Durante una crisis extraordinaria, muchos gobiernos están dispuestos a pasar por alto las implicaciones de privacidad en un esfuerzo por salvar vidas.
Sin embargo, los datos confidenciales que se recopilan no son exclusivos de las organizaciones de salud pública y los gobiernos. En los Estados Unidos, el gobierno está trabajando abiertamente con Verily, una empresa hermana de Google, para ofrecer pruebas de detección en línea que requieren que los usuarios tengan una cuenta de Google.
Las empresas de tecnología de vigilancia y los desarrolladores de aplicaciones móviles también acceden a datos confidenciales. Los usuarios de la aplicación Corona 100m, por ejemplo, pueden ver la fecha en que un paciente con coronavirus fue infectado, junto con su nacionalidad, género, edad y los lugares que visitaron.
Acceso a datos por terceros
Parece que varias organizaciones están pidiendo a terceros que ayuden a administrar la salud de los empleados. Esto podría implicar el uso de terceros para realizar exámenes de salud, analizar registros de viaje o instalar aplicaciones que soliciten a los empleados que ingresen sus datos para su análisis.
Muchas veces, las empresas no tienen en cuenta la debida diligencia habitual de los proveedores para permitirles responder rápidamente.
Como recordatorio, los datos de salud son datos de categoría especial según el Artículo 9 del RGPD. Por lo tanto, el manejo de datos de salud requiere un cuidado especial.
Hay varias formas de legitimar el manejo de datos de salud, pero la mayoría de estas posibles bases están sujetas a una prueba de necesidad. La necesidad significa que algunas aplicaciones o proveedores externos ofrecen formas de procesamiento que son convenientes, pero puede haber alternativas menos intrusivas de protección de datos.
Finalidad del tratamiento
En circunstancias normales, los registros médicos sensibles vinculados al paciente pueden y deben mantenerse privados.
Exponerlos a empresas privadas, incluso en interés de la salud pública, es motivo de preocupación porque estos registros tienen un valor comercial significativo.
Podrían, por ejemplo, proporcionar a las agencias de publicidad datos valiosos de focalización para empresas farmacéuticas y de atención médica. También podrían ayudar a informar la toma de decisiones de las aseguradoras de salud que buscan verificar los historiales médicos al procesar nuevas políticas y reclamaciones.
Las bases de datos que contienen identidades vinculadas con datos de ubicación móvil también tienen una etiqueta de precio, especialmente para los mercados de consumo.
Las empresas que pretenden recopilar datos confidenciales de cualquier tipo, y tal vez aprovecharlos para conseguir en el futuro ganancias comerciales, deben adaptarse a las normas sobre privacidad de datos, como el Reglamento General de Protección de Datos (RGPD) de la UE y la Ley de Privacidad del Consumidor de California (CCPA).
Sin embargo, para garantizar plenamente el cumplimiento normativo y proteger los datos, un activo comercial exponencialmente valioso, las empresas deben adoptar las últimas innovaciones en tecnología de mejora de la privacidad.
Esta nueva categoría de tecnología de privacidad permite a las empresas aprovechar las ideas derivadas de datos privados de terceros sin revelar información confidencial que no puede y no debe compartirse por razones éticas, legales o comerciales.
¿Qué dicen los reguladores?
Es importante recordar que para los países de la UE, mientras que el RGPD establece un marco básico, la ley local puede diferir incluso dentro de la UE.
También es importante destacar que la orientación de los reguladores es solo eso: podemos esperar ver litigios y los tribunales pueden no seguir esa orientación. Por ejemplo, un empleado en desventaja como resultado de los datos procesados relacionados con su salud puede contemplar un litigio alegando que el procesamiento de datos fue ilegal. Existe un riesgo especial de ejercicio de los derechos del RGPD por parte de los empleados que han sido suspendidos o despedidos.
Algunos reguladores expresaron su preocupación por la acción de los empleadores bastante temprano en la propagación del virus. Por ejemplo, el 2 de marzo de 2020, la autoridad de Protección de datos italiana publicó una guía en inglés e italiano. Su orientación dejó en claro que la responsabilidad principal de recopilar datos de salud relacionados con el virus es de las autoridades de salud pública y no de los empleadores.
Desde entonces, los reguladores de otros países también han emitido declaraciones. En Austria, la autoridad de Protección de datos ha emitido un recordatorio de que incluso un paso como tomar números de teléfono móvil de los empleados podría tener implicaciones de protección de datos.
En la mayoría de los casos donde se aplica el RGPD, se requerirá una Evaluación de Impacto de Protección de Datos (DPIA).
Tecnología para mejorar la privacidad
La implementación de tecnologías para mejorar la privacidad debería ser una prioridad crítica para la comunidad empresarial.
Afortunadamente para las empresas, ya se utilizan técnicas criptográficas avanzadas basadas en esa tecnología. Han sido rigurosamente probadas por la comunidad académica global, y los líderes de la industria participan activamente en los esfuerzos de estandarización de estas tecnologías para facilitar una adopción más amplia.
Si se implementa adecuadamente, puede potenciar, en lugar de restringir, a las empresas. Puede ayudarlos a aprovechar de forma segura los datos de terceros y mantenernos competitivos, sin poner en riesgo la privacidad del usuario o los datos comerciales confidenciales.
En estos tiempos de incertidumbre, a medida que nuestros gobiernos exploran soluciones basadas en datos para frenar una pandemia de salud global, debemos considerar cómo se manejarán nuestros datos después del coronavirus.
Esta crisis finalmente pasará y, a medida que surjan nuevos desafíos de datos, las tecnologías de privacidad deben convertirse en el estándar tanto para las empresas como para los gobiernos, para garantizar que estemos mejor equipados para facilitar la colaboración de datos a gran escala y habilitada para la privacidad antes de que se desarrolle la próxima crisis.
Escribe aquí tu comentario