En estos días se está valorando públicamente la appweb de la Comunidad de Madrid (COVIDAPP) desarrollada para la realización de una autoevaluación del estado de salud individualizado sobre el COVID-19.
Desde el punto de vista de los auditores TI, certificados por ISACA y Delegados de Protección de Datos certificados por la AEPD, tras estudiar la aplicación, sus condiciones de uso y su política de privacidad, la aplicación puede y debe ser utilizada.
Análisis de ISACAMadrid
Una vez descargada y antes de empezar a utilizarla, la appweb informa de que se van a tratar datos sensibles relativos a la salud y otras finalidades relacionadas, por motivos de interés público.
En una lectura de las “condiciones de uso” y “política de privacidad” vemos que cumple perfectamente con los distintos principios del Reglamento General de Protección de Datos (RGPD), identificando el responsable y el tratamiento de los mismos. Explican que los datos se suministran libremente, un sinfín de casos para los que usan los datos, dejan claro que se recogen por razones de interés público y ante la situación de emergencia, y explican además que los custodiarán mientras estos datos fueran necesarios.
En el apartado de compartición de datos, la app deja claro que también lo harán con proveedores y colaboradores, y sus subcontratistas, pero garantizando el máximo nivel de protección. Esto último siempre tiene que ser un acto de fe; nadie lo puede garantizar, al igual que la implementación de las medidas adecuadas de seguridad de la información.
Una vez aceptada la política de privacidad y rellenado el número de teléfono, la aplicación envía al usuario un código de verificación (para evitar altas fraudulentas) y le pide determinar si quiere o no ser geolocalizado junto con las ventajas de dicha geolocalización, tras lo cual comienza a realizar un test básico de salud con preguntas sobre una serie de síntomas: Falta de aire, Fiebre (37,7), Tos seca, Contacto con algún infectado, Mucosidad en la nariz, Dolor muscular, Sintomatología gastrointestinal y si lleva más de 20 días con los síntomas. Posteriormente ofrece unos consejos sobre qué hacer.
A los profesionales de ISACAMadrid nos ha parecido una información básica y muy necesaria. Sin embargo, en unas horas se hizo viral la advertencia de que no se instalase, e incluso algún medio de comunicación se hicieron eco de palabras de expertos desaconsejaba su uso (que posteriormente dieron marcha atrás), pero en nuestra opinión es una aplicación que puede y debe ser utilizada.
Garantías de la AEPD
Tras leer el documento del Gabinete Jurídico de la AEPD de N/REF 0017/2020 emitido sobre la citada webapp, en ISACA Madrid nos hemos quedado muy tranquilos con respecto a las garantías desde el punto de vista legal y les felicitamos por el documento que en resumen establece:
- La privacidad es un derecho fundamental, que siguen vigentes en el estado de alarma.
- Base jurídica basada en el interés público y el interés vital del interesado o de otras personas físicas.
- Cumple con todos los principios del RGPD, pone el foco en el principio de minimización de datos y en la cesión de los datos.
El escrito aprovecha para indicar que los empleadores deben tratar los datos de salud de sus empleados con el fin de proteger al resto de compañeros, pero siempre cumpliendo con el RGPD. Esto viene recogido en la ley; responsabilidad.
El precedente de estas aplicaciones lo tenemos en países que están ganando la batalla del COVID-19: China y Corea del Sur. En China se lanzó una aplicación móvil, obligatoria, capaz de informar del estado del paciente, sus movimientos, etc, y si ha estado en contacto cercano con alguien infectado con el coronavirus. Esta app genera un código QR que es leído por sensores de las autoridades y te permite, o no, salir de casa o entrar en un supermercado basándose en su estado de salud, si está en cuarentena, o en el dato de salud que muestre la aplicación.
No olvidemos que, en general, los seres humanos somos tan buenos, legales, cumplidores… como nos permitan. De ahí el gran número de personas multadas y la cantidad de detenidos en nuestro país por saltarse el confinamiento domiciliario.
Desde ISACAMadrid entendemos que es básico el cumplimiento de la legalidad vigente, y mucho más importante es aplicar los medios tecnológicos a nuestra disposición para el control de la pandemia.
Nos ha llegado una iniciativa civil, vía twitter, del sector sanitario en la que indican: “Promoviendo iniciativa civil #EscudoSanitario para que profesionales sanitarios autodeclaremos por móvil nuestro estado de salud #COVID19 y riesgo de exposición #EPI usando formulario y geoposición que genera mapa abierto y en tiempo real. Necesitamos AYUDA RGPD y titular fichero”… no debemos olvidar la seguridad de la información para que los datos sean confiables y no modificados por terceros maliciosos.
