caso de que el responsable sea una institución pública del estado de Guanajuato, los requisitos de la solicitud de ejercicio de los derechos ARCO según lo establecido en el artículo 78 de la Ley de Protección de Datos Personales en Posesión de Sujetos Obligados para el Estado de Guanajuato, son los siguientes:

1. El nombre completo del titular, así como su domicilio o cualquier otro medio para oír y recibir notificaciones;
2. La descripción clara y precisa de los datos personales respecto de los que se busca ejercer alguno de los derechos ARCO, salvo que se trate del derecho de acceso;

III. La descripción del derecho ARCO que se pretende ejercer, o bien, lo que solicita el titular;

1. Los documentos que acrediten la identidad del titular, y en su caso, la personalidad e identidad de su representante, y
2. Cualquier otro elemento o documento que facilite la localización de los datos personales, en su caso.
3. De ser posible, el área responsable que trata los datos personales y ante el cual se presenta la solicitud.

Derechos que tienes como titular que derivan del cumplimiento de obligaciones por parte de los responsables del tratamiento.

El derecho a la protección de los datos personales implica el cumplimiento de ocho principios y dos deberes por parte de los responsables, los cuales se traducen en tareas que se asignan obligatoriamente a los responsables del tratamiento, y en derechos para los titulares, derivado del cumplimiento de estas obligaciones como titular de los datos personales tienes los siguientes derechos:

• Que tus datos personales se traten conforme a legislación aplicable.
• Que las autoridades solo traten tus datos personales cuando exista un fundamento legal y tengan atribuciones para ello.
• Que tu información sea tratada conforme a lo acordado con el responsable.
• Que no se recaben tus datos personales con dolo, mala fe o negligencia.
• A que no se vulnere la confianza que has dado con relación a que tus datos personales serán tratados conforme a lo acordado.
• A que se te informen todas las finalidades del tratamiento en el aviso de privacidad.
• A conocer quién utilizará tu información, para qué fines se ocupará, con quién se compartirá y cómo podrás ejercer tus derechos al respecto a través del aviso de privacidad.
• A que el aviso de privacidad esté redactado en idioma español y de una forma sencilla, clara y comprensible, y contenga la información que establece la ley.
• Que cuando sea necesario, soliciten tu consentimiento para poder dar tratamiento a tus datos personales.
• Si es necesario tu consentimiento, y se trate de datos personales sensibles, este deberá ser expreso y por escrito, es decir, con tu firma autógrafa, huella dactilar, firma electrónica o cualquier otro mecanismo autorizado que permita identificarlo plenamente.
• A que tus datos personales sólo se utilicen para las finalidades (usos o propósitos) que te fueron informadas en el aviso de privacidad.
• A que los responsables del sector público solo utilicen tus datos personales para finalidades que se relacionen con sus atribuciones.
• Que te soliciten solo aquellos datos que sean necesarios, adecuados y relevantes para el cumplimiento de las finalidades que te informaron.
• A que te soliciten datos personales sensibles solo cuando sea necesario para cumplir con una finalidad.
• A que tus datos personales se mantengan actualizados en función de los fines para los que te fueron requeridos.
• A que tus datos personales sean eliminados de las bases de datos de los responsables cuando estos ya no sean necesarios.
• A que el tratamiento de tus datos personales, así como en el uso de las bases de datos para su almacenamiento, cumpla con los principios y los deberes establecidos en la normatividad aplicable.
• A que la información personal que proporcionen a los responsables se resguarde bajo medidas de seguridad adecuadas, que eviten su pérdida, alteración, destrucción, daño o uso, acceso o tratamiento no autorizado.
• A que te informen en caso de una vulneración en contra tus datos personales, que fue lo que sucedió, cuáles fueron los datos personales comprometidos, que están haciendo las autoridades o responsables para que este tipo de supuesto no se repita y un número para dar seguimiento a tu caso.
• A que tus datos personales sean tratados con confidencialidad, es decir, a que éstos no se difundan o compartan con terceros, salvo que exista consentimiento para ello o alguna obligación normativa requiera su difusión.