La denuncia pide que se aclare si se ha producido una brecha de seguridad y si se comunicó a la AEPD ya los interesados, como exige el RGPD.

Amplían la denuncia contra la app Radar COVID ante la Agencia Española de Protección de Datos

Noticia

Transcurridos más de seis meses desde su lanzamiento, sigue sin publicarse la evaluación de impacto o si la misma cuenta con la aprobación de la Agencia.

founders

El CEO y fundador de la plataforma Reclamadatos, Pau Enseñat, ha ampliado la denuncia que presentó el pasado 7 de septiembre contra la app Radar COVID, que fue admitida a trámite por la Agencia Española de Protección de Datos tras apreciar “indicios racionales de una posible vulneración de la normativa en materia de protección de datos”. La denuncia se ha ampliado no solo a la Secretaría General de Administración Digital, contra la que iba dirigida la primera reclamación, sino también contra el Ministerio de Sanidad y todas las Consejerías de Sanidad de las 17 Comunidades Autónomas.

En esta nueva reclamación, se enumeran una serie de factores que, a juicio de Enseñat, “han influido notablemente en que solo se hayan declarado a través de la app poco más de 36.700 positivos desde que se puso en marcha, ya que ha generado una desconfianza innecesaria y la mayoría de los ciudadanos se han mostrado reacios a descargarla y utilizarla pese a la gravedad de la pandemia”.

En esta ocasión, se solicita a la Agencia que, en el marco de la investigación que está llevando a cabo, se tengan en cuenta las novedades que se han producido desde el mes de septiembre, tanto la corrección de aspectos que se recogían en la primera denuncia, como los incumplimientos que tras más de seis meses de la publicación de Radar COVID y en plena tercera ola de la pandemia, siguen sin haber sido subsanados.

Entre las correcciones efectuadas durante este periodo, destaca la publicación del código fuente, si bien no exenta de polémica, debido a su ofuscación inicial o la carencia del histórico de versiones, tal y como denunció la comunidad de desarrolladores después de su publicación.

También se han introducido importantes cambios en la redacción de la Política de Privacidad, entre los que destaca una relevante rectificación. Ahora se reconoce que Radar COVID sí trata datos personales (seudonimizados, pero no anónimos) y, por tanto, sus usuarios pueden reclamar sus derechos de protección de datos (acceso, rectificación, supresión, limitación y oposición), tal y como ha venido defendiendo el Comité Europeo de Protección de Datos.

Otra de las modificaciones relevantes es el cambio de responsable de la aplicación. Y es que desde el pasado 9 de octubre, el Ministerio de Sanidad y las Consejerías de Sanidad de las 17 comunidades autónomas, además de Ceuta y Melilla, son los responsables de Radar COVID (y no la Secretaría de Estado de Digitalización e Inteligencia Artificial), tal y como publica el BOE del 15 de octubre.

Este cambio en el flujo de los datos pone de manifiesto que -al menos hasta el pasado 9 de octubre- la app seguía en fase de pruebas, pese a que desde el mes de agosto se pusieron en marcha las campañas publicitarias para animar a la ciudadanía a descargarla y usarla.

La ampliación de la denuncia recuerda que sigue sin publicarse la evaluación de impacto, análisis que debía haberse efectuado antes de su lanzamiento hace ya más de seis meses, tal y como recomendaba encarecidamente el organismo europeo de protección de datos, al considerar que el tratamiento de datos en las aplicaciones de rastreo pueden entrañar un alto riesgo. Y es que dicha evaluación resulta esencial, pues en función de su resultado, se debía consultar a la Agencia Española de Protección de Datos antes de poner en marcha la aplicación, tal y como hicieron Italia y Alemania que contaron con la aprobación previa y pública de sus respectivas autoridades nacionales.

Según Pau Enseñat, “Si además de todo lo anterior, le sumamos la brecha de seguridad que dio a conocer El País el pasado 22 de octubre, sin duda explica por qué la aplicación Radar COVID no está teniendo el impacto deseado, pues resulta imposible que transmita confianza a la población, a pesar de los 1,7 millones de euros públicos invertidos en su desarrollo y mantenimiento”. Y añade que “si finalmente, la Agencia determina que Radar COVID ha vulnerado la normativa de protección de datos, ello podría impactar al resto de aplicaciones de rastreo europeas con las que se están compartiendo datos”.