Solicitan una investigación para confirmar que Radar COVID cumple con el Reglamento General de Protección de Datos y las directrices europeas.

Denuncian a la Secretaría General de Administración Digital ante la Agencia Española de Protección de Datos por Radar COVID

Noticia

La SGAD no ha publicado la Evaluación de Impacto sobre la Protección de Datos ni el código fuente.

RGPD,protección de datos

Pau Enseñat, CEO y fundador de la plataforma Reclamadatos, ha presentado este lunes ante la Agencia Española de Protección de Datos (AEPD) una denuncia contra la Secretaría General de Administración Digital (SGAD), organismo encargado de la implantación de la App Radar COVID en España, para que investigue si la aplicación cumple con el Reglamento General de Protección de Datos (RGPD) y las directrices del Comité Europeo de Protección de Datos (EDPB).

En su reclamación, solicita a la AEPD que confirme que esta aplicación cumple con los principios de licitud, lealtad, transparencia y responsabilidad proactiva (Art.5 RGPD), ya que la SGAD no ha publicado la Evaluación de Impacto sobre la Protección de Datos (EIPD), en contra de lo indicado expresamente por el EDPB.

 

También pide que la Agencia investigue si la SGDA elaboró la EIPD antes de efectuar el tratamiento de datos personales y, en su caso, si consultó a la propia AEPD, tal y como exige la normativa europea. Adicionalmente, también denuncia que en la Política de Privacidad no se han definido las funciones y responsabilidades de las autoridades sanitarias de las CC.AA. que han completado los procesos técnicos necesarios para integrar la aplicación en sus sistemas sanitarios (Art. 13 y 14 RGPD).

En comparación con las aplicaciones de Italia y Alemania, Radar COVID no especifica de forma suficientemente clara en la Política de Privacidad las distintas finalidades del tratamiento y las respectivas bases legitimadoras, ni los plazos de conservación de los datos para fines de investigación científica o histórica o fines estadísticos, tal y como determina el Comité Europeo de Protección de Datos.

Pau Enseñat añade que tampoco se ha publicado el código fuente, aunque el SGDA que dirige Carme Artigas ha anunciado que lo hará el 9 de septiembre, más de 2 meses después de que superase la fase de pruebas, con 3,4 millones de descargas y la integración en los sistemas sanitarios de 12 Comunidades Autónomas. En la otra cara de la moneda se encuentran las aplicaciones de Italia y Alemania, que han cumplido desde el primer momento las directrices del EIPD y han recibido el dictamen favorable de las autoridades de control de estos países respecto al RGPD, tal y como se apunta en la denuncia.

En la misma se hace referencia al manifiesto en el que más de un centenar de académicos de diferentes ámbitos reclamaba al Gobierno más transparencia con la app exigiendo la publicación del código fuente. Cabe recordar que durante el pasado mes de agosto más de 20 diputados británicos instaron a la presidenta de la Agencia Británica de Protección de Datos (ICO) a investigar al Gobierno Británico, después que éste último admitiese no haber llevado a cabo la Evaluación de Impacto requerida por el RGPD durante la fase piloto de “NHS Test and Trace”, la aplicación británica de rastreo de contactos.

Para el fundador de Reclamadatos, “Esta herramienta es necesaria pero la forma en la que se ha llevado a cabo no es la correcta. Es especialmente grave que no se haya contado con la AEPD desde un inicio. Si echamos la vista atrás, el pasado 23 de junio la Agencia tuvo que emitir un comunicado aclarando su limitada participación en el proyecto, así como su desconocimiento de los detalles de la articulación práctica de Radar COVID y de la experiencia piloto, aspectos que le impidieron valorar su adecuación a la normativa de protección de datos”.