Skip to content

Encontramos al menos ocho motivos por los que la recolección masiva e indiscriminada de datos personales fue una mala idea y se hizo mal. |

Por qué la recolección de datos personales durante la pandemia fue una mala idea

Analizamos cómo funcionó el protocolo que obligó a las empresas y entidades a recoger información privada de sus empleados. Esto fue lo que encontramos.

Por: Noviembre 20, 2021

Como medida para enfrentar la pandemia, en abril de 2020 el Gobierno expidió una resolución que creó un sistema de recolección masiva de datos personales. Un año y medio después, cuando ninguna de esas normas sigue vigente, hacemos un balance de cómo funcionó esta estrategia y cuál fue su utilidad. Además, evaluamos si este sistema vulneró la Constitución y puso en riesgo los derechos humanos. 

¿Cómo funcionó la estrategia?

El 13 de abril de 2020 el Gobierno expidió un decreto legislativo en el que le otorgaba al Ministerio de Salud la potestad de regular las condiciones de bioseguridad necesarias para hacer cualquier actividad. El Ministerio acató la orden y reglamentó el uso del tapabocas en lugares públicos, las condiciones de distanciamiento social y la paulatina reapertura de algunos sectores económicos. También implementó un sistema de recolección masiva de datos personales. Lo hizo a través de la Resolución 666 de 2020, que adopta un protocolo general de bioseguridad en su anexo técnico. 

El protocolo obligaba a los empleadores a identificar las condiciones de salud de todos sus empleados, a registrar las personas que asistieran a las oficinas y llevar un registro del estado de salud y temperatura de los proveedores y clientes que entraran a las instalaciones. Además, si algún empleado presentaba síntomas de Covid-19, el empleador debía realizar una lista de todas las personas que habían estado en contacto con esa persona durante los últimos 15 días y enviarla a la secretaría de salud. 

Hallazgos

Encontramos al menos ocho motivos por los que la recolección masiva e indiscriminada de datos personales fue una mala idea y se hizo mal:

  1. La decisión del Gobierno Nacional de recolectar datos personales masiva e indiscriminadamente implicó una modificación (transitoria) del régimen de protección de datos personales. El Gobierno podía tomar medidas al respecto, y dada la urgencia, podía haberlas tomado mediante un Decreto Legislativo en el contexto del estado de excepción. Lo hizo, en cambio, mediante resoluciones del Ministerio de Salud y Protección Social. 
  2. La recolección de datos personales se adelantó de forma deshilvanada y fragmentaria. No se adelantó bajo la construcción de un sistema bien estructurado y de un marco legal e institucional claro y específico para el caso, que respetara los principios básicos del tratamiento de datos personales. En especial, ignoró los principios de libertad, transparencia, necesidad (minimización de la recolección) y caducidad (borrado oportuno de la información). 
  3. Los casos del incumplimiento de los principios de necesidad (minimización de la recolección) y caducidad (borrado oportuno de la información) son críticos.  Muchos de los datos personales recogidos nunca se utilizaron, y después de que dejaron de ser útiles para la protección de la salud pública no se borraron, ni se dispusieron reglas claras para su borrado.
  4. En atención a que la decisión de recolectar masivamente datos personales no estuvo precedida de un diagnóstico de capacidades y de adecuación de procedimientos, las entidades estatales (tanto a nivel nacional como territorial) se vieron sobrepasadas en su capacidad para para acopiar, sistematizar, analizar y utilizar efectivamente la información recolectada.
  5. El carácter fragmentario de esta estrategia de recolección se hizo patente al habilitar que diferentes entidades estatales, y también un sinnúmero de particulares (empleadores, empresas de aseguramiento, EPS, IPS, comercios, etc.) recolectaran información personal sobre la salud de trabajadores, usuarios y clientes y la compartieran con terceros.
  6. Los empleadores debían recolectar información sobre la salud de sus empleados para luego compartirla con las autoridades. Sin embargo, no se tuvieron en cuenta las capacidades de estos particulares para recolectar y tratar adecuadamente esta información. 
  7. A pesar de que existen normas que prohíben a los empleadores conocer el estado de salud de sus empleados porque esto afecta su intimidad y puede causar discriminación, el Gobierno obligó a la recolección sin derogar o crear excepciones a dichas normas, o crear salvaguardas especiales para ello. 
  8. El diseño institucional de la Autoridad Nacional de Protección de Datos Personales como un agente del Gobierno Nacional no permitió que esta Autoridad pudiera desplegar su rol de garante del derecho de protección de datos personales. Sus posiciones sobre este asunto fueron marginales, tardías y reactivas. 

Recomendaciones para el futuro

  1. Las entidades públicas deben aumentar sus capacidades técnicas y analíticas para recolectar y analizar grandes cantidades de información de manera adecuada y respetuosa de los derechos de la ciudadanía.
  2. Al implementar soluciones de política pública basadas en datos, se deben analizar los riesgos a los derechos humanos que tiene la recolección masiva de datos personales.
  3. Antes de plantear soluciones que requieran la recolección masiva de datos, se debe analizar la utilidad que tendrá esta recolección porque no todos los problemas de política pública se resuelven a través de soluciones basadas en datos.
  4. Si se pretende modificar el régimen de protección de datos personales, se debe hacer adecuadamente a través de una ley estatutaria y no a través de reglamentaciones.
  5. La Delegatura para la Protección de Datos de la Superintendencia de Industria y Comercio debe tener un rol más activo en la vigilancia y control de las iniciativas de las entidades públicas que puedan afectar el derecho a la protección de datos personales. Es necesario garantizar su independencia del Ejecutivo.

 

Powered by swapps
Scroll To Top