Se está hablando mucho de la utilización de apps para el control del COVID-19, y muchos de vosotros os estaréis preguntando como afecta esto a la privacidad y protección de datos.
Estas aplicaciones de control de la pandemia del coronavirus se han utilizado con éxito en China y en Corea del Sur. China es difícilmente asimilable a Europa, por ello el sistema más estudiado es el coreano, donde la app realizaba seguimiento de aquellas personas afectadas y a las que habían tenido contacto con ellas, de forma identificada.
Cuando hablamos de este tipo de aplicaciones existen varias posibilidades, que inciden de forma diferente en nuestra privacidad.
Aplicaciones que utilizan datos anonimizados, de movimientos de la población, para prever la evolución del coronavirus. Estos datos se obtienen a través de compañías telefónicas, y su uso está previsto en la Orden SND/297/2020, de 27 de marzo, por la que se encomienda a la Secretaría de Estado de Digitalización e Inteligencia Artificial, del Ministerio de Asuntos Económicos y Transformación Digital, el desarrollo de diversas actuaciones para la gestión de la crisis sanitaria ocasionada por el COVID-19, que se publicó en el BOE del 28 de marzo.
Aplicaciones así se están utilizando en Italia, donde una aplicación permite analizar de forma anónima los movimientos de la población.
Las autoridades europeas de protección de datos han manifestado la posibilidad de usar estas aplicaciones, con las salvaguardas necesarias respecto al uso, acceso y almacenamiento de la información y periodos de retención. https://www.europarl.europa.eu/news/es/press-room/20200406IPR76604/respeto-a-proteccion-de-datos-al-recabar-informacion-de-moviles-contra-covid-19
Aplicaciones que utilizan datos identificativos, como la aplicación murciana #LlámaleyDile (https://sms.carm.es/encuestas/public/inicio.xhtml?idp=kmb47a0Xgy) de realización de encuestas a enfermos de coronavirus y a las personas que se han puesto en contacto con ellas, para realizar después un seguimiento de las mismas, o la madrileña coronamadrid.com.
Otro tipo de aplicaciones que utilizan datos identificativos, y que se proponen para controlar quien puede o no circular libremente (de modo que se introduzcan los datos identificativos de las personas que se han realizado el test y posteriormente las Fuerzas y Cuerpos de Seguridad del Estado, por ejemplo, puedan controlar que estas personas son aptas para circular libremente). Aquí los datos ya no se introducirían voluntariamente por las personas sino por el personal sanitario que realiza el test. (https://www.lainformacion.com/empresas/coronavirus-tecnologias-identificacion-frenar-covid-casfid-ofrece-soluciones/6558598/?via=la_informacion).
Algunas aplicaciones requieren el suministro de datos de salud personales y permiten rastrear la ubicación y los contactos del individuo, lo que permitiría controlar la ubicación de la persona y sus contactos anteriores para, por ejemplo, verificar el cumplimiento de la obligación de confinamiento.
Lo primero que se plantea con estas aplicaciones es si tienen una base de legitimación suficiente, es decir, si es lícita su utilización. En este sentido, el considerando 46 del RGPD afirma que ciertos tipos de tratamiento pueden responder tanto a motivos importantes de interés público como a los intereses vitales del interesado, como por ejemplo cuando el tratamiento es necesario para fines humanitarios, incluido el control de epidemias y su propagación.
El tratamiento de los datos personales es licito cuando es necesario para proteger intereses vitales del interesado o de otra persona física y, también, cuando es necesario para el cumplimiento de una misión realizada en interés público o en el ejercicio de poderes públicos conferidos al responsable del tratamiento (artículo 6 RGPD).
Puesto que en estas aplicaciones estamos tratando datos de categorías especiales (salud) debemos tener en cuenta el artículo 9 del RGPD que nos permite su tratamiento por razones de interés público esencial y por razones de interés publico en el ámbito de la salud pública.
Podríamos pensar, por lo tanto, que el tratamiento de datos, incluidos los datos de salud, realizado por dichas apps son lícitos incluso sin contar algunas de ella con el consentimiento de los interesados.
Sin embargo, en aplicación del principio de minimización de datos (art. 5), está claro que tendremos que utilizar para dicho control de la pandemia solo los datos estrictamente necesarios, control que se debe realizar en aplicación del artículo 25 (Protección de datos desde el diseño y por defecto) mediante un análisis realizado con carácter previo, que debe incluir, en algunas ocasiones, (y esta sería sin duda una de ellas) una evaluación del impacto de dicho tratamiento en los derechos y libertades de los interesados que analice, entre otras cosas, la proporcionalidad de dicho tratamiento de datos para el cumplimiento de los fines propuestos.
Esto implica que estas aplicaciones deben haber realizado, con carácter previo, un análisis de riesgos y evaluación de impacto para valorar las medidas de seguridad utilizadas, los datos tratados y la proporcionalidad del tratamiento en sí.
La falta de transparencia en todos estos temas, y la premura con que se están realizando, nos hacen dudar que tales análisis y evaluaciones se hayan realizado.
¿Aplica esto también a las aplicaciones que solicitan el consentimiento del interesado? La respuesta es sí. Debemos tener en cuenta que el consentimiento, como base de legitimación del tratamiento, no ha sido reputado como válido en algunos casos en los que los datos tratados no se consideraron proporcionales para la finalidad conseguida (https://edpb.europa.eu/news/national-news/2019/facial-recognition-school-renders-swedens-first-gdpr-fine_es).
Si la aplicación pretende el tratamiento de datos no anonimizados deberá realizar con carácter previo un análisis de proporcionalidad, en el marco del análisis de riesgos y evaluación de impacto correspondiente, aunque la base de legitimación sea el consentimiento.
Sin embargo, las posibilidades de seguimiento de la población que estas aplicaciones permiten, y la poca transparencia ya nombrada, nos hacen ser cautelosos respecto a las implicaciones para nuestra privacidad que tendría su utilización.
El debate en el ámbito profesional de la protección de datos está abierto y las soluciones no pueden ser radicales. En mi opinión, sería necesario que dichos análisis previos, así como el tratamiento en sí realizado por la aplicación, estuviera controlado y validado por una entidad pública e independiente (y que mejor que la Agencia Española de Protección de Datos). De momento, ni estas ni otras medidas de control están en marcha, existiendo solo recomendaciones de prudencia por parte de las instituciones. Estaremos pendientes.
NOTA DE ULTIMA HORA: A punto de publicar este post, el BOE de hoy, 14 de abril de 2020, publica la Recomendación (UE) 2020/518 de la Comisión de 8 de abril de 2020 relativa a un conjunto de instrumentos comunes de la Unión para la utilización de la tecnología y los datos a fin de combatir y superar la crisis de la COVID-19, en particular por lo que respecta a las aplicaciones móviles y a la utilización de datos de movilidad anonimizados.
La recomendación daría para otro post, pero en lo que respecta al tema tratado en este, se incorpora un apartado de “Aspectos relativos a la intimidad y a la protección de datos derivados del uso de las aplicaciones móviles” (recomendaciones 15 a 17), donde se pretende asegurar el respeto de los derechos fundamentales, en particular las normas aplicables en materia de protección de los datos personales y la confidencialidad de las comunicaciones, y un uso de tales aplicaciones que evite la estigmatización.
En la recomendación 20 se incluyen, además, una serie de elementos a incorporar para asegurar dicho respeto a los derechos fundamentales, en particular respecto a la anonimización y supresión de los datos tratados.
La recomendación afirma que La Comisión publicará orientaciones en las que se especifiquen con más detalle los principios de protección de la intimidad y de los datos en función de las consideraciones prácticas derivadas del desarrollo y la aplicación del conjunto de instrumentos, además de fijar una serie de fechas y revisiones que aseguren un enfoque paneuropeo en esta materia.
Está abierto el debate, ¿que opináis ?
Si te interesa este post, puedes ampliar información en un informe jurídico que he desarrollado tratando el tema con mayor profundidad:
