Resolución del expediente INFOCDMX/D.032/2024 sobre manejo de datos personales en Secretaría de Salud
Antecedentes del caso
Con el gusto de presentar a este colegiado la resolución de la denuncia de datos personales 032/2024 contra la Secretaría de Salud. La persona que presentó la queja señala que en diversas ocasiones durante el mes de octubre de 2024, vía telefónica y presencial, solicitó una cita para atender un tema relacionado con la Clínica de Síndrome de Down. Siempre le pidieron nombre, teléfono y correo electrónico, mismos que entregó. No obstante, al requerir el nombre de la persona servidora pública que le atendió no se le proporcionó, tampoco cuando pidió el aviso de privacidad y su cita nunca se concretó.
Por lo anterior, considera que se le pueda dar un tratamiento indebido a sus datos personales.
Análisis de la ponencia
Por parte de la ponencia a mi cargo se determinó iniciar la investigación previa de la denuncia realizando el procedimiento previsto. La institución pública no entregó el informe justificado ni las diligencias, razón por la cual se da vista al Órgano Interno de Control de dicha Secretaría. De tal manera, se inició el procedimiento de verificación a través de la Dirección de Datos Personales, misma que entregó el dictamen respectivo.
Como resultado se concluye que la queja es fundada y la institución deberá crear o modificar un sistema de datos personales que integre los tratamientos efectuados a dichos datos y que cumpla lo siguiente:
- Las finalidades de este deben ser concretas, explícitas, lícitas y legítimas.
- Llevar a cabo su inscripción o edición en el Registro Electrónico de Sistemas de Datos Personales después de su publicación en la Gaceta Oficial.
- Elaborar o modificar los avisos de privacidad simplificado e integral, y
- Hacer lo correspondiente con el documento de seguridad.
Lo anterior deberá hacerlo en un plazo de diez días hábiles.
Relevancia del caso
El tratamiento adecuado y conforme a las normas de los datos personales es una de las bases para garantizar el derecho a la privacidad, que es un derecho humano. Si bien estamos acostumbradas a compartir algunos de ellos de manera cotidiana y en todo tipo de interacciones tanto en el ámbito personal, laboral y en nuestra relación con las instituciones públicas, ello no implica que los actores e instituciones públicas dejen de establecer las medidas previstas en Ley para su manejo correcto.
En particular, en los sistemas para solicitar citas ya sea de manera personal, por teléfono o por medios electrónicos, es común y claramente necesario recopilar datos personales: nombre completo y datos de contacto como mínimo, y estos pueden ser número de teléfono, dirección, correo electrónico, entre otros. Sin embargo, a pesar de ser de uso común, no dejan de convertirse en un sistema de datos personales que debe registrar la institución pública y aplicar las mismas políticas y procedimientos que en cualquier otro sistema de este tipo, teniendo siempre en cuenta su seguridad y carácter confidencial.
De la consulta al Aviso de Privacidad Integral del Buzón de la Secretaría, parece que solicitan más datos personales de lo que cabría esperar para hacer una solicitud, sugerencia o queja, ya que están listados tan solo para identificación: nombre, edad, fecha de nacimiento, teléfono fijo y celular, correo electrónico, domicilio, entidad de residencia, género y otra vez correo electrónico.
Pero además solicitan datos sensibles como diagnósticos y proceso de valoración médica y aquellos de origen racial o étnico, preferencia sexual y antecedentes médicos. Lo preocupante es que señala que los datos recabados son necesarios para integrar la información de la recepción de solicitudes, peticiones, reconocimientos, felicitaciones, sugerencias y quejas, así como propuestas de acciones de mejora para el Sector Salud.
Claramente esto no se corresponde con el principio de proporcionalidad previsto en la Ley que indica que el responsable tratará sólo aquellos datos personales que resulten necesarios, adecuados y relevantes en relación con la finalidad o finalidades, para lo cual se obtuvieron.
Considero que esta es una oportunidad para que la Secretaría de Salud lleve a cabo una revisión completa de sus avisos de privacidad, de las políticas y procedimientos en el manejo de sus sistemas de datos personales y aplique lo previsto en la ley correspondiente. Es una dependencia de gran importancia para la administración pública de esta Ciudad y en la que por la naturaleza de sus atribuciones siempre debe tener especial cuidado en el tipo de datos personales que solicita y cómo los trata.
El caso que nos ocupa y la preocupación de la persona denunciante se fundamenta en que el asunto por el que entregó algunos de sus datos fue para solicitar una reunión con personas servidoras públicas y exponer lo que considera situaciones que requieren atención por parte de quienes están legalmente investidas para intervenir. Sin que sea relevante que el asunto sea una denuncia o exponer algún problema o incluso hacer recomendaciones, se debe dar siempre el tratamiento previsto por Ley a los datos personales.
Deseo subrayar que, en esta ocasión, la institución pública no envió el informe ni las diligencias que le fueron solicitadas, por lo que se da vista a su Órgano Interno de Control.
En materia internacional encontramos una buena práctica en España, ya que el servicio de «Cita Previa» permite realizar citas para atender una serie de trámites administrativos de manera planificada con la intención de reducir el tiempo que las personas deben dedicar a cada uno. Por ejemplo, el Aviso de Privacidad de este sistema correspondiente al Ministerio de Hacienda y Función Pública señala que recaban solamente datos de identificación de la persona como nombre, apellidos, número de identificación, teléfono y correo electrónico, y datos de identificación del dispositivo desde el que se realiza la cita. Otros datos se recaban de otras instituciones públicas relacionados también con citas.
Recordemos que somos dueñas de nuestra información y tenemos derecho a conocer cómo se utiliza por parte de las instituciones públicas. En el caso del manejo de los datos personales, menos es mejor.
Por mi parte sería cuanto.
Muchas gracias.
