I Certamen de Artículos Jurídicos Cortos de DENAE

Amar (la privacidad) en tiempos revueltos

Tribuna
Pablo García-Girón Pérez

No son pocas las voces que han solicitado al Gobierno el uso de técnicas de geolocalización para controlar los desplazamientos de la población y el cumplimiento del confinamiento.

 Índice

  1. Covid-19 VS Privacidad II. Medidas implementadas en España: aplicaciones contra el Covid-19 III Conclusiones IV. Recursos.
  2. Covid-19 VS Privacidad

El miércoles 11 de marzo de 2020 la Organización Mundial de la Salud oficializó la existencia de una pandemia causada por el virus Covid-19, un nuevo tipo de coronavirus que causa infecciones respiratorias y otras afecciones potencialmente muy graves.

A junio de 2020, el virus ha provocado más de 9.000.000 de contagios en el mundo, de los que, 472.000 personas han fallecido.

En este contexto de alarma global muchas voces sugieren el uso de las nuevas tecnologías para frenar la pandemia, tecnologías que implican interacciones con la privacidad.

Esas solicitudes se enmarcan en declaraciones de estados de alarma y figuras equivalentes que han supuesto la suspensión, o limitación, de derechos fundamentales. Por ejemplo, se ha visto afectada en prácticamente la totalidad de casos la libertad ambulatoria.

En España, esta corriente se traduce en, por un lado, desarrollos web-móviles cuyo sistema puede alimentarse por el ciudadano con sus datos personales, entre los que se encontrarían datos de salud. Por otro lado, no son pocas las voces que han solicitado al Gobierno el uso de técnicas de geolocalización para controlar los desplazamientos de la población y el cumplimiento del confinamiento.

Este artículo presenta la problemática descrita, analizando las soluciones que se han puesto sobre la mesa para aunar dos intereses, aparentemente enfrentados (seguridad-privacidad), alcanzando nuestra conclusión sobre el acierto, o no, de tales medidas.

  1. Medidas implementadas en España

En marzo de 2020 el Gobierno promulgó el Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma, y a través del cual se toman una serie de medidas que suponen la suspensión/limitación de derechos.

Paralelamente, el día 12 de marzo de 2020, la Agencia Española de Protección de Datos (AEPD) publica el Informe 0017/2020, en el que expone que el Reglamento General de Protección de Datos (RGPD) sigue siendo plenamente aplicable.

Fundamentalmente, la AEPD recuerda que el RGPD establece bases jurídicas que pueden legitimar el tratamiento de datos en una situación como ésta. Siendo así, recuerda que son alternativas al consentimiento del titular de los datos las razones de interés público (salud pública) y el interés vital del interesado.

Teniendo en cuenta lo anterior, el mayor punto de fricción entre los dos derechos aludidos se produce con la aparición en España de soluciones en la lucha contra el coronavirus que imitan las puestas en funcionamiento en países como Corea del Sur o Singapur.

  1. El uso de aplicaciones para luchar contra el Covid-19

Las aplicaciones de evaluación del Covid-19 son desarrollos que se ponen a disposición de la población para recibir consejos y un prediagnóstico respecto de la posibilidad de un contagio.

Bajo el punto de vista técnico, estas apps necesitan de un protocolo que permita la interoperabilidad entre los distintos fabricantes de sistemas operativos móviles, siendo necesario además que sean utilizadas por más del 60% de la población para que las muestras sean representativas. También se ha incidido[1] en el riesgo de abusos por parte de gobiernos autoritarios.

En España destacan como ejemplos:

  • Comunidad Autónoma de Madrid (CAM) “Covidapp”

El miércoles 18 de marzo de 2020 la CAM presentó en sociedad la página web coronavirusmadrid, elaborada junto con la aplicación móvil “Covidapp”.

Su finalidad es “examinar síntomas para recibir recomendaciones de actuación y descongestionar las líneas de atención telefónica”.

Los datos a introducir en la aplicación, son:

  • Nombre y apellidos.
  • Teléfono.
  • DNI
  • Fecha de nacimiento.
  • E-mail.
  • Género.
  • Geolocalización.
  • Datos de salud.

En la primera versión de esa aplicación, se evidenciaron una serie de problemas:

  • La información sobre el tratamiento de los datos era deficiente/ incompleta, existiendo finalidades accesorias que entraban en vaguedades.
  • No quedaba claro el plazo de conservación de los datos.
  • Existía inquietud al revisar el apartado destinado a comunicaciones, dado que se compartían los datos con “proveedores y colaboradores”, así como sus subcontratas.

Lo que, bajo mi criterio, sería contrario al artículo 5.1 RGPD sobre calidad del dato, concretamente, letras a) (tratamiento transparente), b) (fines determinados) y e) (identificables por no más tiempo del necesario).

Finalmente, la CAM rectificó en una segunda versión de esa cláusula de información. La versión vigente de 3/07/2020[2] destaca:

  • El campo del Delegado de Protección de Datos (DPD) no cuenta con un medio de contacto directo.
  • La base de legitimación es el interés público fundamentado en la salud pública. Se echa en falta más claridad respecto de la normativa que contempla ese interés.
  • Es confusa la fórmula “Principalmente, obtenemos tus datos directamente de ti”, dado que no especifica qué datos se obtienen por otros medios, ni las fuentes.
  • Las finalidades se aceptan en bloque, lo que no es conforme con el RGPD (Art. 5.1b) RGPD fines determinados).
  • Resulta confuso que la CAM informe que la geolocalización se use con la finalidad de “ofrecer medidas preventivas y de evaluación” para, a continuación, señalar que la finalidad consiste en “entender dónde están los focos (de contagio), con un fin estadístico”.
  • Se indica que los datos tratados del usuario serán anonimizados, aunque no se explica el método usado.
  • No establece un plazo concreto de conservación. Además, se alude a la finalización del período de emergencia sanitaria, lo que es muy difuso.
  • En comunicaciones de datos, el problema surge con las comunicaciones a “proveedores y colaboradores, así como a las empresas que estos subcontraten”. El oscurantismo con respecto a la identidad de esas empresas implica una lesión a la capacidad fiscalizadora del titular de los datos.

Esto supondría, en mi opinión, el quebranto de los principios de calidad del dato, el principio de transparencia y el ejercicio del poder de control del titular de los datos sobre estos.

  • Gobierno de España, AsistenciaCovid19

El 05/05/2020 se publica la Resolución de 30 de abril para la operación de la Aplicación ASISTENCIACOVID19.

La aplicación elaborada por el Gobierno, que actualmente está siendo estudiada por la AEPD[3], utiliza los siguientes datos:

  • Nombre y apellidos.
  • Teléfono.
  • Dirección postal.
  • Fecha de nacimiento.
  • Género.
  • DNI
  • Domicilio
  • Geolocalización.
  • Datos de salud.
  • Datos de uso/interacciones con la aplicación.

El objetivo consiste en “reducir el volumen de llamadas a los números telefónicos puestos a disposición de los ciudadanos y permitir un triaje inicial de posibles casos y seguimiento posterior”.

Con respecto al uso de la geolocalización, la aplicación informa que sólo se utilizará al registrar a los usuarios, y al realizar sus autoevaluaciones, para poder conocer en qué Comunidad Autónoma se encuentran y conectarles con su atención sanitaria.

En relación con la política de protección de datos, procede señalar:

  • Se facilita un correo electrónico de contacto con el DPD, lo que supone un medio de contacto directo.
  • La base de legitimación es el interés público fundamentado en la salud pública. En este caso, también se echa en falta una mayor precisión sobre la normativa concreta que lo contempla.
  • Respecto de la obtención de los datos, también se utiliza la fórmula “Principalmente, obtenemos tus datos directamente de ti”, lo que no es del todo exhaustivo.
  • Las finalidades con las que se tratan los datos, también aquí se aceptan en bloque.
  • El uso de geolocalización queda justificado, ya que se refiere únicamente a la necesidad de “conocer en qué Comunidad Autónoma te encuentras y conectarte con los servicios de salud correspondientes”.
  • Los datos serán utilizados para fines de interés estadístico, archivo en interés público e investigación biomédica, previa anonimización, aunque no se explica el método utilizado.
  • El tratamiento con fines estadísticos, de investigación o archivo en interés público se conserva 2 años. Pero surgen dudas respecto de la finalización del período de emergencia sanitaria, lo que es muy difuso.
  • No se realizan comunicaciones de datos a proveedores o empresas ajenas al ámbito sanitario.

Supone una mejora respecto de la propuesta de la CAM, pero seguiría vulnerando los principios de transparencia y calidad del dato.

España inicia su experiencia piloto en Canarias, desde el 29 de junio al 13 de julio. Posteriormente, Sanidad y la AEPD valorarán los resultados y la posibilidad de extenderlo a todo el país. De ser así, estaríamos hablando de septiembre-octubre de este año[4].

III. Conclusiones

El objetivo del análisis es contribuir a acabar con el debate que lleva al planteamiento de la dicotomía irreconciliable entre privacidad y salud-seguridad.

Este planteamiento ha dado a entender que las medidas para combatir la pandemia, al ser necesarias para proteger la salud, justificaban la suspensión de otros derechos, como el de la protección de datos de carácter personal.

Se evidencia en nuestra exposición que esa dicotomía resulta una falacia, dada la existencia de recursos normativos suficientes para llevar a cabo un tratamiento no invasivo de los datos, que no debe recurrir exclusiva y necesariamente al consentimiento del afectado.

  1. Recursos
  • Reglamento (UE) de 27/04/2016 relativo a la protección de las personas físicas en lo que respecta al tratamiento de datos personales (…)
  • Real Decreto 463/2020, de 14 de marzo, por el que se declara el estado de alarma (…)
  • Informe 0017/2020 de la AEPD
  • Resolución 30/04/2020 de la SGAD por la que se publica el Convenio entre la SEDIATID y Telefónica Digital de España, para la operación de la Aplicación ASISTENCIACOVID19
  • https://coronavirus.comunidad.madrid/politica-de-privacidad

https://asistencia.covid19.gob.es/politica-de-privacidad

[1] Interesante el artículo https://elpais.com/tecnologia/2020-06-20/llega-la-hora-de-la-verdad-para-las-apps-de-rastreo-tambien-en-espana.html

[2] Tal y como se puede comprobar en la siguiente URL: https://coronavirus.comunidad.madrid/politica-de-privacidad

[3] Se puede consultar en la noticia https://www.elmundo.es/tecnologia/2020/05/21/5ec695edfc6c83610d8b4594.html

[4]Ver entrevista a Carme Artigas en https://www.eldiario.es/tecnologia/Entrevista-Carme-Artigas_0_1041496812.html

ElDerecho.com no comparte necesariamente ni se responsabiliza de las opiniones expresadas por los autores o colaboradores de esta publicación