El tenor de los amparos y los fallos es más o menos similar: el recurrente de amparo solicita la entrega del informe psicolaboral propio, a lo que se accede por tratarse de información propia, datos que pertenecen a su titular, PERO también se solicita la entrega de los informes y evaluación sicológica de la o las personas designadas en los cargos, a los cuales el consejo accede, siempre y cuando se excluyan los datos sensibles y reservados que éstos pudiesen contener, aplicando el principio de divisibilidad, esto es, tarjando aquellos datos.

Los informes psicolaborales son hoy un herramienta de selección de personal, que implican la aplicación de instrumentos de evaluación y entrevista personal a candidatos seleccionados por alguna organización. A éstos se les aplica algunos o varios test o exámenes tales como, Zulliger, Lüscher, Rorschach, Phillipson, Edwards, Cattell, Dominó y Grafología.

Finalmente se obtiene el perfil psicológico y psicolaboral del candidato, además de su motivación, conocimientos, habilidades y competencias, así como también de su capacidad para el trabajo en equipo, resistencia al cambio, trabajo bajo presión y personalidad de acuerdo al cargo. Estos revelan los principales aspectos intelectuales y afectivo-sociales de la persona.

El Consejo señala que el organismo requerido debe analizar si el contenido del informe psicolaboral que se solicita se refiere en forma expresa al estado de salud psíquico de los candidatos seleccionados. De lo contrario, si el informe psicolaboral se refiere a la idoneidad sicológica del candidato para el cargo determinado y no expresa datos sensibles sobre su estado de salud mental, dicho informe no queda cubierto por la protección del citado artículo 10 de la Ley N° 19.628.

La divisibilidad en el acceso a la información implica la potestad de poder separar y entregar al solicitante aquella información pública de la que no. Es uno de los principios que inspira la ley de acceso a la información chilena y que es de gran aplicación cuando el aplicador de la ley debe ponderar derechos.

¿Qué parte del informe psicolaboral no constituye datos sensibles?

La ley 19.628 señala que son datos sensibles “datos personales que se refieren a las características físicas o morales de las personas, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual” (Art. 2° g) Estos datos pertenecen a la categorías de datos especialmente protegidos, y no pueden  ser objeto de tratamiento salvo cuando la ley lo autorice, exista consentimiento del titular o sean datos necesarios para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares.

Esta misma ley incorporó  al artículo 127 del Código Sanitario, que “las recetas médicas y análisis o exámenes de laboratorios clínicos y servicios relacionados con la salud son reservados”. Dentro de este supuesto, el Código Sanitario considera expresamente los informes emitidos por sicólogos en sus artículos 112 y 113, quienes dentro de sus servicios profesionales comprenden la aplicación de principios y procedimientos psicológicos que tienen por finalidad asistir, aconsejar o hacer psicoterapia a las personas con el propósito de promover el óptimo desarrollo potencial de su personalidad o corregir sus alteraciones o desajustes.

Siguiendo esta misma línea de interpretación la Contraloría General de la República en el Dictamen N° 31.250/2008, declara que los informes psicológicos de los candidatos a un cargo público son datos sensibles y, en tal carácter, no entregables a terceros sin cumplir los requisitos del artículo 10 de la Ley N° 19.628, de Protección de Datos Personales.

La Corte de Apelaciones chilena ha tenido la oportunidad de resolver definitivamente el último de estos casos (A110-09), y no ha innovado en cuanto a lo resuelto por el Consejo para la Transparencia, en virtud de otorgar protección a los datos personales.

La entrega del informe sicológico aplicando la divisibilidad no es más que una interpretación forzada de la norma en favor de un espíritu de acceso a la información pública y transparencia lesionando y no armonizando el derecho a la protección de datos personales. Puesto que si bien tales informes han sido un antecedente fundamental para que dichos candidatos fueran finalmente elegidos para desempeñarse en funciones públicas, no lo es la  condición individual del seleccionado,  si no el cumplimiento de un perfil general, que está disponible en las bases del concurso y que es lo pretendido por la institución que selecciona.

Por lo tanto, todo el informe psicolaboral constituye datos sensibles, a excepción de la fecha, nombre del evaluado, los test aplicados (excluyendo los resultados), y la firma del psicólogo, lo que torna irrisoria la entrega de la información.

Por otra parte el balance aún no es tal, si aún se observa una interpretación de la ley de acceso en el sentido de considerar público todo lo que obra en poder de la administración sin reparar en que el Estado al tratar datos personales en documentos públicos, no constituyen por eso información pública.

Así el IFAI (México) a modo de balancear transparencia y protección de datos publica en el “currículum vitae” de los funcionarios exclusivamente “datos curriculares”, que finalmente son los que interesan al control social que debe ejercerse sobre la administración, y que son: el grado máximo de estudios, la experiencia laboral (tanto en el sector público como en el privado), los logros laborales o académicos, en su caso, y la experiencia académica, si procede.

Descargar fallo Corte Apelaciones

Hoy por la prensa nos enteramos del gran cambio en el disclaimer que ya nos tenía preocupadas en los sistemas biométricos de atención de salud…un cambio a nuestro juicio que no responde aún al verdadero ejercicio de los derechos de acceso en protección de datos y al deber de información por parte de los responsables de bases de datos.

El disclaimer de hecho aparece hoy en un comunicado y ahora señalaría:

“Al colocar el dedo sobre el lector de huellas autorizo expresamente la inscripción y almacenamiento de mis datos personales en la base de datos de I-Med S.A. y de Autentia S.A., y el tratamiento de tales datos para verificar mi identidad contra los datos ya almacenados de conformidad a la ley. En caso que la colocación de mi huella digital no implique el otorgamiento de dicha autorización, comunicaré tal circunstancia a I-Med y/o Autentia a través de carta dirigida a Avda. 11 de Septiembre 1901 piso 3 o al correo electrónico: autentia@i-med.cl, a fin que se tomen las medidas del caso”.

El anterior disclaimer indicaba: “Al colocar el dedo sobre el lector de huellas suscribo y otorgo un contrato privado por el cual gratuitamente para mi autorizo expresamente la inscripción enrolamiento, transmisión y almacenamiento de mis datos personales en la base de datos prexistentes de I-Med S.A., como en la de Autentía S.A. el tratamiento de tales datos y /o la verificación de mi identidad contra dicha base de datos ya almacenados declarando haber sido informado del propósito de la inscripción, enrolamiento,  transmisión y almacenamiento de tales datos y su posible comunicación a terceros, conforme lo exige el artículo 4º de la ley 19.628”…

La verdad es que la diferencia es insignificante, puesto que en nuestra consideración NO se cumple a cabalidad con el deber de información por parte de I-MED respecto de la finalidad del tratamiento,  su transmisión y comunicación a terceros; asimismo, no queda claro el tratamiento para verificar la identidad ya que se describe en términos muy amplios… Lo que ahora pesa sobre los usuarios del sistema es el envío de una carta a la dirección indicada para que cualquier persona que lo desee puede solicitar que se borre la información biométrica contenida en la bases de datos.

Haciendo un brevísimo análisis del comunicado:

• Para garantizar la autenticidad de las transacciones efectuadas por personas se usan la verificación de identidad mediante la huella digital, la información de las huellas es almacenada sólo en nuestras bases de datos en forma encriptada y no es traspasada a terceros fuera de nuestro control empresarial, garantizándose siempre la privacidad de la información contenida en ellas.
• En cada operación de verificación de identidad, y a especial pedido del usuario sólo se emite a la empresa requerida del servicio (Isapre, AFP, etc.) la información de control de identidad, consistente en confirmar o negar que la persona que se presenta bajo un cierto nombre y RUT corresponde a quien dice ser según el resultado del control de la huella digital, para que así pueda concretarse la transacción que dicho usuario, por su voluntad, desea realizar con la empresa requerida. Posteriormente, nuestra empresa guarda los datos de la transacción para garantizar la integridad de la operación. Dichos datos no son ni serán traspasados a terceros fuera de nuestro control empresarial.

¿Que empresas están detrás de I-MED?

I-Med, no está sola,  los socios de ésta crearon Autentia (que desde el año 2006 se encarga de generar aplicaciones alrededor del uso de huella dactilar digital). Entre las dos empresas han generado el mayor know  how en el uso de biometría digital en América Latina…. Y detrás de Autentia está el sólido respaldo de SONDA, la principal empresa de informática de Chile y una de las más grandes de América Latina; la Cámara Chilena de la Construcción y Banmédica…

• Nuestra empresa no tiene acceso ni almacena ningún dato relacionado con la transacción efectuada entre el usuario y la empresa requerida.

La autorización señala claramente: Al colocar el dedo sobre el lector de huellas autorizo expresamente la inscripción y almacenamiento de mis datos personales en la base de datos de I-Med S.A

• Nuestro servicio se encuentra organizado responsablemente dentro del marco de la legislación específica aplicable a la protección y resguardo de datos de carácter personal y de firma digital, siguiendo todos los parámetros nacionales e internacionales al respecto.
• Nuestro servicio de identificación sólo puede materializarse con el concurso de la voluntad de la persona cuya identidad se requiere verificar en una transacción específica. Dicha voluntad se manifiesta en el momento de colocar la huella en el lector para ser verificada. En ausencia de su voluntad el proceso de identificación jamás llega a concretarse.

Y así es, no es culpa de ellos que la ley no tenga sanciones y que, en definitiva, regule el tratamiento de datos y no el control de los titulares sobre los mismos.
En radio cooperativa, se señala que el diputado Gabriel Silber presentó ayer miércoles una denuncia en la Superintendencia de Salud por esta cláusula que autoriza la transferencia o cesión de datos sensibles del cliente. El abogado Claudio Mangliola, académico de Propiedad Intelectual y Nuevas Tecnologías de la U. de Chile, declaró en el mismo medio que desestima la denuncia del parlamentario “porque la ley sobre protección de datos establece que el tratamiento de de datos personales puede hacerse cuando consta con autorización expresa y por escrito de la persona”, “¿Cuando yo pongo la huella es una autorización expresa y por escrito? Sí, porque la huella es una firma electrónica”.

¿Y dónde queda el deber de información por parte de I-MED? ¿es válida esa autorización expresa si no existe información sobre la finalidad del tratamiento?

¿Cuál es el sueño de I-MED?

“Queremos hacer posible el futuro en prestaciones de salud, mediante el cual los distintos agentes están conectados en línea, sus transacciones son inmediatas, y tienen acceso a todos los aspectos de la transacción – comercial, financiera y operacional. Aseguradores, empleadores, prestadores de salud, farmacias y emisores de tarjetas de crédito: todos conectados para hacer de la Salud un servicio fácil, cercano y eficiente.” 

SÚPER!

Más info: aquí

Foto: Ciper Chile

Una multa de 80 millones de pesos cursó la Superintendencia de Salud a las ISAPRES Banmédica y VidaTres por intercambio de datos personales de clientes, con la cadena de farmacias Cruz Verde.

Los datos se referían a patologías Auge y a sus medicamentos específicos.  

El Mercurio señaló que “El convenio entre las ISAPRES y la cadena farmacéutica fue suscrito para entregar a los usuarios los beneficios correspondientes a las patologías Auge, y fue descubierto sólo tras la denuncia hecha a la justicia por la abogada Verónica Sánchez, quien advirtió el 8 de abril del año pasado que su diagnóstico médico había sido entregado a la cadena de farmacias, que a su vez le ofrecía los medicamentos para tratarlo”.  

Este acuerdo contemplaba:  

-          uso de medicamentos por patología en unidades y pesos  

 -          medicamentos usados por beneficiarios en unidades y pesos  

 -          costos de los beneficiarios  

-          distribución geográfica del consumo en unidades y pesos  

-          beneficiarios que más utilizan medicamentos en unidades y pesos 

-          tendencias de consumo. 

La ley 19.628 al respecto señala que los datos de salud, pertenecen a la categoría de datos sensibles o especialmente protegidos, entendiéndose por tales aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual.   Enseguida,  que el tratamiento de los datos personales sólo puede efectuarse cuando esta ley u otras disposiciones legales lo autoricen o el titular consienta expresamente en ello. A pesar de que la norma contempla una serie de excepciones, en el caso de los datos de salud, por pertenecer a una categoría especial de datos personales, no pueden tratarse. La ley fue clara en ese sentido señalando que no pueden ser objeto de tratamiento los datos sensibles, salvo cuando la ley lo autorice, exista consentimiento del titular (…) y, agregó una “excepción” adicional: que dichos datos sean necesarios para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares…

Las empresas aludidas tienen cinco días para formular descargos y, de no estar conformes con la sanción, pueden recurrir a los tribunales de justicia. El diario Financiero ya informó hoy que las empresas van a apelar a dichas multas.

La Asociación de Isapres justificó el intercambio, argumentando que “la Isapre entrega información a la farmacia, primero, para saber quién es el afiliado y para saber qué medicamentos entrega”, Rafael Caviedes, director ejecutivo de la entidad.    

Según El Mercurio el traspaso de datos era la única forma de cumplir con la ley que regula el plan Auge, pues las farmacias son las únicas expendedoras de medicamentos autorizadas en el país. También señalaron que “El texto del convenio entre los seguros y Cruz Verde añade que estos datos son confidenciales y que ninguna de las partes podrá divulgar su contenido sin la autorización de la otra”.    

Además, prohíben entregarles información a terceros, salvo a una empresa de informática de su confianza y a una fundación que atiende a pacientes con cáncer.    

La abogada Verónica Sánchez, una de las cerca de 3 mil afectadas por este hecho, anunció que prepara una millonaria demanda civil en contra de estas entidades.

Más info:

Diario Financiero  

Diario El Mercurio  

Diario La Tercera  

Radio BioBio  

Y en Radio Infinita un audio de la abogada Verónica Sánchez.

Los datos habrían sido extraídos desde el sitio de la Junta Nacional de Auxilio y Escolar y Becas (JUNAEB), específicamente del portal del Sistema Nacional de Becas ( http://sinab.junaeb.cl). Vemos nuevamente a este organismo público involucrado o afectado por hechos de esta naturaleza (recordemos lo ocurrido en el mes de junio de este año respecto de los datos de menores)

Señalamos en ese momento que el tratamiento de datos personales realizado tanto por organismos públicos como privados, debe cumplir el principio de seguridad, contenido en el artículo 11 de la ley 19.628,  que señala: “El responsable de los registros o bases donde se almacenen datos personales con posterioridad a su recolección deberá cuidar de ellos con la debida diligencia, haciéndose responsable de los daños”. Si bien no se establece en la ley, de manera expresa, el cumplimiento específico de determinados estándares de seguridad, los responsables de bases de datos deben establecer una planificación en la herramienta que soportará toda la información, y adoptar una serie de medidas legales, técnicas y organizativas de seguridad que limiten su responsabilidad frente a posibles incumplimientos de la normativa de protección de datos.

Convengamos en que los datos que maneja la JUNAEB son de una sensibilidad o criticidad elevada, por cuanto no sólo se manejan datos de identificación de las personas, sino que mantienen otros datos que dan cuenta de circunstancias personales, como la asignación de beneficios sociales asociados a becas u otros (programas de alimentación escolar por ejemplo), o de características personales, como la fotografía o imagen. Resulta determinante, por tanto, que en el caso de la JUNAEB se efectúe una auditoría informática, para conocer si su sistema informatizado salvaguarda los activos, mantiene la integridad de los datos, se llevan a cabo eficazmente los fines de la organización y si utiliza eficientemente los recursos.

Con claridad existe una vulnerabilidad en el sistema informático de esta entidad que genera un riesgo para la institución y los titulares de los datos.

Noticia: El Mercurio, LUN

Según consta en la resolución de la entidad (Decisión Amparo N° A211-09), el 29 de junio pasado Constanza Souza Vega solicitó al alcalde de Peñalolén, Claudio Orrego, acceso y copia a un listado en que se entregara la nómina de enfermos con influenza A(H1N1) diagnosticados en el Centro de Salud Carol Urzúa en la semana del 8 al 14 de junio.

La municipalidad respondió el 10 de julio, señalando que la información pedida estaba contemplada en las causales de reserva de la Ley de Acceso a la Información; esto es, que correspondía a la esfera de la vida privada de los afectados.

La solicitante recurrió entonces al Consejo para que resolviera el tema. Y la entidad, resolvió, tras consultar a ambas partes, que la información “se enmarca dentro de lo que la Ley de Protección de Datos Personales define como datos sensibles, toda vez que se refieren a estados de salud físicos de las personas”. El considerando 26° indica además “Que el artículo 10° de dicho cuerpo legal [ley 19.628] prohíbe el tratamiento de los datos sensibles, salvo cuando la ley lo autorice, exista consentimiento del titular o se trate de datos necesarios para la determinación u otorgamiento de beneficios de salud que correspondan a sus titulares, excepciones que no concurren en la solicitud de acceso a información que nos ocupa”.

Por ello, avaló la decisión de la Municipalidad de Peñalolén de no entregar el registro de pacientes, y dictaminó que dichos datos son secretos.

Criterio similar

Otra resolución del Consejo, que también fue notificada esta semana (Decisión Amparo N° A124-09), apunta en la misma línea de proteger las identidades de las personas.

La entidad autónoma denegó una solicitud de Tomás Domínguez, quien pidió la lista de obreros que trabajaron en remodelaciones del Cementerio General, donde se habrían exhumado cuerpos.

“El listado de los trabajadores que ejecutaron la obra no fue un hecho relevante al momento de la evaluación y posterior adjudicación de la licitación pública, por lo que el interés público de conocer dicha información es relevado por el interés privado de su protección en atención a lo dispuesto en el artículo 4 de la Ley N°19.628, que dispone que el tratamiento de los datos, como lo sería la cesión de éstos al solicitante, sólo puede efectuarse cuando esta ley u otras disposiciones legales lo autoricen o el titular consienta expresamente en ello, exigencias que en el particular no se presentan”, señaló el Consejo para la Transparencia”.

Asimismo, en su considerando 7° señala “Que, a falta de autorización expresa, el listado referido que solicita el reclamante podría ser cedido si los referidos datos personales hubiesen provenido o sido recolectados de una fuente accesible al público, lo que en la especie no acontece, pues obran en poder del órgano por haber sido proporcionados por el contratista con ocasión del contrato. Lo que, en opinión de este Consejo, obliga a su protección por aplicación del artículo 4, inciso quinto, de la Ley N°19.628”.

Fuente: Emol

Fuente : Terra.cl

Nos enteramos esta semana de un grave error de seguridad informática cometido por la Junaeb que afectó los datos personales de miles de estudiantes chilenos. Se trata de la publicación, por más de dos semanas, de los datos personales de los postulantes a la beca Presidente de la República, que año a año beneficia a cerca de 50 mil estudiantes.

Fuente Terra

La irregularidad fue detectada por un usuario del portal de  Terra, específicamente un programador, quien intentó comunicarse con los responsables, la Junta Nacional de Auxilio escolar y Becas (Junaeb), sin resultado durante dos semanas. La información estuvo expuesta en Internet y era accesible desde Google.
Junaeb maneja datos de casi 3 millones y medio de niños, niñas y jóvenes que se han visto beneficiados con becas y otros programas que administran, que van desde becas de estudios y becas PSU, hasta becas de alimentación, salud dental y entrega de anteojos, entre otros.

De acuerdo a la profesora Lorena Donoso en el artículo datos personales en el sector de la educación, compartimos la idea que el estándar de protección que debe cumplirse, por parte de las entidades ligadas a la educación, es de estricta seguridad.

Ello por varias consideraciones:
1.    El objetivo de la legislación sobre protección de datos es que el tratamiento de éstos se realice de acuerdo a parámetros de lealtad y licitud, de manera que no afecte indebidamente los derechos de los titulares.
2.    En el caso de los niños y jóvenes que integran el sistema educacional, es necesario proteger los intereses superiores de éstos, por tanto, sus datos personales deben ser tratados de acuerdo a este interés.
3.    Como estos datos se refieren a la formación de la persona, y siendo la creación de hábitos fundamental en el proceso educativo estos datos deben ser tratados como datos sensibles, esto es, aquellos datos personales que se refieren a las características físicas o morales de las personas o a hechos o circunstancias de su vida privada o intimidad, tales como los hábitos personales, el origen racial, las ideologías y opiniones políticas, las creencias o convicciones religiosas, los estados de salud físicos o psíquicos y la vida sexual.

En el sitio Web de esta institución pública no encontramos ninguna alusión a los sucedido ni siquiera disculpas públicas o referencias ante este grave hecho, en el cual, si bien creemos se trata de un error involuntario, no es menor que esto significó la difusión de datos de menores de edad relacionados con su situación socioeconómica y nivel educativo.

El tratamiento de datos que debe seguirse por los organismos públicos debe cumplir el principio de seguridad como principio general, éste se contiene en el artículo 11 de la ley 19.628 : “El responsable de los registros o bases donde se almacenen datos personales con posterioridad a su recolección deberá cuidar de ellos con la debida diligencia, haciéndose responsable de los daños”. Las demás obligaciones, como el registro que contempla el Art. 22 de la ley no aluden al cumplimiento de estándares específicos de seguridad; por otra parte, las sanciones y responsabilidades específicas en este caso, se reducen a la aplicación del Art. 23 de la misma ley.

El proyecto de ley, en actual tramitación en el Congreso, incorpora tres nuevos incisos al artículo 11, señalando que el responsable del tratamiento deberá administrar las medidas técnicas y organizativas que garanticen la seguridad de los datos. Estás serán fijadas por reglamento.

En España el Real Decreto 994-1999 reglamenta las medidas de seguridad que han de guardar los ficheros automatizados que contengan datos personales, estableciendo distintos niveles (alto, medio, básico), correspondiendo para esta clase de datos “alta seguridad”. De la misma forma, hay referencia a los controles de seguridad, responsables y responsabilidades sancionables de acuerdo a la LOPD.

Artículos relacionados:

Medidas de seguridad. Guías prácticas de Microsoft para la adaptación a la LOPD

Seguridad-informatica.cl

Principio de seguridad en la LOPD